好吧这题是我不配 看了网上大佬的WP
payload1:*,1 大佬的解法,好像直接将源码猜出来了 select $_GET['query'] || flag from flag
payload2:select 1;set sql_mode=pipes_as_concat;select 1||flag from Flag
payload3:1;set sql_mode=PIPES_AS_CONCAT;select 1
之前没有接触过这类题目,涉及到堆叠注入和sql_mode规则的设置
补充知识
sql_mode:是一组mysql支持的基本语法及校验规则
PIPES_AS_CONCAT:将“||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似
当 sql_mode 设置了 PIPES_AS_CONCAT 时,|| 就是字符串连接符,相当于CONCAT() 函数
当 sql_mode 没有设置 PIPES_AS_CONCAT 时 (默认没有设置),|| 就是逻辑或,相当于OR函数 解释一下payload2
select 1查询,将sql_mode规则设置成 PIPES_AS_CONCAT,||符号就是将select 1和select flag from Flag的结果拼接起来
payload1: *,1
字符串或前面的数字结果为1则返回1,为0则返回0,效果跟直接*一样,本题相当于直接查找flag
关于MYSQL的sql_mode解析与设置
ONLY_ FULL_ GROUP_B:如果在SELECT中的列,没有在GROUP BY中出现,那么将 认为这个SQL是不合法的,因为列不在GROUP BY从句中,因为这个设置的存在,我们对于group by的用法只能是类似于select * from users group by id ;并且只能展示group by的字段,要是带有其他字段便会报错。
对这种状态进行修改:
set sql_mode=(select replace (@@sql_mode,'ONLY_FULL_GROUP_BY','')); 可以使用该语句来将空格替换掉only_full_group_by
STRICTTRANSTABLES:在该模式下,如果一个值不能插入到一个事务表中,则中断当前的操作,对非事务表不做任何限制。
NOZERODATE:在严格模式,不要将 '0000-00-00'做为合法日期。你仍然可以用IGNORE选项插入零日期。在非严格模式,可以接受该日期,但会生成警告。
ERRORFORDIVISIONBYZERO:在严格模式,在INSERT或UPDATE过程中,如果被零除(或MOD(X,0)),则产生错误(否则为警告)。如果未给出该模式,被零除时MySQL返回NULL。如果用到INSERT IGNORE或UPDATE IGNORE中,MySQL生成被零除警告,但操作结果为NULL。
NOAUTOCREATE_USER:防止GRANT自动创建新用户,除非还指定了密码。
ANSIQUOTES:启用ANSIQUOTES后,不能用双引号来引用字符串,因为它被解释为识别符。
PIPESASCONCAT:将"||"视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样是,也和字符串的拼接函数Concat想类似。
参考文章:https://www.cnblogs.com/ophxc/p/12879732.html#
https://www.cnblogs.com/chrysanthemum/p/11729891.html