pikachu靶场实验操作

已于 2023-08-01 10:36:51 修改
阅读量1.1k 收藏 5
点赞数
分类专栏: 网络安全小白之路 文章标签: 安全 网络
于 2023-06-11 13:35:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/G6_12/article/details/131148070
版权

文章目录

前言

Pikachu是一个带有漏洞的Web应用系统,它包含常见的各种各种web安全漏洞。由于各种现实因素,在公网上进行渗透测试是不实际的,因此我们可以在pikachu靶场(漏洞练习平台)进行针对性的练习。

Pikachu上的漏洞类型列表如下:

  • Burt Force(暴力破解漏洞)
  • XSS(跨站脚本漏洞)
  • CSRF(跨站请求伪造)
  • SQL-Inject(SQL注入漏洞)
  • RCE(远程命令/代码执行)
  • Files Inclusion(文件包含漏洞)
  • Unsafe file downloads(不安全的文件下载)
  • Unsafe file uploads(不安全的文件上传)
  • Over Permisson(越权漏洞)
  • …/…/…/(目录遍历)
  • I can see your ABC(敏感信息泄露)
  • PHP反序列化漏洞
  • XXE(XML External Entity attack)
  • 不安全的URL重定向
  • SSRF(Server-Side Request Forgery)

一、暴力破解

1. 基于简单的暴力破解

  • 使用bp开启抓包状态

在这里插入图片描述

  • 登录实验平台http://127.0.0.1/pikachu

最低0.47元/天 解锁文章
锅盖'awa'
关注
专栏目录
Pikachu靶场
m0_71518346的博客
12-08 442
token是在服务端产生的,前端使用账户密码向服务端请求认证,服务端认证成功,就会返回token给前端,前端每次请求时带上token证明自己的合法地位,如果token在服务端持久化就是一个永久的身份令牌。用户名和密码输入错误值,当验证码是错误值时,有弹框提示验证码错误,之前对用户名或密码的提示也没有清除,怀疑用户名和密码是在后端验证的,但验证码是在前端验证的。配置:发送到intruder中,清空所有选定变量,设置好password和username再添加一个token,攻击模式选Pitchfork。
pikachu靶场
Fzuim的博客
11-21 3020
暴力破解 1. 基于表单的暴力破解 解题步骤: (一) 管理员账号admin尝试爆破,在密码处进行字典爆破 (二) 爆破出密码123456 2. 验证码绕过(on server) 解题步骤: (一) 题目漏洞点,在于验证码长久有效,同样进行burp抓包然后对密码位置进行爆破 (二) 保持一个正确验证码进行爆破,密码123456 3. 验证码绕过(on client) 解题步骤: (一) 题目漏洞点,在于验证码长久有效,同样进行burp抓包然后对密码位置进行爆破 (二
Pikachu靶场全级别通关教程详解
wangluoanquan111的博客
08-23 716
XSS是一种发生在Web前端的漏洞,所以其危害的对象主要是前端用户。XSS漏洞可以用来进行钓鱼攻击,前端js挖矿,获取用户cookie,甚至可以结合浏览器自身的漏洞对用户主机进行远程控制等Cross-site request forgrey简称为"CSRF"。在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接)然后欺骗目标用户进行点击,用户一旦点击这个请求,整个攻击也就完成了。因此CSRF攻击也被称为"one click"攻击。为什么小黑可以攻击成功呢?
Pikachu(皮卡丘)靶场---RCE(remote command/code execute)
m0_74850066的博客
06-15 421
看看靶场的概述RCE(remote command/code execute)概述RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。
渗透学习-靶场篇-pikachu靶场详细攻略(持续更新中-)
qq_43696276的博客
06-09 1979
在完成基础学习后,现在开始正式的打pikachu靶场。由于目前,主要只学习了sql注入、xss,因此,对于pikachu靶场的攻略仅有sql注入与xss的部分。以上便是我对于pikachu靶场sql注入部分的思路,如果有错欢迎指出,大家一起交流与学习!!!
Pikachu靶场练习总结
weixin_47387913的博客
03-05 2969
Pikachu靶场练习总结 前辈们好!作为一个进入安全行业的初学者,靶场练习必不可少,我将我对某些靶场练习的总结写在这里,错误之处请多多指正。 靶场pikachu 关卡:暴力破解 基于表单的暴力破解: 先看提示: 用户名和密码我们都是不清楚的,可建立密码库利用burp中的Intruder功能进行暴力破解,先通过Proxy截取报文,发送到Intruder中。 因为用户名和密码都是不清楚的,那么我们要添加username和password2个爆破选...
pikachu靶场教程
10-08
通过在靶场中实际操作实验,用户可以提高自己的网络安全技能,加强对网络安全风险的认识。如果您想了解更多关于pikachu靶场的教程,可以参考引用中提到的phpstudy集成环境安装教程。在该教程中,您可以找到关于...
pikachu靶场之暴力破解学习笔记
Mbys_Lettuce的博客
11-07 243
暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。
网络安全 - 综合靶场 - PIKACHU 源码包 - pikachu-master.zip
最新发布
09-22
这个源码包通常包含了 PIKACHU 靶场的全部代码,可以部署到本地服务器上进行学习和测试。 ### 主要特点 - **多漏洞场景**:包括但不限于 XSS(跨站脚本攻击)、SQL 注入、CSRF(跨站请求伪造)、文件上传漏洞、文件...
Pikachu的渗透测试
Cper的博客
10-29 1099
Pikachu靶场渗透测试的实践与总结
Pikachu(皮卡丘)靶场搭建
m0_64005272的博客
12-26 5045
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。
pikachu靶场搭建(保姆级,手把手教学)
记录学习
05-09 2532
phpstudy安装+pikachu配置
搭建一个pikachu靶场
weixin_46676939的博客
11-04 5344
简简单单搭建一个pikachu靶场
pikachu逻辑漏洞实验
Snowflake1997的博客
03-03 639
水平越权 1.首先进行靶场的搭建 在右上角的地方有提示用户名和密码 2.登陆后和可查看该用户的信息 在上方可以看到url上是往后端发送了一个用户名进行查询 3.可以通过修改username后面的用户名看到不同用户的信息 垂直越权 1.在右上角的地方有提示用户名和密码 2.输入超级管理员用户,查看相应信息 添加用户,并用burpsuite进行抓包 抓包成功后将post数据包发送到repeater重发器 这时如果再次发送数据包的话,将建立一个跟之前一
Pikachu 靶场搭建
theRavensea
03-13 949
Pikachu是一个使用“PHP + MySQL” 开发、包含常见的Web安全漏洞、适合Web渗透测试学习人员练习的靶场,运行Pikachu需要提前安装好“PHP + MySQL + 中间件” 的基础环境,可以使用集成软件来搭建,比如PHPStudy、XAMPP、WAMP等。
靶场搭建——搭建pikachu靶场
钟言的博客
07-02 7152
本篇为pikachu靶场搭建,使用虚拟机搭建pikachu靶场,使用win2012搭建靶场,这里包含了搭建一个pikachu靶场的具体步骤以及在主机上以及虚拟机不同场景的搭建过程,以及不同常见搭建过程中所碰见的问题,这里有Warning: mysqli_connect(): (HY000/1049): Unknown database 'pikachu' in D:\phpstudy_pro\WWW\pikachu\index.php on line 14解决,以及如何连接虚拟机win2012。
Web安全 Pikachu(皮卡丘)靶场搭建.
热门推荐
网络安全领域___专研者.
03-04 1万+
Pikachu(皮卡丘)是一个自带Web漏洞的应用系统,在这里包含了常见的web安全漏洞。如果你是一个想学习Web渗透测试人员,并且没有找到合适靶场,则可以使用这个Pikachu(皮卡丘)进行练习。(靶场包含:1.暴力破解,2.XSS,3.CSRF,4.SQL注入5.RCE,6.文件包含,7.不安全的文件下载,8.不安全的文件上传,9.越权,10.目录遍历,11.敏感信息泄露,12.PHP反序列化,13.XXE ,14.URL重定向,15.SSRF)
pikachu靶场介绍
04-15
Pikachu靶场是一个开源的网络安全漏洞扫描框架,用于评估和测试网络应用程序的安全性。它由Python编写,提供了一系列功能强大的工具和模块,可以帮助安全研究人员和渗透测试人员发现和利用各种常见的Web应用程序漏洞...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值