SQLI LABS | SQLI LABS 靶场初识

关注这个靶场的其它相关笔记:SQLI LABS —— 靶场笔记合集-CSDN博客

0x01:SQLI LABS 靶场简介

SQLi-Labs 靶场是一个专门用于学习和测试 SQL 注入漏洞的开源靶场,该靶场提供了多个具有不同漏洞类型和难度级别的 Web 应用程序的环境。这些应用程序旨在模拟真实世界中的 Web 应用,以便开发者能够学习和测试 SQL 注入漏洞。通过使用这个靶场,开发者可以深入了解 SQL 注入的原理、技巧和防范方法。

SQLi-Labs 靶场的主要特点如下:

  1. 多种漏洞类型: SQLi-Labs 靶场包含了多种类型的 SQL 注入漏洞,如报错盲注、布尔盲注、基于联合查询的 SQL 注入等。这些漏洞类型涵盖了 SQL 注入攻击的常见场景。

  2. 不同难度级别: 靶场中的每个应用程序都有不同的难度级别,从简单的入门级别到复杂的挑战级别。这有助于开发者根据自己的技能水平逐步学习和提高。

  3. 实时反馈: 在靶场中进行测试时,系统会提供实时的反馈,帮助开发者了解他们的测试是否成功以及漏洞的利用方式是否有效。

综上所示,SQLi-Labs 靶场是一个非常有用的工具,可以帮助开发者学习和测试 SQL 注入漏洞。通过使用这个靶场,开发者可以更加深入的了解 SQL 注入的原理、技巧和防范方法,从而提高自己的安全意识和技能水平。

0x02:SQLI LABS 靶场安装

0x0201:Windows 系统安装 SQLI LABS 靶场

附件资源

  • 靶场运行环境

    • PhpStudy - CSDN 配套资源:phpstudy_x64_8.1.1.3.zip

    • PhpStudy - 官网地址:小皮面板-好用、安全、稳定的Linux服务器面板!

  • 靶场资源包

    • SQLi-Labs 源码包 - CSDN 配套资源:sqli-labs-php7.zip - 配合 PHP 7.X 使用

    • SQLi-Labs 源码包 - 官网地址:https://github.com/Audi-1/sqli-labs - 配合 PHP 5.X 使用

注意:如果使用不配套的 PHP 版本,很有可能安装失败!

Windows 操作系统安装 SQLI LABS 靶场,主要分为以下两步:

  1. 靶场运行环境搭建(PHP + Apache + MySQL) - PhpStudy => 参考:PhpStudy 使用手册

  2. 导入 SQLI LABS 靶场源码并修改其数据库连接配置文件。

这里主要介绍第二步,靶场的运行环境我们采用 PhpStudy 一键集成部署即可,PhpStudy 的安装方法可以参考上面提供的链接(内含:Windows 与 Linux 操作系统安装 PhpStudy 的步骤)。

1. 导入 SQLI LABS 靶场源码

首先,从附件资源中下载 SQLI LABS 靶场的源码包,并进行解压操作:

然后,我们要将解压后的靶场文件,放到站点根目录下。PhpStudy 中定位站点根目录的方法如下:

打开站点根目录后,直接将解压后的 SQLI LABS 靶场源码拖进去即可(为了方便后续访问,建议把解压后的文件名改为 sqli-labs(sqli-labs-php7 => sqli-labs)):

下面是 sqli-labs 文件夹中的内容(直接就是源码,没有再多嵌套文件夹):

2. 修改 SQLI LABS 数据库配置文件

源码导入成功后,我们还需要修改数据库配置文件,方便靶场访问本机 MySQL 数据库。配置文件的路径如下:

 配置文件路径: sql-connections/db-creds.inc

如下图,我们需要修改数据库连接的用户名和密码(别忘了保存):

上面的 $dbuser$dbpass 字段,可以参考 PhpStudy 数据库页面中内容:

3. SQLI LABS 靶场数据库初始化

修改完成后,我们就需要访问 SQLI LABS 靶场,完成靶场的初始化了。不过在此之前,记得开启 PhpStudy 的 Apache 和 MySQL 服务:

接下来,我们访问 SQLI LABS 靶场首页。我们刚刚是把 SQLI LABS 靶场的源码放在了 localhost 站点的 sqli-labs 目录下,所以我们访问靶场的地址为(如果报错,很有可能是 PHP 版本与靶场不符):

 http://localhost/sqli-labs

如上图,我们成功访问了靶场。但此时靶场的数据库还没有初始化完成,我们需要点击页面上的 "Setup/reset Database for labs" 按钮,初始化数据库(如果后续测试中,你不小心毁了这个数据库,你也可以通过点击这个按钮重置靶场):

4. 访问并使用 SQLI LABS 靶场

初始化完成后,我们重新输入下面的链接,再次访问 SQLI LABS 靶场:

 http://localhost/sqli-labs/

如上图,此时,我们就可以随意修改靶场难度,并且在不同难度的关卡中尽情的测试啦。

0x0202:Linux 系统安装 SQLI LABS 靶场

附件资源

  • 靶场运行环境

    • PhpStudy - 官网地址:小皮面板-好用、安全、稳定的Linux服务器面板!

  • 靶场资源包

    • SQLi-Labs 源码包 - CSDN 配套资源:sqli-labs-php7.zip - 配合 PHP 7.X 使用

    • SQLi-Labs 源码包 - 官网地址:https://github.com/Audi-1/sqli-labs - 配合 PHP 5.X 使用

注意:如果使用不配套的 PHP 版本,很有可能安装失败!

Linux 操作系统安装 SQLI LABS 靶场,主要分为以下两步:

  1. 靶场运行环境搭建(PHP + Apache + MySQL) - PhpStudy => 参考:PhpStudy 使用手册

  2. 导入 SQLI LABS 靶场源码并修改其数据库连接配置文件。

这里主要介绍第二步,靶场的运行环境我们采用 PhpStudy 一键集成部署即可,PhpStudy 的安装方法可以参考上面提供的链接(内含:Windows 与 Linux 操作系统安装 PhpStudy 的步骤)。

1. 导入 SQLI LABS 靶场源码

首先,我们需要准备靶场的源码包,直接从附件资源中下载即可(不需要解压):

然后我们需要定位网站的根目录,并把靶场压缩包上传至站点根目录下,定位流程如下:

打开站点根目录后,点击 ”文件上传“,将 SQLI LABS 的压缩包进行上传:

上传完毕后,我们需要解压 sqli-labs-php7.zip 文件,直接在小皮面板中操作即可(这里最好创建一个 sqli-labs 文件夹来存放解压缩后的文件):

解压成功后的样式如下图所示,至此我们已经成功导入靶场源码了(如果出现了嵌套文件夹,可以在小皮面板中选择剪切文件,来消除嵌套的文件夹):

2. 修改 SQLI LABS 数据库配置文件

源码导入成功后,我们还需要修改数据库配置文件,方便靶场访问本机 MySQL 数据库。配置文件的路径如下:

 配置文件路径: sql-connections/db-creds.inc

如下图,我们需要修改数据库连接的用户名和密码(别忘了保存):

上面的 $dbuser$dbpass 字段,可以参考 PhpStudy 数据库页面中内容:

3. SQLI LABS 靶场数据库初始化

修改完成后,我们就需要访问 SQLI LABS 靶场,完成靶场的初始化了。不过在此之前,记得开启 PhpStudy 的 Niginx(和 Apache 类似)和 MySQL 服务:

接下来,我们访问 SQLI LABS 靶场首页。我们刚刚是把 SQLI LABS 靶场的源码放在了 localhost 站点的 sqli-labs 目录下,所以我们访问靶场的地址为(如果报错,很有可能是 PHP 版本与靶场不符):

 http://localhost/sqli-labs

如上图,我们成功访问了靶场。但此时靶场的数据库还没有初始化完成,我们需要点击页面上的 "Setup/reset Database for labs" 按钮,初始化数据库(如果后续测试中,你不小心毁了这个数据库,你也可以通过点击这个按钮重置靶场):

4. 访问并使用 SQLI LABS 靶场

初始化完成后,我们重新输入下面的链接,再次访问 SQLI LABS 靶场:

 http://localhost/sqli-labs/

如上图,此时,我们就可以随意修改靶场难度,并且在不同难度的关卡中尽情的测试啦!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/55015.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Facebook减肥产品广告投放攻略

有不少刚开始投放facebook广告的小伙伴会感到疑惑,为什么别人的减肥产品跑的风生水起,销量羡煞旁人,自己的广告要不就是被拒要不就是没有流量,甚至还可能被封号,如果你也有这样的困扰,那一定要看完这篇文章…

图片颜色通道提取

目录 读取和显示图像分离和合并颜色通道通道分离显示总结 读取和显示图像 import cv2def img_show(name, img):"""显示图片:param name: 窗口名字:param img: 图片对象:return: None"""cv2.imshow(name, img)cv2.waitKey(0)cv2.destroyAllWindow…

机器视觉AI场景为什么用Python比C++多?

好多开发者在讨论机在机器视觉人工智能领域的时候,纠结到底是用Python还是C,实际上,Python 和 C 都有广泛的应用,选择 Python而不是 C 可能有以下一些原因: 语言易学性和开发效率 语法简洁: Python 语法简…

基于协同过滤的景区旅游可视化与景区推荐系统(自动爬虫,地点可换)

文章目录 有需要本项目的代码或文档以及全部资源,或者部署调试可以私信博主项目介绍过程展示项目移植每文一语 有需要本项目的代码或文档以及全部资源,或者部署调试可以私信博主 项目介绍 本项目是一个综合性的旅游景区数据管理与分析推荐系统,集成了用…

《深度学习》OpenCV 风格迁移、DNN模块 案例解析及实现

目录 一、风格迁移 1、什么是风格迁移 2、步骤 1)训练 2)迁移 二、DNN模块 1、什么是DNN模块 2、DNN模块特点 1)轻量 2)外部依赖性低 3)方便 4)集成 5)通用性 3、流程图 4、图像…

postman变量,断言,参数化

环境变量 1.创建环境变量 正式环境是错误的,方便验证环境变化 2.在请求中添加变量 3.运行前选择环境变量 全局变量 能够在任何接口访问的变量 console中打印日志 console.log(responseBody);//将数据解析为json格式 var data JSON.parse(responseBody); conso…

linux上的smb共享文件夹

需求描述 公司的打印机使用扫描功能的时候,需要发送大量文件。然鹅公司的电脑都是加入了AzureAD的,不能在公司电脑上简单设置共享。好在公司有很多阿里云上的服务器,Linux和Windows的都有,所以就来尝试用阿里云的服务器来进行smb…

科研绘图系列:R语言绘制SCI文章图2

文章目录 介绍加载R包导入数据图a图b图d系统信息介绍 文章提供了绘制图a,图b和图d的数据和代码 加载R包 library(ggplot2) library(dplyr) library(readxl) library(ggpmisc)导入数据 数据可从以下链接下载(画图所需要的所有数据): 百度网盘下载链接: https://pan.baid…

【算法思想·二叉树】用「遍历」思维解题 II

本文参考labuladongsuanfa笔记[【强化练习】用「遍历」思维解题 II | labuladong 的算法笔记] 如果让你在二叉树中的某些节点上做文章,一般来说也可以直接用遍历的思维模式。 270. 最接近的二叉搜索树值 | 力扣 | LeetCode | 给你二叉搜索树的根节点 root 和一个目…

解决新版Android studio不能连接手机的问题

我要说的是一个特例,装了22年的版本AS可以正常连接手机,装了23年以后新版本,AS不能正常连接手机了,但是在CMD控制台可以正常的执行adb命令,并且CMD和AS都是指向D:\android_sdk\platform-tools\adb.exe 一、 为什么会出…

通信工程学习:什么是SDRAM同步动态随机存取存储器

SDRAM:同步动态随机存取存储器 SDRAM,全称为Synchronous Dynamic Random Access Memory,即同步动态随机存取存储器,是一种广泛应用于计算机和嵌入式系统中的内存技术。以下是对SDRAM的详细介绍: 一、SDRAM的定义与特点…

linux线程 | 线程的控制(二)

前言: 本节内容是线程的控制部分的第二个小节。 主要是列出我们的线程控制部分的几个细节性问题以及我们的线程分离。这些都是需要大量的代码去进行实验的。所以, 准备好接受新知识的友友们请耐心观看。 现在开始我们的学习吧。 ps:本节内容适合了解线程…

云轴科技ZStack入选信通院《高质量数字化转型产品及服务全景图》AI大模型图谱

近日,由中国互联网协会中小企业发展工作委员会主办的“2024大模型数字生态发展大会暨铸基计划年中会议”在北京成功召开。会上发布了中国信通院在大模型数字化等领域的多项工作成果,其中重点发布了《高质量数字化转型产品及服务全景图(2024上…

前端开发笔记--html 黑马程序员1

文章目录 前端开发工具--VsCode前端开发基础语法VsCode优秀插件Chinese --中文插件Auto Rename Tag --自动重命名插件open in browserOpen in Default BrowserOpen in Other Browser Live Server -- 实时预览 前端开发工具–VsCode 轻量级与快速启动 快速加载:VSCo…

怎么ping网络ip地址通不通

怎么Ping网络IP地址通不通?要检查网络中的IP地址是否连通,可以使用‌Ping命令。Ping命令通过发送ICMP(Internet Control Message Protocol,因特网控制消息协议)Echo请求报文并等待回应,来判断目标主机是否可…

微知-Mellanox网卡如何导出firmware中的config文件以及文件中有些什么?(ini配置文件,8个区)

背景 Mellanox网卡早期版本以及Engineer simple的DPU支持导出配置文件,该配置文件就是用来告诉firmware的行为。但不是mlxconfig真正设置的文件(mlxconfig -d xxx -e -q应该就是把这个文件读取出来,并且有3个文件,包括默认的,当前…

WebGl学习使用attribute变量绘制一个水平移动的点

在WebGL编程中,attribute变量是一种特殊类型的变量,用于从客户端传递数据到顶点着色器。这些数据通常包括顶点的位置、颜色、纹理坐标等,它们是与每个顶点直接相关的信息。attribute变量在顶点着色器中声明,并且对于每个顶点来说都…

【linux】信号(下)

8. 阻塞信号 (一)信号其他相关常见概念 实际执行信号的处理动作称为信号递达(Delivery)信号从产生到递达之间的状态,称为信号未决(Pending)进程可以选择阻塞 (Block )某个信号被阻塞的信号产生时将保持在未决状态,直到进程解除对此信号的阻塞,才执行递达的动作(即被阻塞的信…

如何在阿里云一键部署FlowiseAI

什么是FlowiseAI FlowiseAI 是一个开源的低代码开发工具,专为开发者构建定制的语言学习模型(LLM)应用而设计。 通过其拖放式界面,用户可以轻松创建和管理AI驱动的交互式应用,如聊天机器人和数据分析工具。 它基于Lang…

c++速成之从string类中获取那些知识

温馨提示:本篇文章依旧是c速成系列的文章,因为从这里开始,内容就已经开始复杂,但博主还是以是什么,怎么用的原则继续给大家讲解知识点,希望大家能够耐心看完,并给博主留个三连,博主先…