您当前的位置:首页 > 电脑百科 > 安全防护 > 数据安全

使用win7快速搭建SQL注入环境,你离web渗透真的越来越近

时间:2020-02-16 10:31:12  来源:  作者:

什么是SQL注入

SQL注入,就是通过把SQL命令插入到Web请求中,比如:

表单提交、输入域名、页面请求的查询字符串等

最终达到欺骗服务器执行恶意的SQL命令,进一步获取服务器数据。

使用win7快速搭建SQL注入环境,你离web渗透真的越来越近

 

具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库平台执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。

本文旨在搭建SQL注入测试环境,方便日后的web渗透!你可以关注作者,获取web渗透相关技术。

SQL-labs

sqli-labs是一款学习SQL注入的开源平台,共有75种不同类型的注入。也是我们学习SQL注入不可或缺的练习平台,该平台以数据库的形式形成打包源码文件,我们可以直接将下载好的sqli-labs文件粘贴到之前win7搭建的WAMP web平台上。

【下载SQL-labs】

sql-labs安装包已经放在了我们【web网站渗透实战指南】的本课云盘共享中,如需获取,评论区请留言!

我们直接从网盘上下载sql-labs到win7靶机,然后解压(安装WAMP web平台的win7中)

使用win7快速搭建SQL注入环境,你离web渗透真的越来越近

 

进入Sql注入平台目录,将最里面的目录"sql-labs-master"重命名为"sql"。

然后将这个修改后的sql文件夹复制到win7靶机的web目录下www中(wamp就是win7的web目录)

使用win7快速搭建SQL注入环境,你离web渗透真的越来越近

 

 


【导入sql平台数据库】

打开win7的数据库管理软件"phpmyadmin",在数据库中新建名为"security"数据库,并且将刚刚源码中的sql-lab.sql文件导入到数据库中。

如果win7靶机有过重启,就需要重新双击桌面的W图标开启WAMP web平台,直到右下角W图标变成绿色,而且显示服务器在线!

打开phpmyadmin数据库管理页面,点击数据库,写入"security",点击创建,左边数据库列表就会多出"security"。

使用win7快速搭建SQL注入环境,你离web渗透真的越来越近

 

点击左边的"security",点击右边导航栏中的导入,导入win7 www目录下sql目录下的sql-lab.sql数据库文件,点击打开!

使用win7快速搭建SQL注入环境,你离web渗透真的越来越近

 

导入之后,点击页面下"执行",就会显示正在上传,并且出现这个页面!

使用win7快速搭建SQL注入环境,你离web渗透真的越来越近

 

到此导入sql数据库完成。

 


【修改sql配置信息】

打开sql-connections文件夹中的db-creds.inc文件,使用文本编辑器修改账号、密码、库名信息(保持默认,不做修改)

使用win7快速搭建SQL注入环境,你离web渗透真的越来越近

 

修改后,按下ctrl+s保存即可!

浏览器打开"127.0.0.1/sql"(这是win7本地访问sql),进入sql平台验证页面,点击第一个链接,如图,显示sql数据库已经成功导入安装。

使用win7快速搭建SQL注入环境,你离web渗透真的越来越近

 

到此,我们已经在win7中WAMP web应用平台上成功安装了SQL注入平台。大家一定要严格按视频来操作,我们离web渗透实战越来越近了。另外,你的win7 c盘下的WAMP目录,有个www文件夹,里面的文件夹形式必须是这样,也就是说之前我们放入了dvwa,还有今天的安装的sql。

使用win7快速搭建SQL注入环境,你离web渗透真的越来越近

 

web安全我想说

更多kali渗透、Web渗透、Android/ target=_blank class=infotextkey>安卓渗透等相关技术。请关注小白嘿客,私信获取。欢迎在下方评论区留言讨论!



Tags:SQL注入   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
前言目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复私信我获取网络安全学习资料 1.2000多本网络安全系列电子书 2.网络安全标...【详细内容】
2021-11-26  Tags: SQL注入  点击:(21)  评论:(0)  加入收藏
本人也是小白一枚,大佬请绕过,这个其实是六月份的时候做的,那时候想多点实战经验,就直接用谷歌搜索找了一些网站,这个是其中一个1、目标网站 2、发现有WAF防护 3、判断存在注入...【详细内容】
2021-10-19  Tags: SQL注入  点击:(52)  评论:(0)  加入收藏
(一)SQL注入。1.如何理解SQL注入? SQL注入是一种将SQL代码添加到输入参数中,传递到SQL服务器解析并执行的一种攻击手法。2.SQL注入是如何产生的? web开发人员无法保证所有的输入...【详细内容】
2021-09-17  Tags: SQL注入  点击:(47)  评论:(0)  加入收藏
一 前言本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案...【详细内容】
2021-09-17  Tags: SQL注入  点击:(67)  评论:(0)  加入收藏
前言本人ctf选手一名,在最近做练习时遇到了一些sql注入的题目,但是sql注入一直是我的弱项之一,所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。可回显注入联合注入在...【详细内容】
2021-08-26  Tags: SQL注入  点击:(60)  评论:(0)  加入收藏
前言最近挖edusrc的时候遇到有注入点但是有waf绕不过,头疼。 可以看到还是phpstudy建站的,太熟悉了这个,不知道这个什么waf各位师傅知道的可以评论一下,所以写这篇文章是供各位...【详细内容】
2021-08-13  Tags: SQL注入  点击:(66)  评论:(0)  加入收藏
1. 使用 Burpsuite: 1. Capture the request using burpsuite. 2. Send the request to burp scanner. 3. Proceed with active scan. 4. Once the scan is finished, l...【详细内容】
2021-08-04  Tags: SQL注入  点击:(74)  评论:(0)  加入收藏
0×00:前言对于MYSQL知识的一个初总结 0×01:正文 MYSQL数据库特性1.Mysql数据库默认不区分大小写,利用此特性可以进行大小写过正则匹配,举个简单的例子,有的题目中只...【详细内容】
2021-07-29  Tags: SQL注入  点击:(88)  评论:(0)  加入收藏
在本地搭建服务器,httpd-vhosts.conf 中设置本地绑定的域名: 其中,zzzphp为下载的zzzphp cms的内容。然后,本机上的zzzphp cms的目录结构为如下: 在按照要求安装好cms后,本地cms的...【详细内容】
2021-07-16  Tags: SQL注入  点击:(80)  评论:(0)  加入收藏
得到一个像原来老师一样督促你、关心你的人很难。。。---- 网易云热评一、常用命令及函数1、order by排序,获取数据有几个字段,后面小于等于字段数,都会返回结果,大于字段数返回...【详细内容】
2021-05-13  Tags: SQL注入  点击:(224)  评论:(0)  加入收藏
▌简易百科推荐
众所周知,Windows系统流氓软件众多,其中不乏出身大厂的产品。这些带有流氓性质的软件,很多都会偷偷扫描系统数据,读取用户文件,造成电脑卡顿拖慢不说,还严重侵害了个人隐私,造成巨...【详细内容】
2021-12-06  趣玩APPS    Tags:流氓软件   点击:(16)  评论:(0)  加入收藏
前言目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复私信我获取网络安全学习资料 1.2000多本网络安全系列电子书 2.网络安全标...【详细内容】
2021-11-26  IT野涵    Tags:sql注入   点击:(21)  评论:(0)  加入收藏
互联网时代,不论是个人还是组织,都将数据视为一项重要的资产。为了便于存储、管理,企业常常会为各项数据建立一个数据库,如果没有做好安全风险防护,一旦数据库被攻占,企业将迎来很...【详细内容】
2021-10-28  快快网络   企鹅号  Tags:数据库   点击:(50)  评论:(0)  加入收藏
前言(可能思路狭隘,有缺有错,师傅们多带带)【查看资料】Author: 0ne本篇文章数据来源于18+省市级别HVV,90+单位失陷报告。(一部分是笔者的参与,一部分是薅的公司其他师傅的报告...【详细内容】
2021-10-28  IT野涵    Tags:缺口   点击:(46)  评论:(0)  加入收藏
本人也是小白一枚,大佬请绕过,这个其实是六月份的时候做的,那时候想多点实战经验,就直接用谷歌搜索找了一些网站,这个是其中一个1、目标网站 2、发现有WAF防护 3、判断存在注入...【详细内容】
2021-10-19    博客园  Tags:SQL注入   点击:(52)  评论:(0)  加入收藏
一 前言本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案...【详细内容】
2021-09-17  woaker    Tags:SQL注入漏洞   点击:(67)  评论:(0)  加入收藏
前言本人ctf选手一名,在最近做练习时遇到了一些sql注入的题目,但是sql注入一直是我的弱项之一,所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。可回显注入联合注入在...【详细内容】
2021-08-26  合天网安实验室    Tags:sql注入   点击:(60)  评论:(0)  加入收藏
“放纵自己的欲望是最大的祸害,窥探别人的隐私是最大的罪恶,不知自己的过失是最大的病痛”。 上文咱们知道了目前互联网的数据安全存在隐患,数据安全的问题,每天都在发生,只不过...【详细内容】
2021-08-13  小陶子矿工    Tags:IPFS   点击:(79)  评论:(0)  加入收藏
前言最近挖edusrc的时候遇到有注入点但是有waf绕不过,头疼。 可以看到还是phpstudy建站的,太熟悉了这个,不知道这个什么waf各位师傅知道的可以评论一下,所以写这篇文章是供各位...【详细内容】
2021-08-13  IT影子    Tags:sql注入   点击:(66)  评论:(0)  加入收藏
1. 使用 Burpsuite: 1. Capture the request using burpsuite. 2. Send the request to burp scanner. 3. Proceed with active scan. 4. Once the scan is finished, l...【详细内容】
2021-08-04  李志宽    Tags:SQL注入   点击:(74)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条