干货 | SQL注入之sqli-labs（安装与配置）

Posted 2021-06-04 天億网络安全

请点击上面　　一键关注！

内容来源：FreeBuf.COM

前言

最近才做完sqli-labs这个靶场，顺便来写个教程总结回顾一下，因为靶场关卡比较多，打算分成几篇文章来写，这篇先写一下靶场简介和安装配置吧。靶场中的一些关卡可能不止一种解法，由于自己也正在学习当中，可能做不到面面俱到，文章不尽完美，请见谅。

sqli-labs的介绍

sqli-labs的安装与配置

1.安装配置web环境

打开数据库这个模块可以查看我们的数据库用户名和密码，默认都是root，密码可以更改，但是一定要记得修改后的密码，因为在配置靶场时需要用到。（不建议更改密码，因为靶场只是在本地测试用，没有必要改密码）

2.安装配置sqli-labs

sqli-labs是开源的，可以直接在github上下载：https://github.com/Audi-1/sqli-labs
下载完成后，直接将压缩包全部解压到我们本地网站的根目录下，如下图：

如果不知道根目录位置，可以直接在phpstduy的网站模块直接打开，如下图：

解压完毕后就需要去修改sqli-labs的配置文件，让靶场可以正常连接到我们的数据库，配置文件位于sqli-labs/sql-connections/db-creds.inc，如下图：

修改完成后，就可以访问靶场了，我们直接点击Setup/reset Database for labs，让靶场连接数据库，如下图：

如果连接成功的话，应该可以看到如下画面：

到此，我们就可以开始愉快的打靶场之旅了。

3.可能遇到的问题

什么，你说你数据库连接失败了？别着急，配置环境的过程中遇到问题是很正常的，下面我列出了自己在配置环境中遇到的几个问题，可以看看是否和你所碰到的问题一样，以作参考。
a.数据库连接失败：
配置文件出错：靶场配置文件中的用户名密码错误会导致连接失败（sqli-labs/sql-connections/db-creds.inc）。
php版本不兼容：检查你的php版本，若你php版本是7.x，将其修改到5.x即可。因为在php的7.x之后，就不再支持mysql_connect()，而是mysqli_connect()，但是我们的phpstudy的php版本默认可能是7.x的。php版本可以直接在phpstduy的网站模块中修改，如下图：

b.MYSQL版本过低：
MYSQL版本太低的话似乎是没有information_schema这个库的，不方便后面的靶场测试，所以MYSQL版本建议在5.7以上。
c.抓不到包：
这里提一下，平时访问靶场时最好不要用127.0.0.1/sqli-labs去访问，因为用127.0.0.1的话，到之后做到post类型的注入时，可能会出现抓不到包的情况。解决办法是打开命令行，用ipconfig命令去查看一下自己的内网ip，用内网ip去访问，比如我的是http://192.168.1.163/sqli-labs/ ，如下图：

「天億网络安全」 知识星球 一个网络安全学习的星球！星球主要分享、整理、原创编辑等网络安全相关学习资料，一个真实有料的网络安全学习平台，大家共同学习、共同进步！

知识星球定价：199元/年，（服务时间为一年，自加入日期顺延一年）。

如何加入：扫描下方二维码，扫码付费即可加入。

加入知识星球的同学，请加我微信，拉您进VIP交流群！

朋友都在看

天億网络安全