项目地址

https://github.com/incredibleindishell/SQLI_b0x

SQLI_b0x（来自 ICA 团队的爱）

此存储库包含示例 SQL 注入易受攻击的代码，这些代码并不简单。

为实验室设置数据库

登录到数据库并创建一个名为“indishell_lab”的数据库。需要在文件 config.php 中指定 MySQL 用户凭据。在我的例子中，用户名是 root，密码是空的。请相应地更改配置文件。

创建数据库后，在新创建的数据库中导入“indishell_lab.sql”SQL Dump 文件。

关于漏洞代码

add_quote.php

此 PHP 脚本不会转义用户提供的数据，而是用其中的两个引号替换一个引号。攻击者需要进行调整以中和一个引号，以便 SQL 注入有效负载超出数据限制器。

concat.php

Concat.php 容易受到基于连接的盲 SQL 注入的攻击。此脚本不允许以正常方式进行基于布尔值的盲注。攻击者需要使用连接方法执行 SQL 注入。