这一题有点蛋疼,比较难顶
看了别人的write up 也很难get到解题思路,感觉必须要拿到源码进行审计才能解
大佬们猜后端是这么写的
select $_POST['query'] || flag from Flag;
这里使用或来拼接字段名称
那么输入*,1, 用1 || flag得到1,这样拼接出来sql是:
select *,1 from Flag;
得到flag
Array ( [0] => flag{26d6bc25-ce81-4a4c-b24b-8ba243efad8e} [1] => 1 )