pikachu靶场搭建
- pikachu下载:https://github.com/zhuifengshaonianhanlu/pikachu
环境准备
- Windows虚拟机:Windows_sever 2016;
- 中间件平台:phpstudy_2016
搭建过程
pikachu项目下载
pikachu安装
- 只需要把下载的压缩包解压,并且把文件夹移动到phpstudy_2016的WWW文件夹下即可
pikachu配置修改
- 这里只需要修改一下与数据库连接的账号密码即可
- 修改文件路径在
C:\phpstudy_2016\WWW\pikachu-master\inc
- 根据下图位置写数据库密码,并且保存
- 开启phpstudy,访问
127.0.0.1/pikachu-master/
- 发现报错,应该是没有发现数据库,我们重建一个同名数据库就ok
create database pikachu default character set utf8;
重新初始化靶场
- 访问路径
http://127.0.0.1/pikachu-master/install.php
,点击初始化
- 成功搭建
暴力破解漏洞
- 使用pikachu暴力破解漏洞的基于表单的暴力破解为例
使用工具
- 工具使用bp
- 浏览器使用bp内置chrome浏览器
页面访问
http://10.9.47.73/pikachu-master/vul/burteforce/bf_form.php
- 这里直接准备好字典,使用bp爆破即可
使用bp暴力破解
-
随便往表单里面输入值
-
提示账号密码错误,不用管,在bp的数据包历史里面找到刚才的数据包
-
右键发送到Intruder模块
-
选择集束炸弹模式,设置有效载荷
-
在payloads中载入字典
-
开始攻击
-
爆破出了三个账号密码