寫在前面的一些內容
請允許我叨叨一頓:
最初看到sqli-labs也是好幾年之前了,那時候玩了前面的幾個關卡,就沒有繼續下去了。最近因某個需求想起了sqli-labs,所以翻出來玩了下。從每一關卡的娛樂中總結注入的方式,這就是娛中作樂,希望能保持更大的興趣學下去。而很多的東西不用就忘記了,有些小的知識點更是這樣,網上搜了一下相關資料,基本上同仁前輩寫的博客中講解基礎關。腦門一熱決定給后面的人留下點東西(或許糟粕或許精華,全在你的角度),遂決定寫blog。Blog寫完了后決定總結成一個pdf文檔,更方便查看。本來想着錄制視頻,可是時間要求太長了,所以只能先放下,此處看后期時間安排或者需求,可能的話對原作者的視頻進行消音重新配音。最后希望能對后面參考該文檔的人有幫助,不枉此作。
為什么要寫這個?
(1)sql的危害,多少的網站是被此攻破的,危害不必細講,同樣的今天網絡安全形勢一片大好,依舊有很多的網站存在漏洞。具體不表,可以去各大src看看。
(2)很多的人覺得sql是如此的簡單,同時很多的人是華而不實,對sql注入的理解到底有多深,決定了你對此漏洞的利用方式有多么變幻莫測。個人就想着利用自己對sql注入的理解,來完成這一個游戲。當然了,sql注入的內容有很多,這個是真的!因為我寫的手酸。。
(3)以前自己在學習的時候太過於痛苦,大部分的人入門的時候通過sql走進來。同時呢,sql注入的世界真的很精彩,當你看到別人用智慧構成的payload時,你會感觸頗多。所有形成你自己的理解和使用方法,而不是生搬硬套。此處希望通過該文檔幫助到正在學習的人。
這項工作要怎么做?
現在大致的思路分為三個部分,但是不知道有沒有時間和精力能夠寫完。確實寫的過程比較耗費時間。
-
、通過源碼和手工的方式,將所有的注入方式和造成漏洞的原因找出來,並進行學習。此處要求是對每一個類型的注入進行"深刻"的了解,了解其原理和可能應用到的場景。
-
通過工具進行攻擊,我們此處推薦使用sqlmap。此過程中,了解sqlmap的使用方法,要求掌握sqlmap的流程和使用方法,精力較足的話,針對一些問題會附sqlmap的源碼分析。
-
自己實現自動化攻擊,這一過程,我們根據常見的漏洞,自己寫腳本來進行攻擊。此處推薦python語言。同時,sql-labs系統是php寫的,這里個人認為可以精讀一下每關的源碼,同時針對有些關卡,可以嘗試着添加一些代碼來增強安全性。
Ps:工具注入和自動化注入可能延后,見第二個版本。請關注博客。
你該怎么去學?
-
安裝環境后,動手實驗。實踐中遇到問題才能更大的激發起興趣。
-
遇到不會查資料,可以在我的博客(www.cnblogs.com/lcamry)中找到一些資料。或者可以請教別人,虛心請教,不恥下問。三人行必有我師焉!
-
書山有路勤為徑,勤奮是唯一的一條路。
我的相關介紹
Blog:www.cnblogs.com/lcamry
聯系QQ:646878467
課余時間和工作之外時間來寫,時間倉促,同時個人實力有限,望各位批評指正。
