标签：语句 BUUCTF Flag 闭合 EasySQL flag 查询 SUCTF2019 select

[SUCTF2019]EasySQL

这个连闭合都测试不出来，就有点无从下手了。

额，随手输了一个1;show tables;出来了表名。一通操作之后，点开了别人的wp,学习了一波。

然后知道了题目中的查询语句是怎么样的了,

sql="select".post['query']."||flag form Flag"

并且知道了，这个是拼接出来的语句，此处||的作用相当于是or;

解法一：

额，既然知道了闭合方式，尝试构造

首先，观察，我们可以传递一个*进去，查询所有数据，如果有限制，随后在做修改；其次，我们需要将||flag给“吃掉”

于是构造出payload：qurey=*,1

即可获得flag:

*，1说明

• *,1作用

  *代表查询搜有数据；1是跟||flag做判断，进行了运算。由于1这一列是“存在”的(是临时增加的)，得到1；

  所以语句select *,1||flag from Flag成了select *,1 from Flag

• *，*行不行

  不行，且不知道原因

• 数字不能出现在*前，即1,*是错误的

  额，知道原因，说不清楚；意思就是说，临时增加的列，不能够对原来的表造成任何影响。如果临时增加的列在了*前面那么原来的列的序号就会发生改变。如图：

• *，12,2可行

解法二：

playload:query=1;set sql_mode=pipes_as_concat;select 1

说明：

PIPES_AS_CONCAT:将“||”视为字符串的连接符号，而不是操作符号，这个和Oracle数据库是一样的，也和字符串拼接函数Concat相似。

注意：这里的payload不能拆分，单独执行

因为，select 99和两个ARRAY，足以说明已经将||视为连接符号

反思：

哇，由于以前做的题类型，都是对限制条件进行注入和绕过，还没有做过注入，所以，想也想不到是构造查询的列。

再加上，对于我来说，第一步，必然是找闭合方式，如果闭合方式找不到，也就没法做题了(只是对我来说)，别说盲注什么的了，就连下一步的勇气都没了。

参考：https://blog.csdn.net/weixin_44866139/article/details/105857487

标签：语句,BUUCTF,Flag,闭合,EasySQL,flag,查询,SUCTF2019,select
来源： https://www.cnblogs.com/upstream-yu/p/14835471.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。