搭建sql注入实验环境(基于windows)
搭建服务器环境
1.下载xampp包
地址:http://www.apachefriends.org/zh_cn/xampp.html
很多人觉得安装服务器是件不容易的事,特别是要想添加MySql, PHP组件,并且要配置起来让它们能够工作就更难了。这里介绍一个好用的软件xampp,他已经把所有的工作做完了,你要做的只需下载,解压缩,启动即可。它有提供各种操作系统的版本,同时也提供安装版和便携绿色版
2.使用xampp
将下载的压缩包解压至D盘(你也可以放到你喜欢的地方,路径最好没有空格),双击xampp-control.exe启动控制台
点击start启动apache和mysql
这时可以看到启动的信息和端口。如果在你的电脑中无法启动apache服务,首先检查一下是不是端口有跟别的软件有冲突,如果是的话,可以修改httpd-ssl.conf里的 Listen 446,避免冲突
确认apache和mysql都成功启动之后,浏览器中输入http://localhost:446/xampp/(注意端口号)可看到如下图即证明安装成功
安装sql注入实验网站
下面是sql注入环境的搭建
1. 下载sql实验环境
所用环境的代码是一个印度人的开源项目平台。里面包含了基本的各种注入类型,同时又有get和post类型,以及一些基本的绕过学习。
下载地址:https://github.com/Audi-1/sqli-labs
2. 安装
将下载好的源代码包解压到xampp目录下的\htdocs文件夹,重命名为sqli-labs。然后编辑sql-connections文件夹下的db-creds.inc文件配置数据库。xampp 自带的mysql默认用户名是root,密码为空。
<?php //give your mysql connection username n password $dbuser ='root'; $dbpass =''; $dbname ="security"; $host = 'localhost'; ?>
打开浏览器链接http://localhost:446/sqli-labs/,点击网页上的Setup/reset Database for labs,将数据库建起来了之后就可以使用。在实验过程中可能会破坏数据库完整性,也可以点击这个恢复初始数据。
3.如何使用(以第一课为例)
点击第一课Less-1
这个是基于get的页面,我们直接在链接后跟?id=1 看效果
可以看的有数据返回了。然后尝试下 ?id=\ 很明显没有对数据库错误回显进行处理。这是最基本的一个例子,大家可以尝试更高级的例子
写在最后:
因为本文主要为了介绍如何搭建这个sql注入实验环境,就不对后面具体如何注入具体介绍了,感兴趣的同学可以自行尝试。英文听力过硬的同学可以去看这个项目的学习视频,是开发这个平台的印度人做的,需要FQ www.securitytube.net/user/Audi 。