本系列教程是SQLi Labs练习指南的中文版,本人对其进行了优化和补充。本系列文章将稳定更新,且每次更新一节课,同学们每天只须要花十分钟旁边的韶光即可重新手变成真正的Hacker。目前本系列统共有24期,由于头条发文数量有限,想获取更多信息和资源的朋友请移步xx号“安全猴”。
在第一讲中,我会给大家大略先容一下有关SQL注入的一些根本知识,以及如何配置我们的游(xue)戏(xi)环境。
SQLi Labs系列构造图如下:
先容
SQL,即构造化查询措辞(Structured Query Language)的简称,这是一种专门用来与数据库进行交互的措辞。大略来说,数据库便是一个用来存储客户端以及做事器端各种数据的东西。SQL可以通过查询语句和面向工具编程等办法来管理数据库。目前市场上有很多种数据库,例如MySQL(我们现在要用的便是它)、MS SQL、Oracle和Postgresql等等,在它们的帮助下,我们就可以通过SQL语句来管理大型数据库了。
脚本小子(指那些只会利用黑客工具而技能功底不足踏实的人)对付SQL注入攻击肯定是不会陌生的,他们每每都会利用类似Sqlmap和SqlNinja这样的自动化工具来完成SQL注入攻击,但他们大概并不知道SQL注入的事情机制。
在本系列教程中,我将会带领大家深入理解SQL注入的事理,包括攻击是如何发生的以及如何剖断一个运用是否存在SQL注入漏洞。我们将会利用SQLi Labs(用来学习SQL注入的闯关型游戏平台)来做讲解,海内下载地址请移步xx号“安全猴”并回答“SQL注入”即可获取,当然你也可以直接访问该项目的GitHub直接下载,不过国外地址速率较慢。
安装SQLi Labs我们的游(xue)戏(xi)环境采取的是经典的Apache+MySQL+PHP,大家可以直接下载集成环境软件完成环境的支配。目前比较盛行的有phpStudy、Wampserver、XAMPP和AppServ,个人推举利用phpStudy,由于它是绿色版无需安装且比较适宜新手利用。当然了,几款也不错。安装好往后启动做事器(以phpStudy为例),然后在浏览器中访问localhost或127.0.0.1,如果显示了php环境信息,则解释安装成功。
环境配置完成之后,按照下列步骤安装SQLi Labs
1.下载SQLi Labs;(海内下载地址请移步xx号“安全猴”并回答“SQL注入”即可获取)
2.解压之后将全体文件夹拷贝到Apache的Webroot目录下,也便是传说中的WWW文件夹。
3.用记事本打开 sql-connections文件夹中的db-creds.inc,将个中的mysql用户名和密码改成你自己的密码,phpStudy的默认都是“root”。
4.打开浏览器,访问localhost/sqli-labs-master/index.html。
5.点击第一项“Setup/reset Database for labs”,系统会在你的mysql数据库中创建一个游戏所需的数据库。
6.接下来,我们就可以开始尽情玩(xue)耍(xi)了。
总结接下来,我们将开始真正的SQL注入攻击游戏之旅,敬请期待。别忘了去“安全猴”回答\公众SQL注入\公众获取SQLi Labs噢!
那么本日就到此结束啦!
希望大家能够负责学习,有什么疑问或者想法也可以在文章下方或给“安全猴”留言,第一关教程立时就来!
