本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记
前文链接
- WAMP/DVWA/sqli-labs 搭建
- burpsuite工具抓包及Intruder暴力破解的使用
- 目录扫描,请求重发,漏洞扫描等工具的使用
- 网站信息收集及nmap的下载使用
- SQL注入(1)——了解成因和手工注入方法
- SQL注入(2)——各种注入
- SQL注入(3)——SQLMAP
通过一个实例来进行SQL注入的实战。
源码下载:
GitHub:https://github.com/13337356453/SQLTest/
CSDN:https://download.csdn.net/download/realmels/19136813
前言
SQL注入也讲了这么多了,都是些理论的东西,这边我自己随便弄了个小靶场来练习SQL注入。
我这个小靶场是根据我之前通过SQL注入弄下来的靶场改的(当然不可能找个网站来黑,要遵纪守法),大体和原理是差不多的,没有好看的CSS,代码也很简陋。
同时这是我第一次接触PHP,本人不是搞前端的,能用就行。
在使用之前,先下载源码。
创建密码为SQLTest的sql用户。或在model.php中配置MySQL连接信息。并执行sqltest.sql文件。
可以在下载源代码后自己不看源码尝试一下,作不出再看源码。同时该博客有详细解析。
测试ip :192.168.1.7
测试流程
访问网站的主页,到处看看有什么东西。

访问新闻页面,发现有参数id怀疑存在SQL注入,输入and 1=1和and 1=2进行测试。

都返回了正常的界面,不确定是否存在注入漏洞,放进SQLMap里扫一手。

本文档详述了一位作者构建的简单SQL注入靶场,用于实践和学习SQL注入技术。通过使用Burp Suite和SQLMap工具,作者展示了如何检测和利用SQL注入漏洞。在靶场中,作者揭示了如何通过盲测和工具扫描来识别潜在的注入点,并最终成功利用注入漏洞,获取敏感信息和后台访问权限。文章强调了手动测试的重要性,尤其是在工具未能识别漏洞时。
5695

被折叠的 条评论
为什么被折叠?



