根据提供的文档内容,以下是关于安装sqli-labs学习环境和SQLI-LABS教学的详细步骤和知识点:

安装sqli-labs学习环境

环境准备
  • 操作系统:CentOS 7.6
  • 主机名:xuegod63
  • IP地址:192.168.1.63
关闭防火墙和SELinux
  1. 禁用并停止firewalld防火墙服务:
    systemctl disable --now firewalld
    
  2. 临时关闭SELinux:
    setenforce 0
    
  3. 永久关闭SELinux,编辑配置文件:
    sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
    
安装必要服务
  1. 安装httpd(Web服务器):
    yum -y install httpd
    systemctl enable --now httpd
    
  2. 安装mariadb-server(数据库服务器):
    yum -y install mariadb-server
    systemctl enable --now mariadb
    
  3. 安装PHP及其MySQL扩展:
    yum -y install mariadb php php-mysql
    
配置数据库
  1. 设置MariaDB root用户密码:
    mysqladmin -u root password "123456"
    
  2. 登录数据库并创建测试页面:
    mysql -u root -p123456
    
    创建phpinfo()测试页面以验证PHP和Apache配置。
安装sqli-labs
  1. 使用rz命令上传sqli-labs压缩包到CentOS系统。
  2. 解压并移动压缩包内容到Web服务器根目录:
    unzip sqli-labs-master.zip -d /var/www/html
    mv /var/www/html/sqli-labs-master/ /var/www/html/sqli-labs
    
  3. 修改文件权限以适应Apache用户:
    chown -R apache:apache /var/www/html/
    
配置sqli-labs
  1. 编辑db-creds.inc文件,设置数据库密码:
    vim /var/www/html/sqli-labs/sql-connections/db-creds.inc
    $dbpass ='123456';
    
  2. 访问http://192.168.1.63/sqli-labs/以完成数据库和数据表的安装。
创建快照
  • 创建系统快照以便于恢复学习环境。

SQLI-LABS教学

访问教学页面
  • 通过浏览器访问http://192.168.1.63/sqli-labs/index.html
教学内容
  1. Less-1:基础SQL注入案例,包括:

    • 如何通过修改URL传递参数。
    • 分析错误信息来识别SQL注入点。
    • 使用ORDER BY子句来确定查询字段的数量。
  2. 手动SQL注入闭合方式:介绍不同的闭合方式,如单引号、双引号、空格等。

  3. 实战练习:通过实际操作来加深对SQL注入的理解。

总结
  • 通过sqli-labs实验平台,学习者可以安全地练习和掌握SQL注入技术。

注意事项

  • 确保在合法和受控的环境中进行实验。
  • 不要将所学技术用于非法活动。

通过遵循上述步骤,用户可以成功搭建sqli-labs学习环境,并开始学习SQL注入的相关技术。

05-26 10:14