写在前面的一些内容

请允许我叨叨一顿:

最初看到sqli-labs也是好几年之前了,那时候玩了前面的几个关卡,就没有继续下去了。最近因某个需求想起了sqli-labs,所以翻出来玩了下。从每一关卡的娱乐中总结注入的方式,这就是娱中作乐,希望能保持更大的兴趣学下去。而很多的东西不用就忘记了,有些小的知识点更是这样,网上搜了一下相关资料,基本上同仁前辈写的博客中讲解基础关。脑门一热决定给后面的人留下点东西(或许糟粕或许精华,全在你的角度),遂决定写blog。Blog写完了后决定总结成一个pdf文档,更方便查看。本来想着录制视频,可是时间要求太长了,所以只能先放下,此处看后期时间安排或者需求,可能的话对原作者的视频进行消音重新配音。最后希望能对后面参考该文档的人有帮助,不枉此作。

为什么要写这个?

(1)sql的危害,多少的网站是被此攻破的,危害不必细讲,同样的今天网络安全形势一片大好,依旧有很多的网站存在漏洞。具体不表,可以去各大src看看。

(2)很多的人觉得sql是如此的简单,同时很多的人是华而不实,对sql注入的理解到底有多深,决定了你对此漏洞的利用方式有多么变幻莫测。个人就想着利用自己对sql注入的理解,来完成这一个游戏。当然了,sql注入的内容有很多,这个是真的!因为我写的手酸。。

(3)以前自己在学习的时候太过于痛苦,大部分的人入门的时候通过sql走进来。同时呢,sql注入的世界真的很精彩,当你看到别人用智慧构成的payload时,你会感触颇多。所有形成你自己的理解和使用方法,而不是生搬硬套。此处希望通过该文档帮助到正在学习的人。

这项工作要怎么做?

现在大致的思路分为三个部分,但是不知道有没有时间和精力能够写完。确实写的过程比较耗费时间。

  1. 、通过源码和手工的方式,将所有的注入方式和造成漏洞的原因找出来,并进行学习。此处要求是对每一个类型的注入进行"深刻"的了解,了解其原理和可能应用到的场景。
  2. 通过工具进行攻击,我们此处推荐使用sqlmap。此过程中,了解sqlmap的使用方法,要求掌握sqlmap的流程和使用方法,精力较足的话,针对一些问题会附sqlmap的源码分析。
  3. 自己实现自动化攻击,这一过程,我们根据常见的漏洞,自己写脚本来进行攻击。此处推荐python语言。同时,sql-labs系统是php写的,这里个人认为可以精读一下每关的源码,同时针对有些关卡,可以尝试着添加一些代码来增强安全性。

    Ps:工具注入和自动化注入可能延后,见第二个版本。请关注博客。

    你该怎么去学?

  4. 安装环境后,动手实验。实践中遇到问题才能更大的激发起兴趣。
  5. 遇到不会查资料,可以在我的博客(www.cnblogs.com/lcamry)中找到一些资料。或者可以请教别人,虚心请教,不耻下问。三人行必有我师焉!
  6. 书山有路勤为径,勤奋是唯一的一条路。

    我的相关介绍

    Blog:www.cnblogs.com/lcamry

    联系QQ:646878467

    课余时间和工作之外时间来写,时间仓促,同时个人实力有限,望各位批评指正。

MYSQL注入天书之前言的更多相关文章

  1. MYSQL注入天书之开天辟地

    MYSQL注入天书 在线版本:xianzhi.aliyun.com 第一篇地址:https://xianzhi.aliyun.com/forum/read/314.html第二篇地址:https:// ...

  2. MYSQL注入天书之基础知识

    第一部分/page-1 Basic Challenges Background-1 基础知识 此处介绍一些mysql注入的一些基础知识. (1)注入的分类---仁者见仁,智者见智. 下面这个是阿德玛表 ...

  3. MYSQL注入天书之宽字节注入

    Background-7 宽字节注入 Less-32,33,34,35,36,37六关全部是针对'和\的过滤,所以我们放在一起来进行讨论. 对宽字节注入的同学应该对这几关的bypass方式应该比较了解 ...

  4. MYSQL注入天书之stacked injection

    第三部分/page-3 Stacked injection Background-8 stacked injection Stacked injections:堆叠注入.从名词的含义就可以看到应该是一 ...

  5. MYSQL注入天书之后记

    后记 对于工具的看法: 我之所以在每个例子中只写了几个示例,是因为我希望你能通过这一两个示例举一反三将其他的列出来.如果让我来完成每一次完整的注入,应该在知道原理的情况下,必然使用工具或者自己写代码实 ...

  6. MYSQL注入天书之盲注讲解

    Background-2 盲注的讲解 何为盲注?盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面.此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注.从ba ...

  7. MYSQL注入天书之导入导出介绍

    Background-3 导入导出相关操作的讲解 load_file()导出文件 Load_file(file_name):读取文件并返回该文件的内容作为一个字符串. 使用条件: A.必须有权限读取并 ...

  8. MYSQL注入天书之数据库增删改介绍

    Background-4 增删改函数介绍 在对数据进行处理上,我们经常用到的是增删查改.接下来我们讲解一下mysql 的增删改.查就是我们上述总用到的select,这里就介绍了. 增加一行数据.Ins ...

  9. MYSQL注入天书之服务器(两层)架构

    Background-6 服务器(两层)架构 首先介绍一下29,30,31这三关的基本情况: 服务器端有两个部分:第一部分为tomcat为引擎的jsp型服务器,第二部分为apache为引擎的php服务 ...

随机推荐

  1. 2017北京国庆刷题Day5 afternoon

    期望得分:100+60+100=260 实际得分:0+60+40=100 设图中有m个环,每个环有si条边,有k条边不在环中 ans= (2^s1 -2)*( 2^s2 -2)* (2^s3 -2)… ...

  2. 760A 水

    LINK 第一天单独一行 其余7天一行 问某月有多少行 ...... /** @Date : 2017-04-02-21.35 * @Author : Lweleth (SoungEarlf@gmai ...

  3. 用create-react-app来快速配置react

    最近在学react,然后感觉自己之前用的express+gulp+webpack+ejs的工作环境还是基于html+js+css这种三层架构的应用,完全跟react不是一回事. 愚蠢的我居然在原先的这 ...

  4. docker-It's possible that too few managers are online. Make sure more than half of the managers are online.

    问题:docker ---- It's possible that too few managers are online. Make sure more than half of the manag ...

  5. P2622 关灯问题II (状态压缩入门)

    题目链接: https://www.luogu.org/problemnew/show/P2622 具体思路:暴力,尝试每个开关,然后看所有的情况中存不存在灯全部关闭的情况,在储存所有灯的情况的时候, ...

  6. PHP动态修改配置文件——php经典实例

    文件结构: index.php 主页 config 配置文件 doUpdate.php 修改功能页 index.php <html> <head> <title>修 ...

  7. password passphrase passcode 的区别

    In general, passphrases are long passwords and passcodes are numeric-only passwords.

  8. ubuntu10.04 svn安装方法

    ubuntu10.04 svn安装方法:sudo apt-get install subversion sudo apt-get install libneon27-dev orsudo apt-ge ...

  9. 144.Binary Tree Preorder Traversal---二叉树先序、中序非递归遍历

    题目链接 题目大意:返回二叉树的先序遍历list.中序见94,后序见145. 法一:普通递归遍历,只是这里多了一个list数组,所以分成了两个函数.代码如下(耗时1ms): public List&l ...

  10. puppet practice

    目标 试验环境有两台主机(VM)构成,一台是master,一台是agent,完成以下工作: 新建用户newuser; 安装 ubuntu-cloud-keyring package,更改文件/etc/ ...