SQLInjection 靶場配置

對於滲透,過小型的網站沒有太大價值,而大型網站(好比各類電商平臺)對於代碼審計每每很是嚴格,新手基本找不到漏洞,而一些比較容易搞掉的站點(政府.gov、各類教育網站.edu或者不少商業中型站點)滲透又有喝茶甚至受到刑事處罰的危險(參考世紀佳緣案件),因此搭建本地的滲透靶場環境是比較有價值的, 同時從源碼學習(白盒測試),對於新手幫助很大。
首先嚐試運行環境:Ubutun16.04 + Apache + php + Mysql,可是關於apache的網站根目錄的var/www配置沒有成功,因此暫時轉用Windows + WampServer,最後成功配置DVWA靶場環境和sqli-labs靶場環境。php

WampServer環境

登錄http://localhost 或是 http://127.0.0.1 驗證是否配置成功:html

 

配置成功

配置成功

 

DVWA

DVWA(Damn Vulnerable Web Application)教學包含了SQL注入、XSS、盲注等常見安全漏洞
github網站:https://github.com/ethicalhack3r/DVWAgit

配置成功:github

 

DVWA index.php

DVWA index.php

 

Sqli-labs

闖關遊戲教程,新手打怪升級適用
github網站:https://github.com/Audi-1/sqli-labssql

配置成功:數據庫

 

成功配置數據庫

成功配置數據庫

進入第一個Demo站點:

 

 

Lesson 1

Lesson 1

運行成功,而後就能夠開始愉快地玩耍了。

 

Summary

  1. Ubuntu下使用chmod 777修改文件的讀寫權限很重要,否則每次都須要sudo修改文件
  2. 靶場配置時基本都須要初始化配置Mysql的root和password,好比DVWA-master/config裏的config.inc.php
  3. 使用firefox和HackBar工具提升效率
  4. 雖然Ubuntu下環境的配置更加艱難,可是仍是感受Linux比Windows在權限設置上更加清晰,管理員、用戶和組羣的權限區別很明顯,缺點就是要使用更繁雜的命令去修改和區分權限。
相關文章
相關標籤/搜索