关注这个靶场的其它相关笔记:SQLI LABS —— 靶场笔记合集-CSDN博客
0x01:SQLI LABS 靶场简介
SQLi-Labs 靶场是一个专门用于学习和测试 SQL 注入漏洞的开源靶场,该靶场提供了多个具有不同漏洞类型和难度级别的 Web 应用程序的环境。这些应用程序旨在模拟真实世界中的 Web 应用,以便开发者能够学习和测试 SQL 注入漏洞。通过使用这个靶场,开发者可以深入了解 SQL 注入的原理、技巧和防范方法。
SQLi-Labs 靶场的主要特点如下:
-
多种漏洞类型: SQLi-Labs 靶场包含了多种类型的 SQL 注入漏洞,如报错盲注、布尔盲注、基于联合查询的 SQL 注入等。这些漏洞类型涵盖了 SQL 注入攻击的常见场景。
-
不同难度级别: 靶场中的每个应用程序都有不同的难度级别,从简单的入门级别到复杂的挑战级别。这有助于开发者根据自己的技能水平逐步学习和提高。
-
实时反馈: 在靶场中进行测试时,系统会提供实时的反馈,帮助开发者了解他们的测试是否成功以及漏洞的利用方式是否有效。
综上所示,SQLi-Labs 靶场是一个非常有用的工具,可以帮助开发者学习和测试 SQL 注入漏洞。通过使用这个靶场,开发者可以更加深入的了解 SQL 注入的原理、技巧和防范方法,从而提高自己的安全意识和技能水平。
0x02:SQLI LABS 靶场安装
0x0201:Windows 系统安装 SQLI LABS 靶场
附件资源
靶场运行环境
PhpStudy - CSDN 配套资源:phpstudy_x64_8.1.1.3.zip
PhpStudy - 官网地址:小皮面板-好用、安全、稳定的Linux服务器面板!
靶场资源包
SQLi-Labs 源码包 - CSDN 配套资源:sqli-labs-php7.zip - 配合 PHP 7.X 使用
SQLi-Labs 源码包 - 官网地址:https://github.com/Audi-1/sqli-labs - 配合 PHP 5.X 使用
注意:如果使用不配套的 PHP 版本,很有可能安装失败!
Windows 操作系统安装 SQLI LABS 靶场,主要分为以下两步:
靶场运行环境搭建(PHP + Apache + MySQL) - PhpStudy => 参考:PhpStudy 使用手册
导入 SQLI LABS 靶场源码并修改其数据库连接配置文件。
这里主要介绍第二步,靶场的运行环境我们采用 PhpStudy 一键集成部署即可,PhpStudy 的安装方法可以参考上面提供的链接(内含:Windows 与 Linux 操作系统安装 PhpStudy 的步骤)。
1. 导入 SQLI LABS 靶场源码
首先,从附件资源中下载 SQLI LABS 靶场的源码包,并进行解压操作:
然后,我们要将解压后的靶场文件,放到站点根目录下。PhpStudy 中定位站点根目录的方法如下:
打开站点根目录后,直接将解压后的 SQLI LABS 靶场源码拖进去即可(为了方便后续访问,建议把解压后的文件名改为 sqli-labs(sqli-labs-php7 => sqli-labs)):
下面是 sqli-labs 文件夹中的内容(直接就是源码,没有再多嵌套文件夹):
2. 修改 SQLI LABS 数据库配置文件
源码导入成功后,我们还需要修改数据库配置文件,方便靶场访问本机 MySQL 数据库。配置文件的路径如下:
配置文件路径: sql-connections/db-creds.inc
如下图,我们需要修改数据库连接的用户名和密码(别忘了保存):
上面的 $dbuser 和 $dbpass 字段,可以参考 PhpStudy 数据库页面中内容:
3. SQLI LABS 靶场数据库初始化
修改完成后,我们就需要访问 SQLI LABS 靶场,完成靶场的初始化了。不过在此之前,记得开启 PhpStudy 的 Apache 和 MySQL 服务:
接下来,我们访问 SQLI LABS 靶场首页。我们刚刚是把 SQLI LABS 靶场的源码放在了 localhost 站点的 sqli-labs 目录下,所以我们访问靶场的地址为(如果报错,很有可能是 PHP 版本与靶场不符):
http://localhost/sqli-labs
如上图,我们成功访问了靶场。但此时靶场的数据库还没有初始化完成,我们需要点击页面上的 "Setup/reset Database for labs" 按钮,初始化数据库(如果后续测试中,你不小心毁了这个数据库,你也可以通过点击这个按钮重置靶场):
4. 访问并使用 SQLI LABS 靶场
初始化完成后,我们重新输入下面的链接,再次访问 SQLI LABS 靶场:
http://localhost/sqli-labs/
如上图,此时,我们就可以随意修改靶场难度,并且在不同难度的关卡中尽情的测试啦。
0x0202:Linux 系统安装 SQLI LABS 靶场
附件资源
靶场运行环境
PhpStudy - 官网地址:小皮面板-好用、安全、稳定的Linux服务器面板!
靶场资源包
SQLi-Labs 源码包 - CSDN 配套资源:sqli-labs-php7.zip - 配合 PHP 7.X 使用
SQLi-Labs 源码包 - 官网地址:https://github.com/Audi-1/sqli-labs - 配合 PHP 5.X 使用
注意:如果使用不配套的 PHP 版本,很有可能安装失败!
Linux 操作系统安装 SQLI LABS 靶场,主要分为以下两步:
靶场运行环境搭建(PHP + Apache + MySQL) - PhpStudy => 参考:PhpStudy 使用手册
导入 SQLI LABS 靶场源码并修改其数据库连接配置文件。
这里主要介绍第二步,靶场的运行环境我们采用 PhpStudy 一键集成部署即可,PhpStudy 的安装方法可以参考上面提供的链接(内含:Windows 与 Linux 操作系统安装 PhpStudy 的步骤)。
1. 导入 SQLI LABS 靶场源码
首先,我们需要准备靶场的源码包,直接从附件资源中下载即可(不需要解压):
然后我们需要定位网站的根目录,并把靶场压缩包上传至站点根目录下,定位流程如下:
打开站点根目录后,点击 ”文件上传“,将 SQLI LABS 的压缩包进行上传:
上传完毕后,我们需要解压 sqli-labs-php7.zip 文件,直接在小皮面板中操作即可(这里最好创建一个 sqli-labs 文件夹来存放解压缩后的文件):
解压成功后的样式如下图所示,至此我们已经成功导入靶场源码了(如果出现了嵌套文件夹,可以在小皮面板中选择剪切文件,来消除嵌套的文件夹):
2. 修改 SQLI LABS 数据库配置文件
源码导入成功后,我们还需要修改数据库配置文件,方便靶场访问本机 MySQL 数据库。配置文件的路径如下:
配置文件路径: sql-connections/db-creds.inc
如下图,我们需要修改数据库连接的用户名和密码(别忘了保存):
上面的 $dbuser 和 $dbpass 字段,可以参考 PhpStudy 数据库页面中内容:
3. SQLI LABS 靶场数据库初始化
修改完成后,我们就需要访问 SQLI LABS 靶场,完成靶场的初始化了。不过在此之前,记得开启 PhpStudy 的 Niginx(和 Apache 类似)和 MySQL 服务:
接下来,我们访问 SQLI LABS 靶场首页。我们刚刚是把 SQLI LABS 靶场的源码放在了 localhost 站点的 sqli-labs 目录下,所以我们访问靶场的地址为(如果报错,很有可能是 PHP 版本与靶场不符):
http://localhost/sqli-labs
如上图,我们成功访问了靶场。但此时靶场的数据库还没有初始化完成,我们需要点击页面上的 "Setup/reset Database for labs" 按钮,初始化数据库(如果后续测试中,你不小心毁了这个数据库,你也可以通过点击这个按钮重置靶场):
4. 访问并使用 SQLI LABS 靶场
初始化完成后,我们重新输入下面的链接,再次访问 SQLI LABS 靶场:
http://localhost/sqli-labs/
如上图,此时,我们就可以随意修改靶场难度,并且在不同难度的关卡中尽情的测试啦!