搭建sql注入实验环境(基于windows)

搭建服务器环境

1.下载xampp包

  地址:http://www.apachefriends.org/zh_cn/xampp.html

  很多人觉得安装服务器是件不容易的事,特别是要想添加MySql, PHP组件,并且要配置起来让它们能够工作就更难了。这里介绍一个好用的软件xampp,他已经把所有的工作做完了,你要做的只需下载,解压缩,启动即可。它有提供各种操作系统的版本,同时也提供安装版和便携绿色版

 

2.使用xampp

  将下载的压缩包解压至D盘(你也可以放到你喜欢的地方,路径最好没有空格),双击xampp-control.exe启动控制台

image

 

  点击start启动apache和mysql

 

image

 

  这时可以看到启动的信息和端口。如果在你的电脑中无法启动apache服务,首先检查一下是不是端口有跟别的软件有冲突,如果是的话,可以修改httpd-ssl.conf里的 Listen 446,避免冲突

 

image

 

  确认apache和mysql都成功启动之后,浏览器中输入http://localhost:446/xampp/(注意端口号)可看到如下图即证明安装成功

image

 

安装sql注入实验网站

  下面是sql注入环境的搭建

1. 下载sql实验环境

  所用环境的代码是一个印度人的开源项目平台。里面包含了基本的各种注入类型,同时又有get和post类型,以及一些基本的绕过学习。

  下载地址:https://github.com/Audi-1/sqli-labs

image

 

2. 安装

  将下载好的源代码包解压到xampp目录下的\htdocs文件夹,重命名为sqli-labs。然后编辑sql-connections文件夹下的db-creds.inc文件配置数据库。xampp 自带的mysql默认用户名是root,密码为空。

<?php


//give your mysql connection username n password

$dbuser ='root';

$dbpass ='';

$dbname ="security";

$host = 'localhost';


?>

 

打开浏览器链接http://localhost:446/sqli-labs/,点击网页上的Setup/reset Database for labs,将数据库建起来了之后就可以使用。在实验过程中可能会破坏数据库完整性,也可以点击这个恢复初始数据。

 

  image

 

3.如何使用(以第一课为例)

点击第一课Less-1

image

 

这个是基于get的页面,我们直接在链接后跟?id=1 看效果

image

 

可以看的有数据返回了。然后尝试下 ?id=\ 很明显没有对数据库错误回显进行处理。这是最基本的一个例子,大家可以尝试更高级的例子

image

 

写在最后:

   因为本文主要为了介绍如何搭建这个sql注入实验环境,就不对后面具体如何注入具体介绍了,感兴趣的同学可以自行尝试。英文听力过硬的同学可以去看这个项目的学习视频,是开发这个平台的印度人做的,需要FQ www.securitytube.net/user/Audi

posted @ 2013-12-03 20:21  Ario  阅读(7108)  评论(1编辑  收藏  举报