MCIR尽管作为十大渗透测试演练系统(http://www.freebuf.com/tools/4708.html) 但相关文章非常少。所以遇到问题Google搜不到,在stackoverflow上提问也没人鸟,虽然可能是英语太渣了(;′⌒`)。
运行环境是windows7/64,wampserver (PHP/5.2.9-2,Apache/2.2.13,MySQL/5.6.17)。
从github上下载MCIR源码后,把文件放在wampserver/wamp/www文件下,启动浏览器,输入localhost/MCIR,跳转到这里
点击SQLol开始玩sql injection.
在什么都不输入的情况下直接点Inject!
很明显第二错误显示要修改密码,把密码修改为空:
然后百度第一个错误,http://blog.csdn.net/meegomeego/article/details/36187593 这里有个不错的解决办法。但我懒得改了,不影响使用,唯一的缺点就是显示的内容没有那么美观。
至于第三个错误,根据http://stackoverflow.com/questions/19975539/fatal-error-call-to-a-member-function-setfetchmode-on-a-non-object上的办法,把$dsn里面的单引号变成双引号。
再测试一下,勾上 Show payload in context?的复选框,在Injection String后面的框中输入'='
在injection string框中输入' union select '<script>alert(1)</script>'
接下来可以做里面的challenges了~(づ ̄ 3 ̄)づ