1.将phpstudy安装在E盘phpstudy
2.将grade放在phpstudy内的WWW目录中
3.在浏览器运行127.0.0.1/grade(此时看到的是静态页面,还没有连接数据库)
4.打开grade目录找到login.sql打开可以看到源码、可以看到连接的数据库账号密码等信息
5.在phpstudy中创建数据库(默认mysql账号和密码都是root,要保证和项目的mysql连接上我们要修改mysql密码将他和项目数据库密码一致才可以连接上),然后选择phpMyAdmin后去配置数据库,然后就可以打开该网站了
6.装jdk并配置环境变量
7.装owasp浏览器
8.装burp suite 并配置
9.装python2.7
10.装sqlmap
11.并将sqlmap放入python2.7目录下,并将sqlmap的路径放在环境变量中(在path中添加)
在cmd中运行sqlmap.py出现以下情况则表示配置成功
12.装御剑后台
13.装DirBuster(这个需要jdk的支持)目录爆破工具
14.万能密码:‘or’ 1 ‘=’ 1’ # 可以直接登录
n
a
m
e
=
name=
name=_post[‘name’];
p
a
s
s
=
pass=
pass=_post[‘pass’];
KaTeX parse error: Double superscript at position 40: …s where name=' '̲or'1'='1' # ' a…pass’ limit 0,1;
=slect * from users;
可以发现该网站存在sql注入漏洞。
想要上诉我用到的环境可以留言我会发给你