SQL注入,就是通过把SQL命令插入到Web请求中,比如:
表单提交、输入域名、页面请求的查询字符串等
最终达到欺骗服务器执行恶意的SQL命令,进一步获取服务器数据。
具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库平台执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
本文旨在搭建SQL注入测试环境,方便日后的web渗透!你可以关注作者,获取web渗透相关技术。
sqli-labs是一款学习SQL注入的开源平台,共有75种不同类型的注入。也是我们学习SQL注入不可或缺的练习平台,该平台以数据库的形式形成打包源码文件,我们可以直接将下载好的sqli-labs文件粘贴到之前win7搭建的WAMP web平台上。
【下载SQL-labs】
sql-labs安装包已经放在了我们【web网站渗透实战指南】的本课云盘共享中,如需获取,评论区请留言!
我们直接从网盘上下载sql-labs到win7靶机,然后解压(安装WAMP web平台的win7中)
进入Sql注入平台目录,将最里面的目录"sql-labs-master"重命名为"sql"。
然后将这个修改后的sql文件夹复制到win7靶机的web目录下www中(wamp就是win7的web目录)
【导入sql平台数据库】
打开win7的数据库管理软件"phpmyadmin",在数据库中新建名为"security"数据库,并且将刚刚源码中的sql-lab.sql文件导入到数据库中。
如果win7靶机有过重启,就需要重新双击桌面的W图标开启WAMP web平台,直到右下角W图标变成绿色,而且显示服务器在线!
打开phpmyadmin数据库管理页面,点击数据库,写入"security",点击创建,左边数据库列表就会多出"security"。
点击左边的"security",点击右边导航栏中的导入,导入win7 www目录下sql目录下的sql-lab.sql数据库文件,点击打开!
导入之后,点击页面下"执行",就会显示正在上传,并且出现这个页面!
到此导入sql数据库完成。
【修改sql配置信息】
打开sql-connections文件夹中的db-creds.inc文件,使用文本编辑器修改账号、密码、库名信息(保持默认,不做修改)
修改后,按下ctrl+s保存即可!
浏览器打开"127.0.0.1/sql"(这是win7本地访问sql),进入sql平台验证页面,点击第一个链接,如图,显示sql数据库已经成功导入安装。
到此,我们已经在win7中WAMP web应用平台上成功安装了SQL注入平台。大家一定要严格按视频来操作,我们离web渗透实战越来越近了。另外,你的win7 c盘下的WAMP目录,有个www文件夹,里面的文件夹形式必须是这样,也就是说之前我们放入了dvwa,还有今天的安装的sql。
更多kali渗透、Web渗透、Android/ target=_blank class=infotextkey>安卓渗透等相关技术。请关注小白嘿客,私信获取。欢迎在下方评论区留言讨论!