首先尝试最简单的注入 直接nonono
然后尝试union盲注,还是nonono
之后尝试刚学的堆叠注入,好像有用的样子。
然后没辙了,去看大佬们的WP,发现这个注入命令是select $_GET['query'] || flag from flag
这里要修改sql_mode的值。。脑洞有点大的。然后构造payload ,最后跑出flag。还有一个*,1 的解法就不赘述了。知道注入命令就很好懂了。
1;set sql_mode=PIPES_AS_CONCAT;select 1
常见的sql_mode值 | 意义 |
---|---|
ONLY_FULL_GROUP_BY | 出现在select语句、HAVING条件和ORDER BY语句中的列,必须是GROUP BY的列或者依赖于GROUP BY列的函数列。 |
NO_AUTO_VALUE_ON_ZERO | 该值影响自增长列的插入。默认设置下,插入0或NULL代表生成下一个自增长值。如果用户希望插入的值为0,而该列又是自增长的,那么这个选项就有用了。 |
STRICT_TRANS_TABLES | 在该模式下,如果一个值不能插入到一个事务表中,则中断当前的操作,对非事务表不做限制 |
NO_ZERO_IN_DATE | 这个模式影响了是否允许日期中的月份和日包含0。如果开启此模式,2016-01-00是不允许的,但是0000-02-01是允许的。它实际的行为受到 strict mode是否开启的影响1。 |
NO_ZERO_DATE | 设置该值,mysql数据库不允许插入零日期。它实际的行为受到 strictmode是否开启的影响2。 |
ERROR_FOR_DIVISION_BY_ZERO | 在INSERT或UPDATE过程中,如果数据被零除,则产生错误而非警告。如果未给出该模式,那么数据被零除时MySQL返回NULL |
NO_AUTO_CREATE_USER | 禁止GRANT创建密码为空的用户 |
NO_ENGINE_SUBSTITUTION | 如果需要的存储引擎被禁用或未编译,那么抛出错误。不设置此值时,用默认的存储引擎替代,并抛出一个异常 |
PIPES_AS_CONCAT | 将”||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似 |
ANSI_QUOTES | 启用ANSI_QUOTES后,不能用双引号来引用字符串,因为它被解释为识别符 |