SQL注入练习平台sqli-labs

Posted 海枫

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SQL注入练习平台sqli-labs相关的知识,希望对你有一定的参考价值。

什么是sqli-labs

最近部门举办了一次安全比赛,我开始迷上了SQL注入技术。在网上找了些知识和图书,目前没有非常系统的学习教程,边看资料边实践,边学边写博客,属于现学现卖。

经过一段时间的学习,发现SQL注入知识体系非常复。没有一个好的领路人,将很难学习SQL注入技术。最近学习时发现一个绝佳的学习平台sqli-labs,非常适合SQL注入初学者。

正如它名字所言,这是个【SQL注入实验平台】项目,它覆盖了SQL注入的各种知识和练习场景,非常适合SQLI注入新手作为入门平台,希望大家能用好这个平台,提升自己的技能。

安装sqli-labs

sqli-labs托管在github网站,直接打开README.md文件,有详细的安装介绍。

sqli-labs项目基于mysql + php开发,需要事先安装好MySQL、php和Apache。在SQL注入基础一文已详细介绍Ubuntu 12.04安装MySQL、php和Apache,这里不再赘述。

默认情况,Apache服务器的根目录配置在/var/www,只需在该目录进行git clone操作,即可将sqli-labs项目下载,命令如下:

cd /var/www
sudo git clone https://github.com/Audi-1/sqli-labs.git sqli-labs

下载完成后,还需要配置sqli-labs连接MySQL数据库的用户名和密码(我电脑的MySQL用户名和密码均是设置为”root”,各位根据自己实际的用户名和密三进行配置),步骤如下:

sudo vim /var/www/sqli-labs/sql-connections/db-creds.inc
$dbuser变量值修改成”root”
$dbpass变量值修改成”root”

通过浏览器访问http://localhost/sqli-labs

注:笔者有两个家用电脑,一台笔记本安装Ubuntu 12.04,安装MySQL + PHP + Apache + sqli-labs,另一台式机安装Windows 7,通过https协议访问Ubuntu上的sqli-labs项目。所以我的访问地址类似为 http://192.168.0.107/sqli-labs/,后面讨论练习题时会以这个地址进行讲解。

访问成功,那说明sqli-labs安装成功了。 最后一步是配置sqli-labs这个项目所用到的数据库。

点击首页的Setup/reset Database for labs(或输入地址 http://192.168.0.107/sqli-labs/sql-connections/setup-db.php),sqli-labs项目自动创建数据库、表和插入数据。

至此,sqli-labs项目已完装和配置完毕,可以正常升级打怪兽了。

写在最后

大家可以按照sqli-labs上的练习题一步步学习,看不懂所涉及的技术细节时,可以翻一下我这个博客。
我不按这些题目序顺来写,而是按本人对SQL注入的理解来写,当需要使用例子讲解时,我会拿sqli-abls练习题做测试和讲解。

以上是关于SQL注入练习平台sqli-labs的主要内容,如果未能解决你的问题,请参考以下文章

《SQL注入—Sqli-labs注入环境搭建》

SQL注入之sqli-labs等(安装,配置)

sqli-labs的搭建

Sqli-labs靶场搭建

[小东]6月份作业之SQL注入基础-基于Sqli-lab平台

SQL注入测试平台:Sqli-Labs(附带使用指南-Part1)