题目地址：https://buuoj.cn/challenges#[SUCTF%202019]EasySQL

SQL查询，观察回显，这里应该是用var_dump()输出

在测试查询的时候发现有些字符能使用，有些字符被过滤了，因此查询点进行fuzz测试，看看过滤了哪些字符

回包长度为523的都是可以使用的，其他的字符均已被过滤
PS：这里使用Burp进行fuzz的线程不要开太高，容易报429，fuzz的字符不多可以慢慢跑

;可以使用，尝试堆叠注入

首先这里的query参数无论我们输入数字什么都只会回显Array([0]= > 1)，输入字母不会显，但是也没显示是过滤的，所以query的值如果为非数字则无法正确查询得到数据回显，那么查询语句就应该长这样

$sql = "select ".$post['query']."||flag from Flag";

知道查询语句了就好做了，先看一个非预期解

非预期解

||在SQL语句中表示或，在查询表中的字段内容时，逗号,用于查询多个字段名

payload

*,1

预期解

通过修改SQL配置将或运算符||设置为连接符

set sql_mode=PIPES_AS_CONCAT;

payload

1;set sql_mode=PIPES_AS_CONCAT;select 1

这样拼接得到的语句就应该是

select 1;set sql_mode=PIPES_AS_CONCAT;select 1||flag from Flag;