本文介绍了在pikachu靶场环境中进行的WEB安全漏洞演练,包括SQL注入中的数字注入,文件遍历、上传和下载漏洞的详细步骤。通过Linux Docker搭建环境,利用burpsuite工具进行数据包拦截和修改,揭示了这些常见漏洞的利用方法和技术要点。
本节课主要演示了部分WEB漏洞的简单操作,分别为SQL注入之数字注入、文件遍历漏洞、文件上传漏洞、文件下载漏洞。
一、pikachu环境搭建
演示之前进行靶场环境的搭建,根据网上笔记,使用Linux搭建Docker环境。
本人现在网上下载的Ubuntu 22.04.2版本的桌面系统镜像,使用VMware安装后VMware Tools工具有点问题,虚拟机和主机无法进行复制粘贴操作,重装VMware Tools工具后也没用,然后在Linux系统内执行下面命令:
sudo apt-get autoremove open-vm-tools
sudo apt-get install open-vm-tools-desktop
重启虚机后可正常复制粘贴操作。
虚机内没有Docker环境,执行命令
sodu docker
根据提示命令安装的Docker环境。
根据网上笔记,拉取靶场环境,使用pikachu靶场,并运行靶场:
web@web:~$ sudo docker pull area39/pikachu
web@web:~$ sudo docker run -d -p8080:80 area39/pikachu
访问Linux的IP加上面启动时的8080端口,进入pikachu界面:
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
