mutillidae(1)安装与简单的SQL注入

最新推荐文章于 2024-03-27 10:38:39 发布
最新推荐文章于 2024-03-27 10:38:39 发布
阅读量632 收藏 2
点赞数
分类专栏: 网络安全 文章标签: 网络安全 渗透测试
原文链接:https://blog.csdn.net/weixin_41177699/article/details/81938236
版权

声明:“与原文稍有不一样 例如下面mutillidae2.6.68这个链接”

mutillidae实战(1)

第一次接触这个平台,打算使用这个平台进行一些web渗透演练,以此来加深下自己

对web安全的理解。今天主要是完成的环境的搭建和基础sql注入的尝试,后续将完成更多渗透测试。

这里使用的是windows7,并且已经安装了mysql了,在windows上,是需要再安装
PHP的才能跑这个平台的,这里推荐PHPstudy。安装教程网上各种博客各种经验贴都有,按照mysql安装、phpstudy安装、mutillidae平台搭建这样的顺序即可。

这里附上下载链接:

mutillidae2.6.68 phpstudy mysql

下载完毕后,进行安全,先将mysql和phpstudy安装好,然后下载mutillidae,下载完

毕后修改database-config.php文件,将里面的数据库用户名和密码替换成自己的。

database-config.php文件路径为:mutillidae/includes/database-config.php。

在这里插入图片描述
修改完毕后,将整个mutillidae文件夹复制到phpstudy网站根目录下。

网站根目录查看方式:打开phpstudy,点击其他选项菜单,点击查看网站根目录

在这里插入图片描述
将mutillidae整个复制到网站根目录下之后,即可在浏览器上访问该平台,输入

127.0.0.1:80/mutillidae,在弹出的页面中点击reset databse,等待数据库载入后,页

面弹出即为搭建成功。
在这里插入图片描述
简单的sql注入尝试

下面尝试下简单的sql注入,以此来检查下平台是否搭建成功。

选择: 2017 A1 Extract Data-User info

一打开是这样的界面,那么在这里就可以想到用SQL语句做文章了。

在这里插入图片描述

首先看下是否能进行SQL注入,这里我是选择字用户名框输入一个“\”,点击确认键,可以看到报错信息,并且可以看到SQL语句,说明存在SQL注入,此处无过滤。

与此同时,可以通过查看报错信息中的SQL语句,选择进行SQL注入的方式,这里可以看到这样的一行:

在这里插入图片描述

那么,选择在用户名输入处输入“‘ or 1=1 #”,通过使用“or”字句将输入匹配取消,并

使用“#”将后续语句中对password的查询给注释掉,即查询时的SQL语句变为了:

SELECT * FROM account WHERE username=’’ or 1=1 使用这个SQL语句,即可将

account表中所有的用户信息查询出来。点击确认后,可以看到下方出现所有的用户信息:

在这里插入图片描述
今天的工作就是这些,主要是平台的搭建和sql注入的简单尝试,后续将会进行其他web渗透演练,sql盲注、xss注入(存储型、反射型等)、html注入、命令注入、post/get等,总而言之,最大化的利用这个平台进行一些模拟演练,以此来提升自己。

网络安全,还是要一边练习一边学的。

mutillidae实战(2)
————————————————
版权声明:本文为CSDN博主「白色爬虫」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_41177699/article/details/81938236

时间极客
关注
专栏目录
mutillidae实战(1)-安装简单SQL注入
zhy的博客
08-22 1万+
mutillidae实战(1)     第一次接触这个平台,打算使用这个平台进行一些web渗透演练,以此来加深下自己对web安全的理解。今天主要是完成的环境的搭建和基础sql注入的尝试,后续将完成更多渗透测试mutillidae 在 windows7 下的安装     这里使用的是windows7,并且已经安装了mysql了,在windows上,是需要再安装PHP的才能跑这个平台的,这里...
渗透测试SQL注入-mutillidae注入练习
WEL测试
11-14 953
SQL注入原理流程图 以mutillidae的登录接口进行演示: 下面是一个登录页面:/mutillidae/index.php?page=user-info.php 登录验证流程: 点击submit之后,WEB应用会执行: 接收发送的POST请求 获取用户名和密码:(admin,admin) 构建SQL语句: select * from accounts where username ='admin' and password='admin'; 发送给数据库服务器来验证。 对u
mutillidae下载及安装
m0_62063669的博客
08-04 1355
注意:如果碰上“http://127.0.0.1/mutillidae/”打不开,报500错误(Internal Server Error),请自动切换版本,例如:我切换到"php-5.5.38+apache"即可正常!会跳转到 http://127.0.0.1/mutillidae/database-offline.php。6.启动phpstudy,打开http://127.0.0.1/mutillidae/1、下载、安装、启动phpstudy(www.phpstudy.net)。...
OWASP Mutillidae安装
一个程序员的修炼之路
08-08 7819
OWASP Mutillidae介绍OWASP(Open Web Application Security Project)是一个开源的、非盈利性的全球性安全组织。由全球的会员共同推动安全标准、安全测试工具、安全指导手册等应用安全技术的发展。OWASP也有中国的官方网站, 在这里你也可以关注到OWASP在中国的培训与活动等相关信息。 OWASP Mutillidae 是一个开源的、免费的漏洞演习系
【Linux】anaconda安装
My123456abc的专栏
08-06 188
1.先去官方地址下载好对应的安装包Ubuntu - anaconda linux 下载地址 2.然后直接安装anaconda 命令安装 bash ~/Downloads/下载文件的名称.sh 看到Thank you for installing Anaconda3! 表示安装成功。 然后就可以享用anaconda了! ...
OWASP Mutillidae II实验:SQL注入与数据库探索
"这篇资料是关于OWASP Mutillidae II实验指导书的汇总,涵盖了多种网络安全漏洞的介绍和利用,特别关注了SQL注入技术在确定数据库信息过程中的应用。" 正文: 在网络安全领域,尤其是Web应用安全方面,了解和防御SQL...
mutillidae sql注入漏洞分析
05-23
下面简单介绍一下MutillidaeSQL注入漏洞的分析过程: 1. 打开Mutillidae网站,找到SQL Injection(GET/SEARCH)选项卡,点击进入。 2. 在搜索框中输入一个关键词,比如"test",然后点击搜索按钮。 3. 在页面上...
手工注入 mutillidae
weixin_33853827的博客
04-09 304
环境: xampp-win32-5.6.3-0-VC11 Mutillidae-2.6.19 前言 网上能搜到mutillidae 相关的工具注入,但是手工注入的基本没有,好像大神们都已经略过手工注入这一阶段了,没办法,刚进入的新手还是老老实实手工注入。 这里也将搜集到的工具注入记录如下,以后用工具注入会有用的:...
mutillidae靶场搭建
KeChen的博客
07-05 941
mutillidae靶场搭建 下载许所需软件 mutillidae文件 phpstudy软件 下载完成后解压mutillidae文件到自定义的目录下 下载完成phpstudy后点击安装(怎么安装就不用我教了) 设置phpstudy 主要有四个步骤 设置阿帕奇 不用多讲 设置mysql数据库 第二部mysql数据库设置好密码, 这里用密码为"root"举例 在phpstudy的数据库选项卡中设置数据库密码为"root" 修改mutillidae解压文件中include目录下的database-config.
【解决方案】mutillidae 2.11.4 靶场在php2018环境下安装报错
qq_45196785的博客
05-19 230
3、D:\software\phpStudy2018\PHPTutorial\WWW\mutillidae\database-offline.php 105行在fsockopen前面加个@将php-7.4.33-nts-Win32-vc15-x64全部文件复制到php-7.2.1-nts。第二步也可以直接在官网下载php7.3以上版本。137行注释提示php版本需要7.3以上。2、版本问题,切换到高版本即可。1、修改数据库名+密码。
Mutillidae II 实验指导书.rar
11-17
OWASP Mutillidae II 漏洞靶场实验指导书汇总
OWASP Mutillidae 靶机实验指导书
06-08
该指导书对每个页面存在漏洞进行了详细分类,对OWASP Top 10 应用安全风险-2017中的漏洞举例说明,结合靶机使用还不错。
OWASP Mutillidae II 漏洞靶场实验指导书.pdf
11-20
OWASP Mutillidae II 漏洞靶场实验指导书汇总 OWASP Top 10 应用安全风险-2017 OWASP (Open Web Application Security Project)开放式 Web 应用程序 安全项目,是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有 成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
mutillidae实战(3)-CBC反转提权
zhy的博客
10-15 1386
1.工作总结 时隔一个多月了,因为忙着保研所以没太多时间来写博客。今天介绍的是涉及到密码学的一个东西,挺有意思的,也算是对课堂上的内容进行了运用了吧。 使用CBC反转来实现用户权限的提升。 主要工作为三个: burpsuite安装; CBC反转权限提升。 在burpsuite的安装中,这里我找了一个破解版的进行安装,且经过测试可以使用。 安装全过程:https...
linux上安装Mutillidae
beta_safe的博客
06-13 823
XAMPP:下载地址(https://www.apachefriends.org/download.html)Mutillidae:下载地址(http://sourceforge.net/projects/mutillidae/)首先安装XAMPP1.  下载完成2.  cd Downloads3.  chmod +x xampp-linux-x64-5.6.12-0-installer.run4...
黑客常用的渗透练习网站,快来试试!
最新发布
logic1001的博客
03-27 981
DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全。01链接地址:http://www.dvwa.co.ukmutillidaemutillidae是一个免费,开源的Web应用程序,提供专门被允许的安全测试和入侵的Web应用程序。
网络安全】CTF入门教程(非常详细)从零基础入门到进阶,看这一篇就够了!
Python栈
12-18 1538
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式。CTF入门最近很多朋友在后台私信我,问应该怎么入门CTF。个人认为入门CTF之前大家应该先了解到底什么是CTF,而你学CTF的目的又到底是什么;其次便是最好具备相应的编程能力,若是完全不具备这些能力极有可能直接被劝退。
Kali linux 学习笔记(五十一)Web渗透——sqlmap自动注入 2020.3.28
闵行小鱼塘
03-28 3267
学习sqlmap自动注入
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8555
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值