(2020上半年第6天)小迪网络安全笔记(操作②)sql注入网站测试简单靶机网站搭建
Posted .白菜白菜大白菜.
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了(2020上半年第6天)小迪网络安全笔记(操作②)sql注入网站测试简单靶机网站搭建相关的知识,希望对你有一定的参考价值。
我们代码采用的是:链接①
注意:
第一步:进入phpstudy根目录把php导入
其他菜单->网站根目录
也可以:D:\\phpstudy_pro\\WWW
第二步:这里推荐用notepad
新建test.php文件把代码复制进去(我这边用test做测试)
(下面的代码是有错误的)
<body>
<?php
$conn=@mysql_connect("localhost",'root','')or die("数据库连接失败!");;
mysql_select_db("injection",$conn) or die("您要选择的数据库不存在");
$name=$_POST['username'];
$pwd=$_POST['password'];
$sql="select * from users where username='$name' andpassword='$pwd'";
$query=mysql_query($sql);
$arr=mysql_fetch_array($query);
if(is_array($arr)){
header("Location:manager.php");
}else{
echo "您的用户名或密码输入有误,<a href="Login.php">请重新登录!</a>";
}
?>
</body>
</html>
第三步:
别忘了启动phpstudy
进入http://127.0.0.1/test.php查看test.php
出现错误他是有提示的:
那我们就慢慢改:(下面的是对的)
<html>
<head>
<title>注入测试</title>
<meta http-equiv="content-type"content="text/html;charset=gb2312 ">
</head>
<body>
<?php
$conn=@mysql_connect("localhost",'root','root')or die("数据库连接失败!");;
mysql_select_db("test",$conn) or die("您要选择的数据库不存在");
$id=$_GET['x'];
$sql="select * from user where id='$id' ";
$query=mysql_query($sql);
$arr=mysql_fetch_array($query);
if(is_array($arr)){
echo'ok';
}else{
echo "您的ID没数据</a>";
}
?>
</body>
</html>
补充
注意:出现这样的情况
解决方法:
方法④把能用的带入url看看能不能用,
如果能用:就是我们刚创建的php问题
可以用前几节课的sqli-labs验证(http://127.0.0.1/sqli-labs/)测试一下
如果不能用:
方法①看看phpstudy启动没有
方法②看看是不是php网页
方法③重启phpstudy
注意如果出现乱码
进入php文件把utf-8改成gb2312
修改后
如果没有创建数据库的话结果(也可以说上面都是正确的了)会出现这样的结果
上面结束现在开始搭建数据库
我们采用的是phpMyAdmin(自己去下)和上面test放一个目录里
Phpmyadmin的搭建参考:链接③
Phpstudy用phpmyadmin问题较多,如果可以的话建议用phpstudypro来弄,或者是改成mysql(安装完phpmyadmin后记得重启)
下面我们开始:
http://127.0.0.1/phpMyAdmin/进入phpmyadmin
注意:
不要用mysql管理器启动phpmyadmin,点击会进入百度首页
开始创建数据库:我这边是一点点创建的你也可以直接用sql语言
第一步:随便选一个(记住数据库名和表名用的到)
自己添点数据
执行后数据库就创建完毕了
效果测验:
x为什么等于1,这个自己看php自己写的代码。
<html>
<head>
<title>注入测试</title>
<meta http-equiv="content-type"content="text/html;charset=gb2312(这个不用说了吧) ">
</head>
<body>
<?php
$conn=@mysql_connect("localhost",'root(账号)','root(密码)')or die("数据库连接失败!");;(账号密码取phpstudy设置)
mysql_select_db("test(phpmyadmin数据库名)",$conn) or die("您要选择的数据库不存在");
$id=$_GET['x'];
$sql="select * from user(phpmyadmin表名) where id='$id' ";
$query=mysql_query($sql);
$arr=mysql_fetch_array($query);
if(is_array($arr)){
echo'ok';
}else{
echo "您的ID没数据</a>";
}
?>
</body>
</html>
如果还有什么问题留言
以上是关于(2020上半年第6天)小迪网络安全笔记(操作②)sql注入网站测试简单靶机网站搭建的主要内容,如果未能解决你的问题,请参考以下文章
(2020上半年第8天)小迪网络安全笔记(操作②)php函数过滤
(2020上半年第7天)小迪网络安全笔记(操作②)多符号干扰和数据类型问题
(2020上半年第8天(SQL注入-MYSQL注入(SQL注入3/10)))小迪网络安全笔记
(2020上半年第6天)小迪网络安全笔记(问题②)sqlilabs出现的问题(Unable to connect to the database: security)