今天繼續給大家介紹滲透測試相關知識,本文主要内容是sqli_lab安裝與使用時問題解決。
免責聲明:
本文所介紹的内容僅做學習交流使用,嚴禁利用文中技術進行非法行為,否則造成一切嚴重後果自負!
再次強調:嚴禁對未授權裝置進行滲透測試!
我們在使用sqli_lab學習SQL注入漏洞時,為了搭建環境的友善,我們經常會選擇使用phpstudy平台來快速搭建我們需要的資料庫、Apache或Nginx以及PHP環境。但是,我們在使用新版本的phpstudy時,在安裝和使用sqli_lab時會出現各種各樣的問題,今天我們就來簡單介紹我們經常會遇到的兩個問題,并介紹解決辦法。
一、PHP版本引發的錯誤
我們在開始嘗試安裝sqli_lab時,可能會出現如下報錯:
報錯頁面如下所示:
出現這種錯誤,主要原因是PHP版本太高,而sqli_lab開發時的一些函數已經在高版本的PHP裡面不再支援,是以我們無法成功安裝sqli_lab。
解決這一問題的手段就是降低PHP的版本,打開phpstudy的頁面,選擇網站,并點選管理,找到下拉菜單中的php版本,将php版本改為php5.X的版本即可。操作如下圖所示:
如果在上述操作時,發現沒有php5.X可以選擇,就是因為沒有安裝相應的環境,我們可以在phpstudy的環境面闆中,選擇安裝相應的php版本,相關操作如下圖所示:
這樣,我們在降低phpstudy環境的php版本後,sqli_lab就可以正常安裝并使用了,如下所示:
二、魔術引号引發的錯誤
在上一步,盡管我們能夠成功的安裝sqli_lab,但是如果我們使用sqli_lab進行實驗,則會發現實驗不能成功。
我們在進行sqli_lab第一關的實驗時,在sql語句拼接後、執行前,如果添加如下代碼:
添加完成後的代碼如下所示:
就可以在頁面中輸出$sql變量,進而幫助我們更友善的排查錯誤。修改完成後,我們在第一關輸入id=1’,則頁面回顯如下所示:
從上圖可以很明顯的看出,我們輸入的引号被進行了轉義,是以我們無法進行SQL注入的進一步實驗。
之是以出現這種現象,是因為PHP在配置時設定了魔術引号,打開PHP的配置檔案php.ini(該檔案應該在phpstudy安裝目錄下的extension子目錄中),發現magic_quotes_gpc參數設定on,該檔案如下圖所示:
我們将上圖中紅線部分的magic_quotes_gpc參數修改為Off,重新開機Apache後再次嘗試,發現結果如下所示:
從上圖中可以看出,PHP不再對我們輸入的單引号進行魔術符号轉義了,我們也就可以進行正常的SQL注入滲透測試學習了。
原創不易,轉載請說明出處:https://blog.csdn.net/weixin_40228200