sqli-labs靶场的搭建与环境的安装
sqli-labs介绍很多时候新手在学习sql注入的时候,往往找不到合适的靶场进行练习操作。而sqli-labs就是一个适合新手去练习注入的一个专业的SQL注入练习平台,是一个印度程序员写的程序,用来学习sql注入的一个游戏教程。其中包含了各种各样的注入姿势,并适用于GET和POST等场景,包含了以下注入:1. 基于错误的注入(Union Select)字符串整数2. 报错注入3. 盲注(基于Bo
sqli-labs介绍
很多时候新手在学习sql注入的时候,往往找不到合适的靶场进行练习操作。而sqli-labs就是一个适合新手去练习注入的一个专业的SQL注入练习平台,是一个印度程序员写的程序,用来学习sql注入的一个游戏教程。其中包含了各种各样的注入姿势,并适用于GET和POST等场景,包含了以下注入:
1. 基于错误的注入(Union Select)
字符串
整数
2. 报错注入
3. 盲注(基于Bool数据类型注入、基于时间注入)
4. mysql 读写文件
5. 更新查询注入(update )
6. 插入查询注入(insert )
7. Header头部注入(基于Referer注入、基于UserAgent注入、基于cookie注入)
8. 二次注入
9. 绕过WAF
绕过黑名单\过滤器\剥离\注释剥离 OR&AND 剥离空格和注释剥离 UNION和SELECT
10. 绕过addslashes()函数
11. 绕过mysql_real_escape_string()函数(在特殊条件下)
12. 堆叠注入(堆查询注入)
等…
sqli-lab下载地址:
https://github.com/Audi-1/sqli-labs
web环境搭建:
在安装靶场之前,我们还需要搭建web运行环境:
这里直接使用phpstudy进行搭建,phpStudy是一个PHP调试环境的程序集成包。安装后一键启动即可运行web环境:下载地址
下载后安装即可。
sqli-lab靶场搭建:
将下载的sqli-lab压缩包解压到phpstudy的网站根目录中
接着修改数据库配置文件如下:
<?php
//give your mysql connection username n password
$dbuser ='root';
$dbpass ='root';
$dbname ="security";
$host = 'localhost';
$dbname1 = "challenges";
?>
因为phpstudy默认的mysql数据库地址是“127.0.0.1 或 localhost",用户名和密码都是"root"。这里主要是修改’$dbpass‘为root,即自己的数据库密码,默认为root,修改后自然是需要保存文件的,这个不用说相信大家也能知道。
接着浏览器打开“http://127.0.0.1/sqli-labs-master/”访问首页
点击“Setup/reset Database”使其自动创建数据库,创建表并填充数据。
安装成功后,这里是有75个part的。
这样就可通过靶场的练习来更好的认识SQL注入漏洞和SQL注入的危害。
更多推荐
所有评论(0)