blackclody

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::



sqlmap的安装和测试环境的搭建

1.sqlmap的官网 http://sqlmap.org/ 上的可以下载到最新的sqlmap版本

2.需要安装python2.7 可以去官网下载 https://www.python.org/,注意配置环境变量

3.测试sqlmap是否安装成功,解压sqlmap,进行其目录,进入cmd,运行python sqlmap.py

 

测试环境的搭建 注意尽量使用google chrome浏览器,因为它可以方便用使用快捷菜单的检查选项来查看HTML请求的具体细节

1.下载wampserver x64 注意需要安装 DirectX Repair来修复才能安装成功

2. 下载vawa ,其官网为http://www.dvwa.co.uk/,在github上下载 https://github.com/ethicalhack3r/DVWA

3. 解压在目录 E:\www\my\dvwa下 在系统的hosts文件中添加 127.0.0.1       dvwa.localhost

4.在wampserver的httpd.conf文件后添加

<VirtualHost *:80> DocumentRoot "E:\www\my\dvwa" ServerName dvwa.localhost  <Directory "E:\www\my\dvwa">   Options Indexes FollowSymLinks   AllowOverride All   Require all granted  </Directory> </VirtualHost> 5. 修改E:\www\my\dvwa\config\config.inc.php下的配置文件中下列字段 $_DVWA[ 'db_server' ]   = '127.0.0.1'; $_DVWA[ 'db_database' ] = 'dvwa'; $_DVWA[ 'db_user' ]     = 'root'; $_DVWA[ 'db_password' ] = '';

# Only used with PostgreSQL/PGSQL database selection. $_DVWA[ 'db_port '] = '3306';

6.运行wampserver 7.在浏览器中输入 localhost 用户名为admin, 密码为password

sqlmap的学习 主要是一个命令行参数的学习和使用 -h 显示简要的帮助 -hh 显示所有的帮助文档 -u 后接url -r  后接header的txt文件 --cookie 后接cookie字符串 --dbs 显示出所有的数据库 --tables 显示出所有数据表 --dump 显示出所有库数据 --dump_all 显示出所有的数据库数据 -T 指定表 --current_table 当前的数据表 --current_db 当前的数据库 -D 指定数据库 --batch 自动选择默认的提示参数 --smart 智能选择默认的提示参数 -g 使用google来搜索可以可以sql注入的网址 

怎样上google 可以通过修改系统的hosts文件 具体可参考这个 https://laod.cn/hosts/2017-google-hosts.html 或者可以购买vpn

防范sql注入的方法

1.防火墙

使用ngx_lua_waf防火墙可以,保护网站,有效防范sql注入攻击,这个防火墙是开源的,https使用ngx_lua_waf防火墙可以,保护网站,有效防范sql注入攻击,这个防火墙是开源的,https://github.com/loveshell/ngx_lua_waf

2.代码审查 还有在服务器的后台代码,注意不要把post请求的字符串直接用于参数提交给sql查询语句中

 

 

 



posted on 2017-09-08 20:45  blackclody  阅读(576)  评论(0编辑  收藏  举报