[SUCTF 2019] EasySQL

打开靶场

 输入数字1（经测验发现好像任意数字都会有回显）会有回显,而字符就不会有回显

这里需要注意的一个点就是输入字符后url上不会有回显，说明传参的方式是post而非get，查看源代码后证实了我们的猜测

惯例的使用单引号来检测注入点，发现没有回显，尝试使用堆叠注入来查看表名

继续尝试查看字段：1;show columns from Flag，果然没有回显，写题时进行到这一步，我就没有思路了，上网查看大佬的wp后发现需要猜测后台的SQL语句，输入数字有回显而字符没有回显，说明了语句中存在 || 结构（我目前不太清楚原因）

sql语句为select *,1 || flag from Flag,  这里的 || 可以理解为 or，很显然 1 || flag是会返回1的，也就是说sql语句其实就是select *,1 from Flag;

综上，内置的sql语句为sql = "select".post[‘query’]."||flag from Flag";输入的值为*,1

标签：SUCTF,语句,回显,flag,EasySQL,Flag,2019,sql,select
来源： https://www.cnblogs.com/r1kka/p/15360335.html