簡介
這次要使用的靶機環境是SQLi Labs,SQLi-Labs是一個專業的SQL注入練習平臺,它是只專注SQL注入漏洞,以便我們研究學習SQL注入的整個注入程序,適用于GET和POST場景,包含了以下注入:
| 型別 | 方式 |
|---|---|
| 基于錯誤的注入 | 字符和整數型 |
| 基于報錯的注入 | 雙查詢注入 |
| 盲注入 | 布爾型和時間型 |
| 更新查詢注入 | update |
| 插入查詢注入 | insert |
| Header頭部注入 | (基于Referer注入、基于UserAgent注入、基于cookie注入) |
| 繞過WAF | 繞過黑名單\過濾器\剝離\注釋剝離 OR&AND 剝離空格和注釋剝離 UNION和SELECT |
| 繞過特殊函式 | addslashers、mysql_real_escape_string函式等 |
| 堆疊注入 | 堆查詢 |
| 等等 | ,,, |
一、環境依賴
推薦使用PHPstudy,因為他使用方便簡介,而且集成了多種功能
我們這里是用的是:小皮面板,大家可自行去官網上下載
我這里使用的是Apache+MySQL
二、靶場下載
Sqli-labs專案地址---Github獲取:GitHub - Audi-1/sqli-labs: SQLI labs to test error based, Blind boolean based, Time based.
大家也可以下載這個使用(傳送門) 提取碼:ghos
三、靶場搭建
首先將靶場的檔案解壓(如果只要sqli-labs只需解壓它即可,其他的也是一些靶場)
然后找到PHPstudy的安裝位置下的www檔案夾
將解壓檔案放入,然后修改sql-connections/db-creds.inc檔案當中的mysql賬號密碼!默認的mysql資料庫地址是“127.0.0.1 或 localhost",用戶名和密碼都是"root",主要是修改’$dbpass引數并保存
這樣靶場就算是搭建好了
輸入下方鏈接就可以進入了
SQL Injections
http://127.0.0.1/sqli-labs-master/
——‘如果出現錯誤,可以更換php版本進行嘗試’
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/402648.html
標籤:其他
上一篇:xctf攻防世界 Web高手進階區 unfinish
下一篇:埠轉發1:通過MSF實作