pikachu复现暴力破解漏洞

已于 2023-11-20 22:37:28 修改
阅读量513 收藏 1
点赞数
文章标签: 网络安全
于 2023-11-20 21:48:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Retr10010/article/details/134513827
版权

一、安装pikachu

1.安装好phpstudy

phpstudy的官方网址:Windows版phpstudy下载 - 小皮面板(phpstudy) (xp.cn)

一般只需要打开Apache和MySQL就足够我们平时搭建网站使用了

2.搭建pikachu靶场

源代码下载地址:https://github.com/zhuifengshaonianhanlu/pikachu

下载好之后把pikachu文件夹放到WWW目录下

回到phpstudy,点开网站,选择创建网站

配置pikachu-master目录下的inc文件夹里的config.inc.php

将第十行数据库用户名和第十一行的数据库密码分别改为自己对应数据库的用户名和密码。数据库的用户名和密码去phpstudy查看

对pikachu-master目录下的pkxss里的inc里的config.inc.php进行同上一样的步骤

打开浏览器访问localhost/pikachu就能访问到自己刚才搭建的pikachu靶场

进行初始化

访问:http://127.0.0.1/pikachu/install.php

安装成功

二、复现暴力破解漏洞

使用BP浏览器访问pikachu靶场

尝试输入用户名密码

例如使用 admin/password

报错显示“用户名或密码错误”

再次尝试,同时使用BP抓包

抓到的报文使用Crtl+I发送给intruder

攻击类型选择bluster bomb

将报文中用户的值和密码的值添加ADD$

注意:添加顺序,第一个选择添加的就为1,第二个选择添加的就为2,在后面paylods里会用不同的密码字典爆破不同的值

点击payloads选项,进行爆破

可以手动添加,也可以使用字典

添加账户

添加密码

开始爆破

找到Length不同的

尝试登录

登录成功

Retr10010
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
pikachu靶场 :十五、SSRF
qq_43233085的博客
02-03 1854
pikachu靶场 :十五、SSRF概述SSRF(curl)SSRF(file_get_content) 概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制 导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据 数据流:攻击者...
pikachu基于表单的的暴力破解low
最新发布
06-06
个人创作
1、安装pikachu复现暴力破解漏洞
qq_62681309的博客
11-21 583
发送到 Intruder 模块,标记用户名密码。抓包,开启拦截随便输账户密码。1、安装pikachu
1、pikachu靶场之xss钓鱼复现
weixin_51520483的博客
05-24 506
1、fish.php:文件源码分析,这是恶意构造的页面,即恶意插入xss代码中的url:127.0.0.1/pkxss/xfish/fish.php。2、此时恶意代码已经存入数据库,并存在网页中,当另一个用户打开这个网页时,就会触发xss恶意代码,被跳转的另一个页面,并弹出登入框。1、在含有xss漏洞页面,插入一个一个恶意script代码,代码会触发跳转页到恶意页面。2、xfish.php:他会获取到传入过来的账号密,并将这些存入数据库。3、这个时候如果输入账号密码,就会被恶意构造的后台窃取储存。
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
qq_45612828的博客
08-02 6610
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
SSRF(服务器请求伪造)漏洞分析——pikachu-ssrf、vulhub-weblogic-ssrf靶场复现
qq_45612828的博客
08-06 3025
SSRF(服务器请求伪造)——pikachu-ssrf、vulhub-weblogic-ssrf靶场复现
pikachu靶场复现记录--持续更新完善优化思路
2201_75375302的博客
12-17 1090
alert(1)、>alert(1)、>alert(1)>等多个尝试,发现被过滤掉了一类的标签;这里存在一个代码漏洞,提交alert(1),在前面多提交一个是为了将上一个收尾掉。发现url后面变成我输入的东西。老样子,先提交一遍alert(1)
Pikachu实验过程重现(Burp suit的具体介绍)
gl620321的博客
03-24 1829
暴力破解漏洞的解析 一.暴力破解漏洞的原理 1.连续性尝试+字典+自动化 字典(自己要在网上查找资源并且在学习过程中收集属于自己的字典)字典可以提高暴力破解的效率 (1).常用的账号密码(弱口令),比如常用用户名和密码,在网上收集 (2).互联网被脱裤后账号密码 二.暴力破解漏洞的测试流程 三.基于表单的暴力破解(基于burp suite) 四.暴力破解安全验证码分析 五.暴力破解常见的防范措施@...
pikachu漏洞练习环境
10-25
"pikachu漏洞练习环境" 是一个专门为网络安全爱好者和专业人士设计的平台,旨在提供一个实践和学习漏洞利用技术的环境。这个环境可以帮助用户提升在网络安全领域的技能,了解常见漏洞的原理,以及如何检测和修复它们...
pikachu靶场全部通关.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
pikachu-master
05-04
Pikachu漏洞测试平台搭建详解》 在网络安全领域,漏洞测试是确保系统安全的重要环节。Pikachu,一个以小精灵命名的漏洞测试平台,因其易用性和实用性,成为了许多安全研究人员和初学者的首选工具。本文将详细介绍...
pikachu LINUX安装包,
07-14
上传到根目录,解压直接就问访问,里面有教程
安装pikachu复现暴力破解漏洞
2302_76965792的博客
11-20 257
下载好后,是一个zip压缩包注意!不是这个文件!确认连接数据库的账户与密码正确,启动phpstudy 2016因为某些原因,我重新在安装时,出现了没有往外蹦红色初始化,反而是出现第一行报错。
Pikachu靶场-暴力破解
s0mor
09-05 4159
一、暴力破解 1、基于表单的暴力破解 先随意测试root/root登录,用Burp抓包,丢进Intruder 添加username和password两个参数变量,攻击类型选择Clusterbomb 有效载荷中给username和password选择字典(有效载荷类型为简单清单),线程设置为1,开始爆破 根据返回包长度排序,获得账号密码 2、验证码绕过(on server) 同样尝试登录,用B...
Pikachu靶场攻略(代码分析)
红队是青春
01-31 911
Pikachu靶场攻略和代码分析
Pikachu靶场学习记录(6500字归纳总结)
身高两米不到的博客
03-22 7067
回归本源,之前学过很多次却没有动笔记录过,最后一次通关Pikachu靶场,把知识稍加记录,向它好好告别。 一、暴力破解 场景概述:暴力破解工具使用burpsuite,使用暴力猜解对目标网站账号密码进行撞库,如果撞库成功就可以登录后台。 基于表单的暴力破解 随便输入账号密码,aaa:aaa,显示用户名或密码不存在,抓包到repeater模块,发送几次发现没有变化,可以判断就是简单的验证机制,发送到intruder模块,进行爆破 爆破比较重要的一点就是字典,按理说只要字典强大就可以撞库成功,从而.
pikachu靶场复现暴力破解漏洞
WSGWZlz的博客
11-20 272
pikachu靶场的搭建及暴力破解通关
使用pikachu靶场复现暴力破解漏洞
2302_76966971的博客
11-20 227
使用pikachu靶场复现暴力破解漏洞
phpStudy下载(安装)-图文详解(windows)
热门推荐
wzhua的博客
09-11 3万+
phpStudy下载(安装)-图文详解 有phpStudy下载链接 包含pikachu和sqli的安装包
pikachu靶场暴力破解能得到的漏洞分析
05-30
首先需要说明的是,暴力破解是一种攻击手段,而不是一种漏洞暴力破解通过尝试大量的可能性来猜测正确的用户名和密码,进而获取系统或应用的访问权限。因此,暴力破解的成功与否主要取决于目标系统或应用本身是否...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值