SQL注入:
就是把SQL命令插入到Web表单然后提交到所在页面请求(查询字符串),从而达到欺骗服务器执行恶意的SQL命令。
它是利用现在已有的应用程序,将SQL语句插入到数据库中执行,执行一些并非按照设计者意图的SQL语句。
SQL注入可以分为平台层注入和代码注入。前者是由不安全的数据库配置或平台漏洞所致。后者是程序员对输入未进行细致过滤产生
sqlilabs搭建注入环境:
Sqli-labs是一个印度程序员写的,用来学习sql注入的一个游戏教程。
Sqli-labs安装:
1.Sqli-labs项目地址—Github获取:https://github.com/Audi-1/sqli-labs
2.下载的压缩包phpstudy解压在www目录下
3.修改sql-connections/db-creds.inc文件当中的mysql账号密码
将user和pass修改你的mysql 的账号和密码(这个账号密码应该是你之前就重设置了的,不要乱改。如果进去被拒绝了说明你的密码不对。不对的话就用phpstudy里的其他选项一栏里找重设sql密码)
4.启动phpstudy(注:7以上版本会报错,先别更新)
5.访问http://127.0.0.1/sqli-labs-master/的页面,进行安装数据库的创建(点击setup那一栏)
至此环境搭建完毕!
sqlmap基本用法
首先介绍sqlmap:sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。
下载:
官方网站:http://sqlmap.org/
下载地址:https://github.com/sqlmapproject/sqlmap/zipball/master
演示视频:https://asciinema.org/a/46601
教程:http://www.youtube.com/user/inquisb/videos(这个貌似不会FQ的打不开,反正我不会
所以:http://pan.
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
