④sqlilabs的less-3和less-4

less-3和less-4都是基于字符型的SQL注入，具体判断方法是使用模糊测试，即在注入过程，输入一些特殊意义的参数等，并尝让应用程序报错，根据报错的信息来进行SQL注入。

其中，输入的任意字符包括单引号（’），双引号（”），反斜线（\），正括号（(），反括号（)）等。

接下来，我们以less-3为例，完成一次基于字符型的SQL注入（less-4的方法一样）。

less-3

原始页面如下：



在原始URL后面输入单引号，显示页面如下：



页面报错信息如下：

ou have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1'') LIMIT 0,1' at line 1

推测此时后台数据库的SQL查询语句如下：

select ... from ... where id = ('1'') limit 0,1;

为了确认我们的判断，在原始URL后面添加两个单引号（”），得到页面如下：



所以，我们可以确定后天数据库的SQL查询语句为：

select ... from ... where id = ('$id') limit 0,1;

那么，在SQL注入过程中，我们需要注意三个问题：

①单引号的闭合；

②括号的闭合；

③注释掉多余的语句；

接下来，我们使用order by 语句查询字段数目：

order by 3显示页面正确：



order by 4显示页面错误：



所以，当前数据库的字段数目为3.

接下来，我们使用union语句判断能显示在前端的字段。



最后，我们一步一步的枚举数据库内容。

枚举数据库名：



枚举当前数据库名：



枚举表名：



枚举列名：



枚举数据项：