写在前面的一些内容
请允许我叨叨一顿:
最初看到sqli-labs也是好几年之前了,那时候玩了前面的几个关卡,就没有继续下去了。最近因某个需求想起了sqli-labs,所以翻出来玩了下。从每一关卡的娱乐中总结注入的方式,这就是娱中作乐,希望能保持更大的兴趣学下去。而很多的东西不用就忘记了,有些小的知识点更是这样,网上搜了一下相关资料,基本上同仁前辈写的博客中讲解基础关。脑门一热决定给后面的人留下点东西(或许糟粕或许精华,全在你的角度),遂决定写blog。Blog写完了后决定总结成一个pdf文档,更方便查看。本来想着录制视频,可是时间要求太长了,所以只能先放下,此处看后期时间安排或者需求,可能的话对原作者的视频进行消音重新配音。最后希望能对后面参考该文档的人有帮助,不枉此作。
为什么要写这个?
(1)sql的危害,多少的网站是被此攻破的,危害不必细讲,同样的今天网络安全形势一片大好,依旧有很多的网站存在漏洞。具体不表,可以去各大src看看。
(2)很多的人觉得sql是如此的简单,同时很多的人是华而不实,对sql注入的理解到底有多深,决定了你对此漏洞的利用方式有多么变幻莫测。个人就想着利用自己对sql注入的理解,来完成这一个游戏。当然了,sql注入的内容有很多,这个是真的!因为我写的手酸。。
(3)以前自己在学习的时候太过于痛苦,大部分的人入门的时候通过sql走进来。同时呢,sql注入的世界真的很精彩,当你看到别人用智慧构成的payload时,你会感触颇多。所有形成你自己的理解和使用方法,而不是生搬硬套。此处希望通过该文档帮助到正在学习的人。
这项工作要怎么做?
现在大致的思路分为三个部分,但是不知道有没有时间和精力能够写完。确实写的过程比较耗费时间。
- 、通过源码和手工的方式,将所有的注入方式和造成漏洞的原因找出来,并进行学习。此处要求是对每一个类型的注入进行"深刻"的了解,了解其原理和可能应用到的场景。
- 通过工具进行攻击,我们此处推荐使用sqlmap。此过程中,了解sqlmap的使用方法,要求掌握sqlmap的流程和使用方法,精力较足的话,针对一些问题会附sqlmap的源码分析。
- 自己实现自动化攻击,这一过程,我们根据常见的漏洞,自己写脚本来进行攻击。此处推荐python语言。同时,sql-labs系统是php写的,这里个人认为可以精读一下每关的源码,同时针对有些关卡,可以尝试着添加一些代码来增强安全性。
Ps:工具注入和自动化注入可能延后,见第二个版本。请关注博客。
你该怎么去学?
- 安装环境后,动手实验。实践中遇到问题才能更大的激发起兴趣。
- 遇到不会查资料,可以在我的博客(www.cnblogs.com/lcamry)中找到一些资料。或者可以请教别人,虚心请教,不耻下问。三人行必有我师焉!
- 书山有路勤为径,勤奋是唯一的一条路。
我的相关介绍
Blog:www.cnblogs.com/lcamry
联系QQ:646878467
课余时间和工作之外时间来写,时间仓促,同时个人实力有限,望各位批评指正。
