本节课主要演示了部分WEB漏洞的简单操作,分别为SQL注入之数字注入、文件遍历漏洞、文件上传漏洞、文件下载漏洞。
一、pikachu环境搭建
演示之前进行靶场环境的搭建,根据网上笔记,使用Linux搭建Docker环境。
本人现在网上下载的Ubuntu 22.04.2版本的桌面系统镜像,使用VMware安装后VMware Tools工具有点问题,虚拟机和主机无法进行复制粘贴操作,重装VMware Tools工具后也没用,然后在Linux系统内执行下面命令:
sudo apt-get autoremove open-vm-tools
sudo apt-get install open-vm-tools-desktop
重启虚机后可正常复制粘贴操作。
虚机内没有Docker环境,执行命令
sodu docker
根据提示命令安装的Docker环境。
根据网上笔记,拉取靶场环境,使用pikachu靶场,并运行靶场:
web@web:~$ sudo docker pull area39/pikachu
web@web:~$ sudo docker run -d -p8080:80 area39/pikachu
访问Linux的IP加上面启动时的8080端口,进入pikachu界面: