解題思路：

①先試試1'# 發現沒有回顯
②試試1? 有回顯

③試試單引號注入

④試試用order by查詢表的列數：1 order by 1

用不了聯合注入了！

下面嘗試使用堆疊注入：
payload：1;show databases;#

payload：1;show tables;#

payload：1;show columns from Flag;#(查詢Flag表中的列)

到這一步，堆疊注入也沒辦法得出flag

既然同時他也沒有報錯信息，那報錯注入也不用太考慮了。
1 and updatexml(1,concat(0x7e,(select database()),0x7e),1)#????? 【nonono】
試下布爾盲住，結果發現不管怎么樣都是返回nonono，就連數據庫長度大于1這種探針都返回nonono，那基本可以放棄布爾盲注了。

小菜雞做不出來了。。。

接下來是網上的兩種解法,參照了網上大佬們的WP

解法1、
1）第一種是猜出了源碼select $_POST[‘query’] || flag from Flag,

sql_mode 設置了 PIPES_AS_CONCAT 時，|| 就是字符串連接符，相當于CONCAT() 函數
當 sql_mode 沒有設置 PIPES_AS_CONCAT 時 （默認沒有設置），|| 就是邏輯或，相當于OR函數
第一種就按默認沒有配置來進行，此時||就是邏輯或
||在命令執行中見過，
回顧:
command1;command2順序執行
command1 || command2
如果command1執行失敗，則執行command2
command1 && command2
如果command1執行成功，則執行command2

因此只需要將

$_POST[‘query’]

提交的數據換成*,1(如果直接寫的話會被報錯，且寫在后面會失效)
解釋:
sql=select.post[‘query’]."||flag from Flag";（拼接語句）
如果$post[‘query’]的數據為

*,1

sql語句就變成了select *,1||flag from Flag，
就是select *,1 from Flag，這樣就直接查詢出了Flag表中的所有內容。
此處的1是臨時增加一列，列名為1且這一列的所有值都為1

執行payload：*,1

解法2、
（2）第二種是將||作為字符串連接符，因此需要在語句中更改其配置
sql_mode=PIPES_AS_CONCAT時即可
Payload:1;set sql_mode=PIPES_AS_CONCAT;select 1
拼接完之后：select 1;set sql_mode=PIPES_AS_CONCAT;select 1||flag from Flag
相當于是select 1 from Flag和select flag from Flag

?

?

總結

以上是生活随笔為你收集整理的BUUCTF-WEB：[SUCTF 2019]EasySQL 1的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。