安装pikachu,复现暴力破解漏洞

最新推荐文章于 2024-05-15 19:27:18 发布
最新推荐文章于 2024-05-15 19:27:18 发布
阅读量264 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63842243/article/details/134513371
版权
本文详细描述了在Windows虚拟机上使用phpstudy搭建pikachu靶场的过程,包括环境准备、安装步骤、配置修改以及暴力破解漏洞的利用,通过bp浏览器和Intruder模块进行集束炸弹攻击。
摘要由CSDN通过智能技术生成

pikachu靶场搭建

  • pikachu下载:https://github.com/zhuifengshaonianhanlu/pikachu

环境准备

  • Windows虚拟机:Windows_sever 2016;
  • 中间件平台:phpstudy_2016

搭建过程

pikachu项目下载

在这里插入图片描述

pikachu安装
  • 只需要把下载的压缩包解压,并且把文件夹移动到phpstudy_2016的WWW文件夹下即可

在这里插入图片描述

pikachu配置修改
  • 这里只需要修改一下与数据库连接的账号密码即可
  • 修改文件路径在C:\phpstudy_2016\WWW\pikachu-master\inc

在这里插入图片描述

  • 根据下图位置写数据库密码,并且保存

在这里插入图片描述

  • 开启phpstudy,访问127.0.0.1/pikachu-master/
    在这里插入图片描述
  • 发现报错,应该是没有发现数据库,我们重建一个同名数据库就ok
create database pikachu default character set utf8;

在这里插入图片描述
在这里插入图片描述

重新初始化靶场

  • 访问路径http://127.0.0.1/pikachu-master/install.php,点击初始化
    在这里插入图片描述
  • 成功搭建
    在这里插入图片描述

暴力破解漏洞

  • 使用pikachu暴力破解漏洞的基于表单的暴力破解为例

使用工具

  • 工具使用bp
  • 浏览器使用bp内置chrome浏览器

页面访问

http://10.9.47.73/pikachu-master/vul/burteforce/bf_form.php

在这里插入图片描述

  • 这里直接准备好字典,使用bp爆破即可

使用bp暴力破解

  • 随便往表单里面输入值
    在这里插入图片描述

  • 提示账号密码错误,不用管,在bp的数据包历史里面找到刚才的数据包
    在这里插入图片描述

  • 右键发送到Intruder模块
    在这里插入图片描述
    在这里插入图片描述

  • 选择集束炸弹模式,设置有效载荷
    在这里插入图片描述

  • 在payloads中载入字典
    在这里插入图片描述
    在这里插入图片描述

  • 开始攻击
    在这里插入图片描述

  • 爆破出了三个账号密码
    在这里插入图片描述

正人君子yy
关注
安装pikachu复现暴力破解漏洞
m0_57327934的博客
11-20 232
1.将pikachu-master.zip解压C:\phpstudy_2016\WWW。将username password add添加。2.修改配置文件conf.inc.php。选择爆破方式 密码用户名都需爆破。进入payload输入密码用户名。打开burpsuite开始抓包。发送到intruder模块。由图可见35088爆破成功。3.进入pikachu
pikachu复现暴力破解漏洞
Retr10010的博客
11-20 530
一般只需要打开Apache和MySQL就足够我们平时搭建网站使用了。
pikachu下载及安装/复现暴力破解漏洞
m0_60045654的博客
11-20 2057
pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么pikachu可能正合你意。
1、安装pikachu复现暴力破解漏洞
weixin_58155715的博客
11-20 271
【代码】1、安装pikachu复现暴力破解漏洞
安装 pikachu 靶场/复现暴力破解漏洞
2301_79441074的博客
11-20 318
安装 pikachu 靶场,复现暴力破解漏洞
pikachu靶场,复现暴力破解漏洞
WSGWZlz的博客
11-20 295
pikachu靶场的搭建及暴力破解通关
使用pikachu靶场复现暴力破解漏洞
2302_76966971的博客
11-20 234
使用pikachu靶场复现暴力破解漏洞
Pikachu漏洞平台安装复现暴力漏洞
m0_70937289的博客
11-21 127
点击克隆,点击zip格式下载,解压缩到虚拟机里,再将pikachu文件夹复制到phpstudy_2016/WWW文件夹下。启动phpstudy,打开浏览器进入127.0.0.1/pikachu-master。点击暴力破解,然后点击基于表单暴力破解,启动BP,输入账户和密码。发现admin和123456的状态码和长度不一样。再将BP接收到的数据包发送到intruder。修改配置文件config.inc.php。返回登录admin | 123456。然后点击payloads。随即添加用户名和密码。
pikachu靶场通关之暴力破解token防爆破
记录学习
05-15 400
python脚本通关pikachu靶场暴力破解,token防爆破
pikachu基于表单的的暴力破解low
06-06
个人创作
pikachu暴力破解
m0_61589914的博客
12-25 6267
暴力破解通俗来说就是“撞库”,是现在最流行的密码破解方式之一。它的实质就是枚举法,通过大量穷举的方式来尝试获取用户口令,即猜口令。并且暴力破解也不仅仅只用来暴力破解,也可以发现Web应用程序中的隐藏页面和内容。 造成这样的漏洞的原因主要和不安全的口令设置和不可靠的数据传输组成,其中不安全的口令设置又可以分为使用弱口令和使用默认口令。在生活中人们为了方便记忆往往会选择简单易记的密码口令,但这样做的同时也带来了隐患,这使得攻击者可以使用暴力破解工具轻松获取口令;另外类似于mysql、tomcat这...
Pikachu漏洞练习平台实验——基于表单暴力破解
weixin_51940324的博客
05-02 1865
Pikachu漏洞练习平台实验——暴力破解(一) 基于表单的暴力破解 通过burpsuite拦截可以看到账号密码明文传输 发送到intruder进行暴力破解 把需要的参数加上$ 不需要则删除即可 设置payload我的是使用自己的文件进行爆破 把username or password is not exists~复制到Grep Match中。后面可以利用Grep Match区分哪些请求里面有这个字符串 可以开始攻击了,匹配到username or password .
pikachu之xss漏洞复现
m0_54024658的博客
05-24 704
xss跨站脚本xss简介xss漏洞类型反射型存储型DOM型XSS攻击过程漏洞复现反射型XSS(get)存储型XSSDOM型XSS xss简介 XSS(跨站脚本)是一种发生在Web前端的漏洞,所以其危害的对象也主要是前端用户,XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、盗取用户cookie,甚至对主机进行远程控制。因为对程序中输入和输出的控制不够严格,导致漏洞的形成。 xss漏洞类型 反射型 交互的数据一般不会被存在数据库里面,一次性,所见即所得,一般出现在查询页面等 存储型 交互的数据会被存在数据库里面,
pikachu-暴力破解
weixin_50342860的博客
07-11 1555
pikachu-暴力破解基于表单的暴力破解暴力破解概述暴力破解测试防暴力破解的措施总结验证码绕过(on sever)验证码绕过(on sever)测试验证码绕过(on client)验证码绕过(on client)测试token防爆破token防爆破概述token防爆破测试 基于表单的暴力破解 暴力破解概述 攻击者在不知道目标系统的账号密码的情况下,通过自动化工具和一个强大的字典进行连续性尝试的登录,碰撞出一些有效的账号密码 暴力破解测试 一、打开pikachu靶场 输入用户名和密码----Login(
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8459
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
c#实现俄罗斯方块,面向对象实现
09-15
俄罗斯方块(Tetris)是一款经典的益智游戏,由俄罗斯程序员阿列克谢·帕基特诺夫于1984年开发。游戏的主要目标是通过旋转和移动不同形状的方块(称为“砖块”或“Tetrominoes”),将它们填充到屏幕底部的水平行中。当一行被完全填满时,该行会消失,玩家将获得积分。 游戏特点: 砖块形状:游戏中有七种不同形状的砖块,每种砖块由四个方块组成。 下落机制:砖块从屏幕顶部逐渐下落,玩家需要快速做出决策。 得分系统:消除的行越多,得分越高,连续消除多行会获得额外分数。 难度递增:随着游戏进行,砖块下落的速度会逐渐加快,增加了游戏的挑战性。 文化影响: 俄罗斯方块不仅在游戏界取得了巨大的成功,还成为了流行文化的一部分,影响了许多后续的游戏设计。它的简单性和上瘾性使其成为了历史上最畅销的电子游戏之一。 版本与平台: 自发布以来,俄罗斯方块已经在多个平台上推出,包括家用游戏机、电脑、手机等,形成了众多不同的版本和变种。
5G网络优化案例:关于解决诺基亚5G 700M站点小区闪断问题解决.pdf
最新发布
09-15
这份文件是关于解决诺基亚5G 700M站点小区闪断问题的详细案例报告,主要内容和关键要点如下: 问题背景与初步分析: 问题描述:随着5G 700M网络建设的推进,诺基亚700M现网出现较多误码告警和小区闪断问题,故障比例明显高于其他厂家站点。 初步定位:通过归类法分析,发现绝大部分误码问题发生在烽火单芯双向光模块小区,占比高达95.65%。 故障根因深入探究: 光模块适配问题:初步认为烽火单纤双向光模块存在问题,但更换后问题依旧,进一步分析为光模块与诺基亚设备的适配问题。 深入测试与定位:选取5个长期误码小区进行深入分析,与烽火厂家合作对光模块进行程序升级,问题得到初步解决。 AUTOBYPASS机制分析: 机制介绍:烽火光模块采用25G模块速率兼容10G,并开启AUTOBYPASS(CPR自动旁路模式)功能。 影响分析:AUTOBYPASS机制与诺基亚设备不适配,导致交互失败和误码产生。关闭AUTOBYPASS后,CDR时钟校验和恢复周期缩短,交互频繁,误码问题消失。 解决方案与实施: 解决方案:针对所有使用此类光模块的诺基亚站点,通过优化升级烽火光模块,关闭AUTOBYPASS功
在线请假管理系统.zip
09-15
这是一个基于Python Flask的Web应用程序,采用Bulma uI框架和Postgresql数据库,用于管理和处理员工的请假事宜。用户可以通过这个系统创建安全的用户账户并登录,员工可以提交请假申请等待上级审批,并查看历史请假记录。经理可以审批或拒绝员工的请假申请,并查看团队的请假记录。此外,管理员还可以查看所有员工信息,添加新员工并分配经理,编辑和删除员工信息。该项目在heroku上托管,提供在线服务。安装步骤包括克隆项目、创建虚拟环境、激活环境并安装依赖项等。还提供了数据库迁移和初始化、运行应用程序以及数据重置等实用工具命令。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.文md件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。
pikachu靶场暴力破解能得到的漏洞分析
05-30
首先需要说明的是,暴力破解是一种攻击手段,而不是一种漏洞暴力破解通过尝试大量的可能性来猜测正确的用户名和密码,进而获取系统或应用的访问权限。因此,暴力破解的成功与否主要取决于目标系统或应用本身是否...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值