构建sqli-labs学习环境与掌握SQL注入技术教程

根据提供的文档内容，以下是关于安装sqli-labs学习环境和SQLI-LABS教学的详细步骤和知识点：

安装sqli-labs学习环境

环境准备

• 操作系统：CentOS 7.6
• 主机名：xuegod63
• IP地址：192.168.1.63

关闭防火墙和SELinux

1. 禁用并停止firewalld防火墙服务：

   systemctl disable --now firewalld
   

2. 临时关闭SELinux：

   setenforce 0
   

3. 永久关闭SELinux，编辑配置文件：

   sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
   

安装必要服务

1. 安装httpd（Web服务器）：

   yum -y install httpd
   systemctl enable --now httpd
   

2. 安装mariadb-server（数据库服务器）：

   yum -y install mariadb-server
   systemctl enable --now mariadb
   

3. 安装PHP及其MySQL扩展：

   yum -y install mariadb php php-mysql
   

配置数据库

1. 设置MariaDB root用户密码：

   mysqladmin -u root password "123456"
   

2. 登录数据库并创建测试页面：

   mysql -u root -p123456
   

   创建phpinfo()测试页面以验证PHP和Apache配置。

安装sqli-labs

1. 使用rz命令上传sqli-labs压缩包到CentOS系统。
2. 解压并移动压缩包内容到Web服务器根目录：

   unzip sqli-labs-master.zip -d /var/www/html
   mv /var/www/html/sqli-labs-master/ /var/www/html/sqli-labs
   

3. 修改文件权限以适应Apache用户：

   chown -R apache:apache /var/www/html/
   

配置sqli-labs

1. 编辑db-creds.inc文件，设置数据库密码：

   vim /var/www/html/sqli-labs/sql-connections/db-creds.inc
   $dbpass ='123456';
   

2. 访问http://192.168.1.63/sqli-labs/以完成数据库和数据表的安装。

创建快照

• 创建系统快照以便于恢复学习环境。

SQLI-LABS教学

访问教学页面

• 通过浏览器访问http://192.168.1.63/sqli-labs/index.html。

教学内容

1. Less-1：基础SQL注入案例，包括：

   • 如何通过修改URL传递参数。
   • 分析错误信息来识别SQL注入点。
   • 使用ORDER BY子句来确定查询字段的数量。

2. 手动SQL注入闭合方式：介绍不同的闭合方式，如单引号、双引号、空格等。

3. 实战练习：通过实际操作来加深对SQL注入的理解。

总结

• 通过sqli-labs实验平台，学习者可以安全地练习和掌握SQL注入技术。

注意事项

• 确保在合法和受控的环境中进行实验。
• 不要将所学技术用于非法活动。

通过遵循上述步骤，用户可以成功搭建sqli-labs学习环境，并开始学习SQL注入的相关技术。