(2020上半年第6天)小迪网络安全笔记(操作②)sql注入网站测试简单靶机网站搭建

最新推荐文章于 2024-04-18 08:23:01 发布
最新推荐文章于 2024-04-18 08:23:01 发布
阅读量482 收藏 2
点赞数 1
分类专栏: 2020全年小迪网络安全笔记 文章标签: 安全 安全漏洞 线程安全 java 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013630181/article/details/117961909
版权

我们代码采用的是:链接①
注意:
第一步:进入phpstudy根目录把php导入
在这里插入图片描述

其他菜单->网站根目录
也可以:D:\phpstudy_pro\WWW
第二步:这里推荐用notepad在这里插入图片描述

新建test.php文件把代码复制进去(我这边用test做测试)
(下面的代码是有错误的)

<body>
<?php
       $conn=@mysql_connect("localhost",'root','')or die("数据库连接失败!");;
      mysql_select_db("injection",$conn) or die("您要选择的数据库不存在");
      $name=$_POST['username'];
      $pwd=$_POST['password'];
      $sql="select * from users where username='$name' andpassword='$pwd'";
      $query=mysql_query($sql);
      $arr=mysql_fetch_array($query);
      if(is_array($arr)){
             header("Location:manager.php");
       }else{
             echo "您的用户名或密码输入有误,<a href="Login.php">请重新登录!</a>";
       }
?>
</body>
</html>

第三步:
别忘了启动phpstudy
进入http://127.0.0.1/test.php查看test.php
出现错误他是有提示的:

那我们就慢慢改:(下面的是对的)

<html>
<head>
<title>注入测试</title>
<meta http-equiv="content-type"content="text/html;charset=gb2312 ">
</head>

 

<body>
<?php

      $conn=@mysql_connect("localhost",'root','root')or die("数据库连接失败!");;

      mysql_select_db("test",$conn) or die("您要选择的数据库不存在");

      $id=$_GET['x'];

     

      $sql="select * from user where id='$id' ";

      $query=mysql_query($sql);

      $arr=mysql_fetch_array($query);

      if(is_array($arr)){

             echo'ok';

       }else{

             echo "您的ID没数据</a>";

       }

?>
</body>
</html>
注入测试

补充
注意:出现这样的情况
在这里插入图片描述

解决方法:
方法④把能用的带入url看看能不能用,
如果能用:就是我们刚创建的php问题
可以用前几节课的sqli-labs验证(http://127.0.0.1/sqli-labs/)测试一下
如果不能用:
方法①看看phpstudy启动没有
方法②看看是不是php网页
方法③重启phpstudy

注意如果出现乱码
在这里插入图片描述

进入php文件把utf-8改成gb2312
在这里插入图片描述

修改后
在这里插入图片描述

如果没有创建数据库的话结果(也可以说上面都是正确的了)会出现这样的结果
在这里插入图片描述

上面结束现在开始搭建数据库

我们采用的是phpMyAdmin(自己去下)和上面test放一个目录里
Phpmyadmin的搭建参考:链接③

Phpstudy用phpmyadmin问题较多,如果可以的话建议用phpstudypro来弄,或者是改成mysql(安装完phpmyadmin后记得重启)
下面我们开始:
http://127.0.0.1/phpMyAdmin/进入phpmyadmin
注意:
不要用mysql管理器启动phpmyadmin,点击会进入百度首页
在这里插入图片描述

开始创建数据库:我这边是一点点创建的你也可以直接用sql语言
第一步:随便选一个(记住数据库名和表名用的到)
在这里插入图片描述在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述

自己添点数据

执行后数据库就创建完毕了
效果测验:

在这里插入图片描述x为什么等于1,这个自己看php自己写的代码。

<html>
<head>
<title>注入测试</title>
<meta http-equiv="content-type"content="text/html;charset=gb2312(这个不用说了吧) ">
</head>
<body>
<?php
      $conn=@mysql_connect("localhost",'root(账号)','root(密码)')or die("数据库连接失败!");;(账号密码取phpstudy设置)
      mysql_select_db("test(phpmyadmin数据库名)",$conn) or die("您要选择的数据库不存在");

      $id=$_GET['x'];
      $sql="select * from user(phpmyadmin表名) where id='$id' ";
      $query=mysql_query($sql);

      $arr=mysql_fetch_array($query);

      if(is_array($arr)){

             echo'ok';
       }else{
             echo "您的ID没数据</a>";
       }

?>
</body>
</html>

如果还有什么问题留言

.白菜白菜大白菜.
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
sql注入学习——环境搭建
qq_49502930的博客
10-20 2097
sql注入学习——环境搭建 文章目录sql注入学习——环境搭建一、phpstudy最新版下载安装与注意事项二、sql-labs安装与注意事项三、浏览器登录127.0.0.1\sqli-labs-master总结 一、phpstudy最新版下载安装与注意事项 (1)phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer. (2)是非常方便、好用的PHP调试环境.该程序不仅包括PHP调试环境,还包括了开发工具、
hack学习资料.zip
07-25
分享一套学习资料,里面所包含了基本工具、实验环境、信息收集、扫描以及Metasploit之类的教程和资源或者在线网站等等。
常用的网络安全靶场、工具箱、学习路线推荐
网络安全
04-18 1630
本公众号名称从“网络安全研究所”正式改为“网络安全实验室”有招聘需求的可以后台联系运营人员。对于想学习或者参加CTF比赛的朋友来说,CTF工具、练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助。CTF在线工具首先给大家推荐我自己常用的3个CTF在线工具网站,内容齐全,收藏备用。1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常...
深入学习1———利用phpstudy搭建本地sql注入漏洞
这周末在做梦的博客
11-01 2368
利用phpstudy搭建本题sql注入漏洞一,搭建完成后的效果二,实现原理三,参考知识及其来源 一,搭建完成后的效果 本次测试注入原理使用的为简单的select查询测试,未涉及联合查询。 1进行注入测试。 (1)打开题目页面 (2)利用所设置的题目提示,进行简单的“ ’ or 1=1#”注入, 密码随意。 (3)提示注入成功。 2进行非注入测试 (1)随意输入用户名和密码。 返回注入失败的结果。(2)输入已设置在test库中的用户名和密码 3Phpstudy配置介绍 (1)Apache2.4.39 (2)
简单SQL注入实验之web,靶场搭建在phpstudy,连接mysql数据库;里面有很多靶场,今天就只是玩一玩sql
xiaochenhang的博客
08-17 333
columns表:table_schema:存储了所有的数据库名字,table_name:存储了所有的表 column_name 存储了所有的字段名字;7、通过为真语句判断后正常,为假语句异常,可能存在整型注入,直接使用数字型(整型)注入看一看;tables表:table_schema:存储了所有数据库名字,table_name:存储了所有的表名字。8、判断好字段数为6后,利用union判断回显字段,若无回显,接下来则不能在浏览器显示查询;4、搭建好后,有一个警告,不用管它。......
网络攻防期末大作业选题:防sql注入的登录网站【网络攻防CTF】(保姆级图文)
MZH
06-13 3340
期末大作业选题:放sql注入的登录网站【网络攻防CTF】(保姆级图文)
phpstudy下的SQL注入
m0_54448527的博客
03-23 1371
web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询 ,攻击者可以通过构造恶意的 sql 语句来实现对数据库的任意操作
靶机测试网络安全,安全测试
最新发布
04-20
靶机测试网络安全,安全测试
2021年山东省职业院校技能大赛网络安全赛项C模块Linux靶机
04-29
假定你是某企业的网络安全渗透测试工程师,负责企业某些服务器的安全防护,为了更好的寻找企业网络中可能存在的各种问题和漏洞。你尝试利用各种攻击手段,攻击特定靶机,以便了解最新的攻击手段和技术,了解网络黑客...
OWASP靶机、安全学习、测试
05-24
在信息安全中OWASP TOP 10 是渗透测试人员都会涉及到的一个项目,意思是10项最严重的Web 应用程序安全风险列表,该列表总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞。这里包括: A1—注入 A2—失效的...
网络安全夺旗5个flag靶机详细实操教程
06-14
详细介绍从环境搭建到,攻破靶机的每一个详细步骤,命令,截图和部分原理解释,非常适合初学者联系用。参考引用了部分大牛的策略,但有所改进。
web漏扫-appscan漏扫软件扫描靶机并分析-xss,sql等详细笔记总结
06-30
web漏扫-appscan漏扫软件扫描靶机并分析-xss,sql等详细笔记总结
SQL注入环境搭建及多种注入类型测试实验
晓宇的博客
04-14 5563
SQL注入环境搭建及多种注入类型测试实验
本地搭建含有简单sql注入漏洞的网站
mukami0621的博客
12-06 2万+
本地搭建简单sql注入漏洞网站 注入过一些有sql注入漏洞的网站,但是自己本地搭建倒还是第一次尝试.... 安装phpstudy 集成了Apache+PHP+MySQL+phpMyAdmin等的神奇工具,可以直接就搭建出一个本地网站,比如网址为http://127.0.0.1/phpinfo.php的 编写login.php和test.php(编写漏洞页面) login
(2020上半年第4天(漏洞分类))小网络安全笔记
u013630181的博客
06-12 643
这节课理论偏多就是这个图,算是把安全做了一个总结。有几个操作我没写,这要是对上节课的几个软件进行调试。 就这几节课来说我对安全有了一个初步的了解,总结来说就是安全这边很杂方法很多,所以学习框架对于我们来说很重要,当然还要多动手操作还要了解新漏洞了解补上的漏洞,还有一些软件的操作,当然还有编程(解决软件不符合我们的期望我们自己改),总之学习的东西有很多。 ...
WEB
热门推荐
weixin_52125240的博客
09-26 2万+
WEB-学习小安全第01天:基础入门—概念名词域名 小安全 第01天:基础入门—概念名词 域名 1)什么是域名? 域名,是由一串用点分割的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时计算机的电子方位; 例如:www.bilibili.com 2)域名在哪里注册? 在第三方平台上注册,国内的一些域名注册商,比如阿里云旗下的万网。 3)什么是二级域名多级域名? 二级域名:顶级域名之下的域名。 例如: www.baidu.com为主域,则图中news.baidu.com为二级域
靶机:narak
weixin_50339323的博客
08-04 1578
靶机网址:https://www.vulnhub.com/entry/ha-narak,569/ 目录 一、信息搜集: 二、漏洞利用与探测: 三、提权 一、信息搜集: 获取IP: nmap -sP 192.168.8.0/24 端口扫描: nmap -sV -p- -sC 192.168.8.132 -n -vv 22、80端口均开启 访问192.168.8.132 从页面搜索信息 · 翻译了一下网页内容信息提取关键字或许有用: yamdoot,...
安全第04天 基础入门,WEB源码拓展
qq_46116117的博客
11-21 822
04 基础入门,WEB源码拓展 前言: WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审 计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。 比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其他脚本 源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源 码的获取将为 后期的安全测试提供了更多的思路。 知识点:  关于 WEB 源码目录结构  关于 WEB 源码脚本类型  关于 WEB 源码应用分类  关于 WEB 源码其他说明 #数据库配置文件,
(2020上半年第6天)小网络安全笔记操作①)sqlilabs靶机环境搭建
u013630181的博客
06-14 1万+
材料:phpstudy2018 链接:phpstudy2018 和sqli-labs链接:sqlilabs 第一步:下载解压这个就不细说了 第二步:phpstudy2018打开 这里老师截不上图,我还是说一下吧 ①切换版本这里我选的是php-5.4.45 ②其他选项选择(网站根目录)打开目录后把sqlilabs下载的rar解压到这个里面 ③也可以直接到文档:D:\php2\PHPTutorial\WWW 第三步: 打开D:\phpStudy\PHPTutorial\WWW\sqli-labs\sql-co
sql注入攻击技术的靶机
08-31
SQL注入攻击技术的靶机是一个用于模拟和演示SQL注入攻击的系统或应用程序。靶机通常存在安全漏洞,可以被攻击者利用进行SQL注入攻击,以此来加深对SQL注入漏洞的理解和防御技巧。 以下是一些常见的SQL注入漏洞靶机...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.白菜白菜大白菜.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值