[SUCTF 2019]EasySQL 1（SQL堆叠注入+select 1 from的用法+sql_mode=PIPES_AS_CONCAT）

（本文为个人刷题记录，不记录完整解题步骤，而是写一下自己的感悟点）
为了准备20/8/20号信安大赛，临阵磨枪刷一下题

SQL堆叠注入

  这个就不再写原理了，之前也遇到很多了，就是一个sql语句";"后面可以继续执行sql查询语句。

试一下堆叠注入查询数据库

1;show databases;

查询表名

1;show tables;

这里直接用下面查询FLag表是不行的

1;show columns from Flag;#

接下来就是最迷的步骤，大佬居然可以从报错中猜出查询语句是：

select $_GET['query'] || flag from flag

这里的"||"是啥意思，查了一下mysql中表示或，如果前一个操作数为真，则不看后面的语句

然后构造payload

*,1

这啥意思，我来解释一下

sql=select.post['query']."||flag from Flag";
如果$post['query']的数据为*,1，sql语句就变成了select *,1||flag from Flag，
就是select *,1 from Flag，这样就直接查询出了Flag表中的所有内容。

那select 1 from 是啥意思吖？

不懂就查，看了一堆（看这里，还有这里），这里总结一下我的理解
这里会增加一个临时列，它的列名是1，然后那一列的值都为1
看大佬做的验证：

还有这些：

所以整个payload语句的意思就是查询所有数据，然后增加了一个临时列，看结果：

第一列是本来数据库的，后面是新增的临时列

另外一种解法

思想是把"||"变成字符串连接符，而不是或
涉及到mysql中sql_mode参数设置，设置 sql_mode=pipes_as_concat字符就可以设置。（sql_mode设置）

在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接。
但在mysql 缺省不支持。需要调整mysql 的sql_mode
模式：pipes_as_concat 来实现oracle 的一些功能。

payload：

1;set sql_mode=PIPES_AS_CONCAT;select 1

（看红线，临时列）

感受

本来觉得难上天，最后发现多看几个网页，只到自己搞懂了，问题还是能解决的（除了这题猜测查询语句的本事，这个我不说了），谢谢网上的记录文档，让我可以学习
参考：
别人的WP