sqli-labs 笔记 一

最新推荐文章于 2025-06-04 15:54:59 发布
原创 最新推荐文章于 2025-06-04 15:54:59 发布 · 3k 阅读 · 3
标签
#数据库 #php #mysql
本文是关于sqli-labs的学习笔记,涵盖了搭建环境、数字型和字符型注入、UNION注入等。通过手动判断注入点,演示了SQL注入的过程,包括数据库名、表名和列的爆破,以及利用UNION查询获取数据。

sqli-lbs笔记:test 1

QAQ一些过于细致的东西不写了,推荐去看《sqlilabs过关手册注入天书》,真的写的很棒。不逐关写了,笔记向整理Orz
在看了很多大佬的注入之后发现,其实很多语句都能得到相同的结果。会在自己学习的过程中,对笔记不断完善。
但是sql相关的语句真的很多,也做不到全都整理下来,尽可能的打上链接。

SQL注入是因为后台SQL语句拼接了用户的输入,而且web应用程序对用户输入数据的合法性没有判断和过滤,前端传入后端的参数是攻击者可控的,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。比如增删改查等,如果数据库的用户权限拥有的足够大,还可以对操作系统执行操作。
SQL注入可以分为平台层注入和代码层注入;前者由不安全的数据库配置或数据库平台的漏洞所致,后者主要是由程序员对输入未进行细致的过滤。

一、搭建与数据库的初始化

1、搭建前准备:

搭建用phpstudy搭建

下载phpstudy:下载官网
下载完成后打开Apache+MySQL功能
在这里插入图片描述
点击网站,再单击左上角的创建网站,把根目录改到WWW下,点击确定,网站即可创建成功。
在这里插入图片描述

后注:

php的版本5.6
在这里插入图片描述
不然创建数据库的时候就会失败
在这里插入图片描述

2、搭建环境

Sqli-labs项目地址—Github获取
将下载的sqli文件解压到PHP study的WWW目录下
解压后进入sqli下的sql-connections文件夹,
找到db-creds.inc文件,修改dbpass
(就是将dbuser和dbpass分别改成自己mysql的账号密码)
将p@ssw0rd 修改为 root

3、创建数据库

访问127.0.0.1,点击set up创建数据库
在这里插入图片描述
如图所示,数据库完成初始化
在这里插入图片描述
可以在↓这个路径下

Phpstudy\Extensions\MySQL5.7.26\bin

打开命令提示符,执行↓,

mysql.exe -u root -p

输入数据库密码,然后查看数据库(一定要加分号)

show databases;

在这里插入图片描述
看到有创建的数据库的相同名称的数据库,即创建成功。
在这里插入图片描述
当出现如图所示的错误时(Could not connect to DB, check the creds in db-creds.inc)
在这里插入图片描述
找到sql-connections文件夹下的db-creds.inc文件,将密码修改为自己phpstudy的数据库密码,然后保存文件,刷新网页即可。
在这里插入图片描述
最近帮同学搭的时候遇到了👇这个警告,在查看我自己的数据库的时候,也提示了这个警告。也一直没有找到很好的方法,但是今天看到一篇不错的贴,地址就贴到下边了

Deprecated: mysql_connect(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead in (路径省略了)\setup-db.php on line 29

在这里插入图片描述

最低0.47元/天 解锁文章
sql labs的搭建,浏览器127.0.0.1报错
weixin_44766712的博客
03-22 2638
phpStudy安装 浏览器打开http://127.0.0.1/sqlilabs/sql-connections/setup-db.php时报错如下:`SETTING UP THE DATABASE SCHEMA AND POPULATING DATA IN TABLES: Warning: mysql_connect(): Access denied for user ‘root’@‘localhost’ (using password: YES) in E:\phpStudy\WWW\sqlilabs
云服务器lnmp环境部署sqli-labs出现:[*]...................Could not connect to DB, check the creds in db-creds.i
why123wh的博客
04-15 3643
报错 原因 root账户没有设置localhost权限 解决方案 把localhost修改为127.0.0.1 <?php //give your mysql connection username n password $dbuser ='root'; $dbpass ='password'; $dbname ="security"; $host = '127.0.0.1';...
sqli-lab安装中遇到的报错
不止点点点的博客
05-08 4346
sqli-lab安装报错 mysql_connect(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead in Can't connect to MySQL server on 'localhost' (10061)
搭建sqli-labs靶场报错[*]...................Could not connect to DB, check the creds in db-creds.inc: Acces
weixin_46263525的博客
07-21 3838
搭建sqli-labs靶场报错 Deprecated: mysql_connect(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead inD:\phpstudy_pro\WWW\wx\sql-connections\setup-db.phpon line29 Warning: mysql_connect(): Access denied for user ...
安装sqli-labs时,mysql 8 报错解决
tianshuhao521的博客
09-06 3257
1、打卡mysql 8安装目录下的data文件夹,找到my.ini。由错误可知是mysql 8的编码问题。着重看标红的地方,授权有问题。
sqli-labs靶场通关笔记
m0_72199724的博客
05-10 1311
sqli-labs个用于学习和实践SQL注入技术的靶场环境。通过Docker可以快速搭建该环境,具体步骤包括搜索、拉取、运行镜像,并创建容器。在靶场中,用户可以通过不同的关卡(如Less-1、Less-2、Less-3)练习SQL注入技巧。每个关卡涉及不同的注入类型,如基于错误的GET单引号字符型注入、整型注入等。通过判断闭合方式、列数、显位等步骤,用户可以逐步获取数据库信息,如库名、表名、列名和字段内容。这些练习有助于深入理解SQL注入的原理和防御方法。
SQL注入实战笔记sqli-labs通关详解
最新发布
xvsf的博客
06-04 1766
本篇文章将持续记录sqli-labs的通关笔记,欢迎大家交流学习!!!
sqli-labs靶场笔记(五)
Vi_vids的博客
12-19 283
sqli-labs靶场笔记(五) Less-17
sqli-labs-master靶场搭建及学习笔记(持续更新中)
qq_60071244的博客
09-08 510
搭建靶场:学校笔记
sqli-labs学习笔记3
2301_81574836的博客
03-20 269
sqli-labs学习笔记3
Client does not support authentication protocol requested by server; consider upgrading MySQL client
weixin_44021971的博客
03-02 1212
Windows 10集成软件:phpstudy。
sql_lab靶场搭建以及存在的些问题
qq_59020256的博客
12-19 1341
2.如果不是这个错误,那么便查看数据库密码是否添加,或者是否与MySQL密码致。小皮数据库里面的root密码与db-creds.inc里面的密码要保持致。把小皮改到5.3.29版本如果没有可以直接点击更多版本进行选择安装。打开sql-connections下面的db-creds.inc。打开sql-connections下面的db-creds.inc。这样就表示sql_lab环境搭建成功,可以使用。当密码致和版本正确后则会成功导入数据库。如果密码不正确则会出现这个错误。当版本不对时则会暴出这种错误。
PHP连接数据库时出错
Q1368089323的博客
03-25 479
测试代码如下: test.php <html> <head> <title>数据库连接测试</title> </head> <body> <form action="" method="post"> <input type="submit" name="bt" value="连接"> </form> </body> </html> <?php if
Can‘t connect to local MySQL server through socket ‘/tmp/mysql.sock‘ (2)???全网唯能解决MySQL登录客户端socket通
chendonghai123的博客
09-18 890
1.MySQL无法登录客户端?2.找不到socket通信文件?
sqli无法连接到数据库问题解决
weixin_47306547的博客
08-20 1374
问题描述 解决
sqli-labs学习笔记 DAY3
极客剑寮
02-19 274
sqli-labs学习笔记 DAY3 DAY 3 sqli-labs lesson 6 同lesson 5,只是把单引号改为双引号 sqli-labs lesson 7 同lesson 5,只是把单引号后面加两个空格,使用Burpsuit时,需要对结果进行匹配 这关主要要学习的是sql种into outfile这个命令...
sqli-labs学习笔记2
2301_81574836的博客
03-20 476
sqli-labs学习笔记2
sqli-labs学习笔记4
2301_81574836的博客
03-20 480
sqli-labs学习笔记4
sqli-labs学习笔记(1)
weixin_49248030的博客
04-22 460
sqli-labs 记录下自己的学习,简单的做笔记sqli-labs前言sqli-labs,第关,如何判断为字符型注入?二、通关步骤1.找到数据库2.查找表3.进入users表获得密码4.补充总结 前言 记录sqli-labs关的通过心得,不作为参考和学习资料,只求自己来时翻的时候能够看懂 sqli-labs,第关,如何判断为字符型注入? 判断页面是否存在sql注入最好的方法就是在后面加上?id='1,因为无论你是字符型注入还是数值型注入页面都会返回错误。 根据页
SQL注入环境搭建踩坑指南
qq_31910239的博客
02-26 4225
使用《Web安全攻防》中配套的SQL注入平台来搭建 般流程 先下载zip,解压密码找了好长时间,在这个视频里https://pan.baidu.com/s/15F1SEoHZYoWxPE8iMqkqAQ 提取码:zqbo 我使用的是phpstudys,平台只需要开启Apache和MySQL服务即可 在phpstudy的WWW/127.0.0.1/下新建个sql1文件夹(不建当然也可以,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值