1、回显判断:
可以看到输入1的时候会回显,输入其他任何数字或字母时,不会出现回显。
2、堆叠注入:
(1)直接使用堆叠注入的方法来进行,首先查看一下数据库,出现如下结果:
(2)接查看一下表的信息,发现Flag。
(3)查看Flag,发现被过滤,所以无法直接用堆叠注入的方法直接获取到Flag。
3、||操作符:
读取资料得知,该题目的内部执行语句中存在 || 操作符,该操作符作用如下:在MySQL中,操作符||表示“或”逻辑:command1 || command2,c1和c2其中一侧为1则取1,否则取0。
因而我们需要满足如下条件:只有输入非零数字才会满足 || 的逻辑为True,从而达到回显的条件。因而也就要满足:select 输入的内容 || 一个列名 from 表名(select 输入数据 || flag from Flag)。
4、第一种方法:用mssql中 || 的作用来解决问题
因为mssql中||表示连接操作符,不表示或的逻辑,flag后端又存在“或” 的逻辑,因而可以把 || 的或的逻辑改成连接符的作用就可以了。
设置 sql_mode=PIPES_AS_CONCAT来转换操作符的作用。(sql_mode设置)利用PIPES_AS_CONCAT令||起到连接符的作用
PIPES_AS_CONCAT的作用: 将||视为字符串的连接操作符而非或运算符
构建payload:1;set sql_mode=PIPES_AS_CONCAT;select 1
注:这里的逻辑是先把||转换为连接操作符,注意分号隔断了前面的命令,所以要再次添加select来进行查询,这里把1换成其他非零数字也一样会回显flag。
5、第二种方法:根据||的特点
||的特点是:如果前面为真,后面就不会执行,那么我们传入 *,1 之后语句就会变成select *,1 from Flag,而1会在表添加一列1,所以直接得到flag。