首先打开题目主页看到是登录界面，先判断闭合类型

1. 可以看到这个是单引号闭合
   之后测试过滤的字符

2. 之后可以发现select,from,or都报错了，没有回显你可别被我逮住了，说明select,from,or都没有被过滤，但是union被过滤了
之后查询了资料知道这个是xpath报错注入，可以采用函数注入updatexml，extractvalue（）

小知识

extractvalue()
extractvalue() :对XML文档进行查询的函数
语法：extractvalue(目标xml文档，xml路径)
第一个参数 : 第一个参数可以传入目标xml文档
第二个参数： xml中的位置是可操作的地方，xml文档中查找字符位置是用 /xxx/xxx/xxx/…这种格式，如果我们写入其他格式，就会报错，并且会返回我们写入的非法格式内容，而这个非法的内容就是我们想要查询的内容。
　　　　　　正常查询 第二个参数的位置格式 为 /xxx/xx/xx/xx ,即使查询不到也不会报错
不过函数的限制是：它能够查询的字符串长度最大是32个字符，如果超过32位，我们就需要用函数来查询，比如right(),left()，substr()来截取字符串
再举个例子：
SELECT ExtractValue('', '/a/b'); 这个语句就是寻找前一段xml文档内容中的a节点下的b节点，这里如果Xpath格式语法书写错误的话，就会报错。这里就是利用这个特性来获得我们想要知道的内容。
利用concat函数将想要获得的数据库内容拼接到第二个参数中，报错时作为内容输出。

?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(database())),0x7e))%23