PIKACHU | PIKACHU 靶场初识

最新推荐文章于 2024-09-28 06:00:00 发布
最新推荐文章于 2024-09-28 06:00:00 发布
阅读量1k 收藏 24
点赞数 22
分类专栏: 网络安全 # 网络安全靶场笔记 文章标签: 网络安全 靶场环境
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73360524/article/details/142432125
版权

关注这个靶场的其他相关笔记:PIKACHU —— 靶场笔记合集-CSDN博客

0x01:PIKACHU 靶场简介

PIKACHU 是一款开源的练习 Web 漏洞的综合靶场,使用 PHP 代码编写而成,它包含了多种常见的 Web 安全漏洞,适合不同水平的用户进行实验和学习。

PIKACHU 中包含漏洞类型如下:

  • Burt Force - 暴力破解漏洞

  • XSS - 跨站脚本漏洞

  • CSRF - 跨站请求伪造漏洞

  • SQL Injection - SQL 注入漏洞

  • RCE - 远程命令/代码执行漏洞

  • Files Inclusion - 文件包含漏洞

  • Unsafe file downloads - 不安全的文件下载

  • Unsafe file uploads - 不安全的文件上传

  • Over Permission - 越权漏洞

  • ../../../ - 目录遍历漏洞

  • I can see your ABC - 敏感信息泄露漏洞

  • PHP 反序列化漏洞

  • XXE(XML External Entity attack) - 外部实体注入漏洞

  • 不安全的 URL 重定向

  • SSRF(Server-Side Request Forgery) - 服务端请求伪造

0x02:PIKACHU 靶场安装

0x0201:Windows 操作系统安装 PIKACHU 靶场

附件资源

Windows 操作系统安装 PIKACHU 靶场,主要分为以下两步:

  1. 靶场运行环境搭建(PHP + Apache) - PhpStudy => 参考:PhpStudy 安装

  2. 导入 PIKACHU 靶场源码并修改其数据库连接配置文件。

这里主要介绍第二步,靶场的运行环境我们采用 PhpStudy 一键集成部署即可,PhpStudy 的安装方法可以参考上面提供的链接(内含:Windows 与 Linux 操作系统安装 PhpStudy 的步骤)。

1. 导入 PIKACHU 靶场源码

首先,从附件资源中下载 PIKACHU 靶场的源码包,并进行解压操作:

然后,我们要将解压后的靶场文件,放到站点根目录下。PhpStudy 中定位站点根目录的方法如下:

打开站点根目录后,直接将解压后的 PIKACHU 靶场源码拖进去即可(为了方便后续访问,建议把解压后的文件名改为 pikachu(pikachu-master => pikachu)):

下面是 pikachu 文件夹中的内容:

2. 修改 PIKACHU 数据库配置文件

源码导入成功后,我们还需要修改其数据库配置文件:

 配置文件路径:WWW\pikachu\inc\config.inc.php

如下图,我们只需要修改数据库的连接密码即可,当然如果你的数据库是自建的,那 DBUSER 字段,也就是数据库用户名字段也需要修改:

上面的 DBUSERDBPW 字段,可以参考 PhpStudy 数据库页面中内容:

3. PIKACHU 靶场数据库初始化

修改完成后,我们就需要访问 PIKACHU 靶场,完成靶场的初始化了。不过在此之前,记得开启 PhpStudy 的 Apache 和 MySQL 服务:

接下来,我们访问 PIKACHU 靶场首页。我们刚刚是把 PIKACHU 的源码放在了 localhost 站点的 pikachu 目录下,所以我们访问靶场的地址为:

 http://localhost/pikachu

可以看到,成功访问了靶场,但是报错了。解决方法很简单,我们需要访问下面的链接并初始化 PIKACHU 靶场数据库(点击 "安装/初始化" 即可):

 http://localhost/pikachu/install.php

4. 访问并使用 PIKACHU 靶场

初始化完成后,我们就可以访问并使用 PIKACHU 靶场啦,链接如下(可以看到,报错消失了):

 http://localhost/pikachu/

0x0202:Linux 操作系统安装 PIKACHU 靶场

 附件资源

Linux 操作系统安装 PIKACHU 靶场,主要分为以下两步:

  1. 靶场运行环境搭建(PHP + Apache) - PhpStudy => 参考:PhpStudy 安装

  2. 导入 PIKACHU 靶场源码并修改其数据库连接配置文件。

这里主要介绍第二步,靶场的运行环境我们采用 PhpStudy 一键集成部署即可,PhpStudy 的安装方法可以参考上面提供的链接(内含:Windows 与 Linux 操作系统安装 PhpStudy 的步骤)。

1. 导入 PIKACHU 靶场源码

首先,我们需要准备靶场的源码包,直接从附件资源中下载即可(不需要解压):

然后我们需要定位网站的根目录,并把靶场压缩包上传至站点根目录下,定位流程如下:

打开站点根目录后,点击 ”文件上传“,将 PIKACHU 的压缩包进行上传:

上传完毕后,我们需要解压 pikachu-master.zip 文件,直接在小皮面板中操作即可(这里最好创建一个 pikachu 文件夹来存放解压缩后的文件):

解压成功后的样式如下图所示,至此我们已经成功导入了靶场源码了:

2. 修改 PIKACHU 数据库配置文件

源码导入成功后,我们还需要修改其数据库配置文件,直接通过小皮面板找就可以了:

 配置文件路径:wwwroot/pikachu/inc/config.inc.php

找到后,点击 “编辑” 。我们只需要修改数据库的连接密码即可,当然如果你的数据库是自建的,那 DBUSER 字段,也就是数据库用户名字段也需要修改(修改后,别忘了点左上角保存按钮):

上面的 DBUSERDBPW 字段,可以参考 PhpStudy 数据库页面中内容:

3. PIKACHU 靶场数据库初始化

修改完成后,我们就需要访问 PIKACHU 靶场,完成靶场的初始化了。不过在此之前,记得开启 PhpStudy 的 Nginx(和 Apache 类似) 和 MySQL 服务:

接下来,我们访问 PIKACHU 靶场首页。我们刚刚是把 PIKACHU 的源码放在了 localhost 站点的 pikachu 目录下,所以我们访问靶场的地址为:

 http://localhost/pikachu

可以看到,成功访问了靶场,但是报错了。解决方法很简单,我们需要访问下面的链接并初始化 PIKACHU 靶场数据库(点击 "安装/初始化" 即可):

 http://localhost/pikachu/install.php

4. 访问并使用 PIKACHU 靶场

初始化完成后,我们就可以访问并使用 PIKACHU 靶场啦,链接如下(可以看到,报错消失了):

 http://localhost/pikachu/

SRC_BLUE_17
关注
专栏目录
文件上传漏洞——渗透day11
qq_62716256的博客
09-09 692
文件上传漏洞——渗透day11
文件包含漏洞:pikachu与DVWA靶场中的文件包含漏洞通关
qq_68163788的博客
05-27 1327
文件包含漏洞是一种常见的Web安全漏洞,攻击者可以通过包含恶意文件来执行任意代码或获取敏感信息。在DVWA靶场中,通过利用文件包含漏洞,可以获取系统文件、敏感信息或者执行恶意代码。pikachu可以通过构造恶意文件路径,利用DVWA中的文件包含漏洞来获取管理员权限或者对系统进行攻击。为了防范文件包含漏洞,开发者应该避免直接包含用户输入的文件,并且对输入进行严格的过滤和验证。通过了解和掌握文件包含漏洞的原理和利用方法,可以帮助提高Web应用程序的安全性。
PIKACHU —— 靶场笔记合集
最新发布
Blue17 の 小窝
09-28 108
网络安全 - Web 综合靶场 - PIKACHU 过关笔记合集
CSRF跨站请求伪造 之 pikachu 靶场练习
Goodric的博客
01-17 424
CSRF( Cross-site request forgery,跨站请求伪造) 上一篇中对CSRF是什么进行了基本的了解,以及它与XSS的相比较:初识CSRF 在CSRF的攻击场景中,攻击者会伪造一个请求(一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,这个攻击也就完成了。 接下来我们通过pikachu 靶场里的 CSRF 测试项对 CSRF 的几个类型进行测试。 CSRF(get) 首先打开时一个登录界面。 点击提示可以看到可以登录这些用户。 然后就可以看到登录之后的界面了 当
Pikachu(皮卡丘靶场初识XSS(常见标签事件及payload总结)
Welcome To Myon'Blog !
11-14 1942
XSS又叫跨站脚本攻击,是HTML代码注入,通过对网页注入浏览器可执行代码,从而实现攻击。​。domxss 的函数从具有 id 为 "text" 的元素中获取输入值,然后将其作为链接的 href 属性值插入到具有 id 为 "dom" 的元素的 innerHTML 中。尝试它给的payload:'>通过在链接的 href 属性中闭合单引号,然后插入一个图片元素,该元素的 onmouseover 事件触发一个弹窗,显
逻辑漏洞:初识水平越权与垂直越权
qq_68163788的博客
05-01 1837
漏洞产生的原理:逻辑越权漏洞就是不同用户之间操作权限的请求数据包没有做验证或验证不完整,导致用户A修改了身份验证的标志后,就有了同权限或高权限的操作权限。通常用户访问一个应用的大致流程是:登陆—验证权限—数据库查询—数据返回,如果”验证权限”这个阶段出现验证权限不足或没有验证,那么就会导致越权,用户A可以操作其他用户的内容。逻辑越权分为两类:水平越权和垂直越权水平越权-同级用户权限共享:用户信息获取时未对用户与ID比较判断直接查询等。
使用setoolkit制作钓鱼网站并结合dvwa靶场储存型XSS漏洞利用
Welcome To Myon'Blog !
12-31 1310
2) Penetration Testing (Fast-Track) 2) 渗透测试(快速通道)(注意观察url,此时已经跳回到了正确靶场登录界面的URL,也就是说下次用户即可正常登录)此时需要设置一个属于是监听的ip,即我们kali的ip地址(也就是它括号里推荐的ip)如果用户不知情,没有注意URL的差异,而是单纯看页面样子一样,就直接进行登录。此时如果我们访问kali的ip地址,出来的便是dvwa靶场的登录页面。此时用户以为自己输错了密码,于是重新登录,即可登录成功。
【web安全】——XXE漏洞快速入门
热门推荐
Demo不是emo的博客
11-27 1万+
XXE漏洞很难不想学?带你快速入门!
网安学习-逻辑越权漏洞
weixin_44770698的博客
06-01 570
逻辑错误漏洞 逻辑错误漏洞是指由于程序逻辑不严谨或者是逻辑太复杂,从而导致一些逻辑分支不能正常的处理或者处理错误,通俗的讲就是,一个系统的功能太多后,程序开发人员无法全面的考虑,对某些地方可能存在遗漏,或者是未能正常的处理,从而导致了逻辑漏洞。 逻辑漏洞是非常隐蔽的,不像sql注入、xss跨站脚本、命令执行漏洞有鲜明的标志,而逻辑漏洞一般出现在功能上,漏扫工具是很难发现的。 挖掘逻辑漏洞 逻辑漏洞只出现在功能上(业务流程中),也就是说,网站的任何部分都是有可能出现逻辑漏洞的。比如:修...
pikachu靶场全部通关.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
pikachu靶场全通关教程
07-20
这个是刚开始学网络安全渗透的靶场练习心得,分享给大家
web渗透教程1:pikachu靶场搭建
11-17
带你手把手搭建pikachu靶场环境
pikachu靶场网盘下载
04-01
pikachu是一个漏洞练习平台。其中包含了常见的web安全漏洞,如果你是一个渗透测试学习者没有靶场练手,那么pikachu将是一个不错的选择。
pikachu(皮卡丘)靶场源码
01-24
通过解压并运行pikachu.zip,你可以搭建一个本地靶场环境,进行各种实验,测试漏洞利用方法,同时学习如何修复这些漏洞,增强Web应用的安全性。 在学习过程中,建议结合相关教程、文档和最佳实践,逐步加深对每个...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8472
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于Vue、JavaScript、HTML、CSS的myshop电商平台设计源码
09-27
该项目是一款基于Vue、JavaScript、HTML和CSS构建的myshop电商平台设计源码,总计包含94个文件,涵盖32个PNG图片、22个JavaScript文件、13个Vue组件文件、13个JPG图片文件、3个GIF图片文件、3个SCSS样式文件,以及其他必要的配置和管理文件。
基于c语言的对自己电脑系统测试.zip
09-27
基于c语言的对自己电脑系统测试.zip
基于Labview的-转子动平衡测控系统
09-27
基于Labview的--转子动平衡测控系统
pikachu-master靶场搭建
09-08
您可以通过在GitHub上找到Pikachu的下载地址:GitHub - zhuifengshaonianhanlu/pikachuPikachu是一个带有漏洞的Web应用系统,它包含了常见的web安全漏洞。如果您是一个Web渗透测试学习人员,并且需要一个合适的靶场进行实践,那么Pikachu可能非常适合您。在虚拟机上搭建Pikachu靶场非常简单,只需在虚拟机上访问127.0.0.1/pikachu-master,而在本机上访问则需要输入虚拟机的IP地址加上/pikachu-master。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Pikachu(皮卡丘)靶场搭建](https://blog.csdn.net/m0_64005272/article/details/128449064)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SRC_BLUE_17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值