11.有回显，单引号

首先判断是字符型还是数字型

通过order by 来获取字段数 方便后续union联合

注意这里mime表明了内容要进行url编码，测试3报错，2正常，所以有2列。

还需要判断显示位，因为只有显示位的数据才能被爆出来。

不信你看，这里使用万能密码，按理来说应该是得到所有数据，但是只得到了一个，就是因为显示位的设置

使用union联合查询，判断显示位，注意语句当中的空格，select后面要加上空格

这样就可以把1，2位置换成其他的语句进行爆破即可。

使用shema（），爆破出数据库名称

12双引号加括号

.测试发现上一关的poc这一关用不了

先判断是字符型还是数值，发现加不加单引号都是没反应

尝试双引号，果然

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"1"") and password=("") LIMIT 0,1' at line 1

从报错信息当中知道不仅是双引号包裹外面还有括号

判断字段数 poc（轮子）：1") order by 3#

因为本身就没有数据，只会当列数大的时候报错

剩下的内容和之前是一样的，变形轮子即可，这道题的关键就在于发现它是双引号和有括号

13.单引号加括号

1个单引号报错

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'') and password=('') LIMIT 0,1' at line 1

所有知道是单引号加括号

所以poc和上一关是一样的把双引号换成单引号就行了

但是这关使用万能密码啥的也没有回显，要用报错注入

14.双引号

尝试1个双引号报错 两个正常

所以和11关是类似的，但是也要用报错注入

15.盲注无回显，单引号

构造单双引号发现怎样都是没有报错信息的，是盲注

通过尝试万能密码，发现是通过单引号闭合的

poc：1’ or 1=1 #       登录成功

通过延函数，确定这里存在sql注入

poc：1 ' or sleep(5) #   //这里是and就不行，因为一个为假的话，后面的延时函数就不会执行

之后使用延时注入即可

16.盲注无回显，双引号加括号

和15关一样也是盲注，错误信息被注释了

思路就是：既然不会报错的话，那么我们就要想办法构造可以成功执行的语句。

多次fuzz 

知道了它是双引号加括号的盲注 

剩下的就会上面一关是一样的了 构造poc即可

17修改密码盲注，updata函数

.这一关的网站首页变了

变成了修改密码的窗口

当用户不存在时的错误信息

尝试构造单双引号，发现也不会返回错误信息，又是盲注。

查看源码发现，会对输入的用户名进行过滤，所以只能在输入密码的地方尝试注入

修改密码使用的是updata函数

使用报错注入可以选择extractvalue()报错注入，updatexml()报错注入和group by()报错注入。

poc：可以看这个全网最全sqli-labs通关攻略(建议收藏)-腾讯云开发者社区-腾讯云 (tencent.com)

18.ua盲注

也是盲注，只会显示登录失败，但不会返回sql语句错误信息。要使用报错函数

查看源码发现对用户名和密码都做了处理 尝试ua头注入

因为有一些网站可能会把用户访问信息的ua头存储起来分析用户的使用习惯，是用手机访问的多还是电脑等等。

在ua头后面加了一个单引号发现报错，但是这里的逻辑是只有用户名和密码正确的时候，它才会去保存你的ua信息，前面试了几次但是用户名和密码是错的，也不行

接下来就可以尝试报错注入。

19.refer盲注

登录成功，发现会显示refer信息

那就尝试在refer当中构造

一个单引号，报错

所以在这个地方构造报错注入即可。

20.cookie盲注

登录成功后发现记录有cookie信息，可以删除，试了一下就是在cookie的值当中构造poc

21.cookie盲注加base64编码

本关的注入点在cookie参数，和上一关payload一样只是编码方式不同

这一关当中cookie信息是经过base64编码的，所以我们在构造poc时，也要进行base64编码

22.cookie盲注加双引号

本关的注入点在cookie参数，和上一关payload一样只是双引号闭合方式