[SUCTF 2019]EasySQL(堆叠注入配合sql_mode)
作者:互联网
考点:1.堆叠注入
2.set sql_mode=PIPES_AS_CONCAT;
将||
视为字符串的连接操作符而非或运算符
意外:注入*
复现:
1;set sql_mode=PIPES_AS_CONCAT;select 1
在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接,但在mysql 缺省不支持。需要调整mysql 的sql_mode 模式:pipes_as_concat 来实现oracle 的一些功能
意外是 * 没有过滤,可以直接注入*
*,1
学习链接:
标签:SUCTF,set,mysql,缺省,EasySQL,2019,mode,sql,注入 来源: https://www.cnblogs.com/tiaopidejun/p/12335255.html