头歌-信息安全技术-实训04 数据库SQL注入漏洞
头歌-信息安全技术-实训04 数据库SQL注入漏洞
- 第一关:获取dvwa环境
- 任务描述
- 实验步骤
- 1、 安装appach
- 2、安装php
- 3、修改apache配置文件
- 4、安装mysql
- 5、安装dvwa
- 第二关:获取数据库名称、账户名、版本及操作系统信息
- 任务描述
- 实验步骤
- 1、sql实践
- 2 、在id处输入1‘ and 1=2 union selelct user(),database() #,就可以看到用户名和数据库名啦,用户名:root@localhost,数据库:dvwa
- 3、使用sql注入查询数据库用户名和数据库名,并将用户名和数据库名写入/data/workspace/myshixun/result2中,回到终端,输入vim /data/workspace/myshixun/result2回车
- 4、按i键插入数据,写入root@localhost dvwa,按Esc键,输入:wq,回车,就可以直接评测啦!
- 第三关:获取数据库表名、列名
- 1、任务描述
- 2、实验步骤
- 1、使用sql注入查询dvwa数据库的所有表名,并将所有表名写入/data/workspace/myshixun/result3中,在终端输入vim /data/workspace/myshixun/result3,回车
- 2、按i键插入数据,写入guestbook users,按Esc键,输入:wq,回车,就可以直接评测啦!
- 第四关:获取用户名密码,并猜测root用户
- 1、任务描述
- 2、实验步骤
- 1、使用sql注入查询dvwa数据库的所有表名,并将所有表名写入/data/workspace/myshixun/result4中,在终端输入vim /data/workspace/myshixun/result4,回车
- 2、按i键插入数据,写入password,按Esc键,输入:wq,回车,就可以直接评测啦!
第一关:获取dvwa环境
任务描述
搭建dvwa环境,包括1、搭建LAMP服务;2、部署dvwa服务;3、访问dvwa主页。
实验步骤
1、 安装appach
首先更新源
apt update
安装apache2
apt install apache2 -y
启动apache2
service apache2 start
查看apache2服务是否运行
netstat -antp | grep apache2
2、安装php
更新源,安装php
apt install php -y
安装常用模块
apt install php-pear php-fpm php-dev php-zip php-curl php-xmlrpc php-gd php-mysql php-mbstring php-xml libapache2-mod-php
3、修改apache配置文件
$ sudo vim /etc/php/7.0/apache2/php.ini
#allow_url_include = Off
allow_url_include = On # 设置为On
4、安装mysql
安装mysql
apt install mysql-server -y
启动mysql服务
service mysql start
测试数据库是否安装成功,使用root登录数据库。由于是root权限不需要密码
mysql -u root
mysql安全配置初始化
mysql_secure_installation
Y为root用户添加密码插件
方便实验选择密码强度0
输入密码dvwa123456
移除匿名用户
禁止root远程登录
移除test数据库
刷新权限表
为dvwa创建数据库
create database dvwa;
5、安装dvwa
切换到/var/www/html目录并下载dvwa
git clone https://github.com/digininja/DVWA.git
修改配置文件
$ cd /var/www/html/DVWA/config
$ cp config.inc.php.dist config.inc.php
$ vim config.inc.php
$_DVWA[ 'db_user' ] = 'root';
$_DVWA[ 'db_password' ] = 'dvwa123456';
$_DVWA[ 'recaptcha_public_key' ] = '6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb';
$_DVWA[ 'recaptcha_private_key' ] = '6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K';
给文件夹赋予权限
$ sudo chmod 777 -R /var/www/html/DVWA/hackable/uploads/
$ sudo chmod 777 /var/www/html/DVWA/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt
$ sudo chmod 777 -R /var/www/html/DVWA/config
访问127.0.0.1/DVWA/setup.php,点击Create/Reset Database
成功之后会自动跳转到登录界面用户名为admin,密码为password
第二关:获取数据库名称、账户名、版本及操作系统信息
任务描述
在上一章的基础上判断是否存在SQL注入漏洞。
- 注意:如果本节实验无法进行,请按照第一关方法配置LAMP和DVWA
- 注意:如果本节实验无法进行,请按照第一关方法配置LAMP和DVWA
- 注意:如果本节实验无法进行,请按照第一关方法配置LAMP和DVWA
实验步骤
1、sql实践
登录dvwa平台,用户名为"admin",密码为"password",并访问127.0.0.1/DVWA/security.php,设置安全等级为low
2 、在id处输入1‘ and 1=2 union selelct user(),database() #,就可以看到用户名和数据库名啦,用户名:root@localhost,数据库:dvwa
3、使用sql注入查询数据库用户名和数据库名,并将用户名和数据库名写入/data/workspace/myshixun/result2中,回到终端,输入vim /data/workspace/myshixun/result2回车
4、按i键插入数据,写入root@localhost dvwa,按Esc键,输入:wq,回车,就可以直接评测啦!
第三关:获取数据库表名、列名
1、任务描述
在上一章的基础上获取数据库表名、列名。
- 注意:如果本节实验无法进行,请按照第一关方法配置LAMP和DVWA
- 注意:如果本节实验无法进行,请按照第一关方法配置LAMP和DVWA
- 注意:如果本节实验无法进行,请按照第一关方法配置LAMP和DVWA
2、实验步骤
1、使用sql注入查询dvwa数据库的所有表名,并将所有表名写入/data/workspace/myshixun/result3中,在终端输入vim /data/workspace/myshixun/result3,回车
2、按i键插入数据,写入guestbook users,按Esc键,输入:wq,回车,就可以直接评测啦!
第四关:获取用户名密码,并猜测root用户
1、任务描述
在上一章的基础上获取用户名密码并猜测root用户。
- 注意:如果本节实验无法进行,请按照第一关方法配置LAMP和DVWA
- 注意:如果本节实验无法进行,请按照第一关方法配置LAMP和DVWA
- 注意:如果本节实验无法进行,请按照第一关方法配置LAMP和DVWA
2、实验步骤
1、使用sql注入查询dvwa数据库的所有表名,并将所有表名写入/data/workspace/myshixun/result4中,在终端输入vim /data/workspace/myshixun/result4,回车
2、按i键插入数据,写入password,按Esc键,输入:wq,回车,就可以直接评测啦!
头歌-信息安全技术-实训04 数据库SQL注入漏洞相关推荐
- 头歌-信息安全技术-【实训10】HTML信息隐藏、动态分析技术
头歌-信息安全技术-[实训10]HTML信息隐藏.动态分析技术 一.[实训10]HTML信息隐藏 1.任务要求 (1)步骤1 (2)步骤2 (3)步骤3:选择隐藏方法 (4)步骤4:对比隐藏效果 2. ...
- 头歌-信息安全技术-用Python实现自己的区块链、支持以太坊的云笔记服务器端开发、编写并测试用于保存云笔记的智能合约、支持以太坊的云笔记小程序开发基础
头歌-信息安全技术-用Python实现自己的区块链.支持以太坊的云笔记服务器端开发.编写并测试用于保存云笔记的智能合约.支持以太坊的云笔记小程序开发基础 一.用Python实现自己的区块链 1.任务描 ...
- 头歌c语言实训作业题解
头歌c语言实训作业题解 持续更新 C语言程序设计编辑与调试环境 1.打印输出 Hello World 2.打印输出图形 3.求三个数的最大值 4.熟悉C语言调试环境 C语言中最基本的输入输出 1.看看 ...
- 头歌-信息安全技术-Linux之用户管理
头歌-信息安全技术-Linux之用户管理 一.第1关:创建/删除新用户 1.编程要求 2.评测代码 二.第2关:Linux 用户密码管理 1.编程要求 2.评测代码 三.第3关:Linux用户权限切换 ...
- 头歌-信息安全技术-安全审计
头歌-信息安全技术-安全审计 一.第1关:配置环境 1.编程要求 2.评测代码 二.第2关:使用lynis进行安全审计 1.编程要求 2.评测代码 (1)输入vim /data/workspace/m ...
- 头歌-信息安全技术-Spectre侧信道攻击过程验证
头歌-信息安全技术-Spectre侧信道攻击过程验证 一.第1关:Cache vs Memory 1.编程要求 2.评测代码 二.第2关:基于Flush+Reload的侧信道实现 1.编程要求 2.评 ...
- 数据库SQL注入漏洞
第1关:获取dvwa环境 问题描述 搭建dvwa环境,包括1.搭建LAMP服务:2.部署dvwa服务:3.访问dvwa主页. 相关知识 安装appach 首先更新源 apt updat ...
- 头歌C++面向对象实训一
** C&C++ 面向过程编程综合练习 ** 一.实训目的 熟练以下内容: (1)函数的定义及使用: (2)数组的定义及使用: (3)指针的定义及使用: (4)结构的定义及使用: (5)多文件 ...
- 头歌C++面向对象实训二
** C++ 面向对象 - 类和对象的创建和使用 ** 一.实训目的 1.熟悉C++中类和对象的创建和使用 2.理解C++中的关键字public.protected.private 二.实训内容 1. ...
最新文章
- tomcat报错LifecycleException的解决方案
- javaScript——廖雪峰老师学习笔记(一)
- 【正一专栏】运动式的创建文明城市要着干嘛
- 面试离职理由_面试一个月都没有成功,是种什么样的神奇体验?
- sql server中扩展存储过程
- SpringBoot整合mybatis、shiro、redis实现基于数据库的细粒度动态权限管理系统实例...
- STM8学习笔记---Modbus通信协议简单移植
- 在 Adobe AIR 中为不同屏幕尺寸的多种设备提供支持
- Zabbix3 ——Server端的安装配置小结
- 如何计算Lyapunov exponent spectrum?matlab计算李雅普诺夫指数
- 模糊c均值聚类及python实现
- 对TexStudio配置拼写和语法检查LanguageTool
- 顶级赛事|2021 CCF大数据与计算智能大赛重磅来袭!
- thinkadmin
- 二叉树的基本概念以及性质
- js阿拉伯数字转中文数字
- A1088 Rational Arithmetic (20 分)
- 为什么NR PDCP SDU最大为9000?
- OpenCV-Python (官方)中文教程(部分四)
- SCTF2021 pwn Christmas Song 出题思路+预期解
热门文章
- 2018科大讯飞的Java笔试题附带参考答案
- 20155322 2017-2018-1 《信息安全系统设计》第五周 MyBash实现
- Recursive occurrence of viurs scan profile /scet/gui_upload in the sequence /scet/gui_upload
- java一个人赶着鸭子去每个村庄卖,每经过一个村子卖去所赶鸭子的一半又一只。这样他经过了七个村子后还剩两只鸭子,问他出发时共赶多少只鸭子?经过每个村子卖出多少只鸭子?
- James Charles || 一夜掉粉三百万,油管美妆区顶级流量的覆灭
- 【图像处理】双眼去掩蔽
- 由一张血管图片引发的算法分析
- Caffe小玩意(1)-可视化网络结构
- 人工智能伦理无法回避的5个问题,生物进化是否有方向是关键
- CocosCreator的双摇杆手柄实现