关注这个靶场的其他相关笔记:PIKACHU —— 靶场笔记合集-CSDN博客
0x01:PIKACHU 靶场简介
PIKACHU 是一款开源的练习 Web 漏洞的综合靶场,使用 PHP 代码编写而成,它包含了多种常见的 Web 安全漏洞,适合不同水平的用户进行实验和学习。
PIKACHU 中包含漏洞类型如下:
-
Burt Force - 暴力破解漏洞
-
XSS - 跨站脚本漏洞
-
CSRF - 跨站请求伪造漏洞
-
SQL Injection - SQL 注入漏洞
-
RCE - 远程命令/代码执行漏洞
-
Files Inclusion - 文件包含漏洞
-
Unsafe file downloads - 不安全的文件下载
-
Unsafe file uploads - 不安全的文件上传
-
Over Permission - 越权漏洞
-
../../../ - 目录遍历漏洞
-
I can see your ABC - 敏感信息泄露漏洞
-
PHP 反序列化漏洞
-
XXE(XML External Entity attack) - 外部实体注入漏洞
-
不安全的 URL 重定向
-
SSRF(Server-Side Request Forgery) - 服务端请求伪造
0x02:PIKACHU 靶场安装
0x0201:Windows 操作系统安装 PIKACHU 靶场
附件资源
靶场运行环境
PhpStudy - CSDN 配套资源:phpstudy_x64_8.1.1.3.zip
PhpStudy - 官网地址:小皮面板-好用、安全、稳定的Linux服务器面板!
靶场资源包
PIKACHU 源码包 - CSDN 配套资源:pikachu-master.zip
PIKACHU 源码包 - 官网地址:pikachu: 一个好玩的Web安全-漏洞测试平台 (github.com)
Windows 操作系统安装 PIKACHU 靶场,主要分为以下两步:
靶场运行环境搭建(PHP + Apache) - PhpStudy => 参考:PhpStudy 安装
导入 PIKACHU 靶场源码并修改其数据库连接配置文件。
这里主要介绍第二步,靶场的运行环境我们采用 PhpStudy 一键集成部署即可,PhpStudy 的安装方法可以参考上面提供的链接(内含:Windows 与 Linux 操作系统安装 PhpStudy 的步骤)。
1. 导入 PIKACHU 靶场源码
首先,从附件资源中下载 PIKACHU 靶场的源码包,并进行解压操作:
然后,我们要将解压后的靶场文件,放到站点根目录下。PhpStudy 中定位站点根目录的方法如下:
打开站点根目录后,直接将解压后的 PIKACHU 靶场源码拖进去即可(为了方便后续访问,建议把解压后的文件名改为 pikachu(pikachu-master => pikachu)):
下面是 pikachu 文件夹中的内容:
2. 修改 PIKACHU 数据库配置文件
源码导入成功后,我们还需要修改其数据库配置文件:
配置文件路径:WWW\pikachu\inc\config.inc.php
如下图,我们只需要修改数据库的连接密码即可,当然如果你的数据库是自建的,那 DBUSER
字段,也就是数据库用户名字段也需要修改:
上面的 DBUSER
和 DBPW
字段,可以参考 PhpStudy 数据库页面中内容:
3. PIKACHU 靶场数据库初始化
修改完成后,我们就需要访问 PIKACHU 靶场,完成靶场的初始化了。不过在此之前,记得开启 PhpStudy 的 Apache 和 MySQL 服务:
接下来,我们访问 PIKACHU 靶场首页。我们刚刚是把 PIKACHU 的源码放在了 localhost
站点的 pikachu
目录下,所以我们访问靶场的地址为:
http://localhost/pikachu
可以看到,成功访问了靶场,但是报错了。解决方法很简单,我们需要访问下面的链接并初始化 PIKACHU 靶场数据库(点击 "安装/初始化" 即可):
http://localhost/pikachu/install.php
4. 访问并使用 PIKACHU 靶场
初始化完成后,我们就可以访问并使用 PIKACHU 靶场啦,链接如下(可以看到,报错消失了):
http://localhost/pikachu/
0x0202:Linux 操作系统安装 PIKACHU 靶场
附件资源
靶场运行环境
PhpStudy - 官网地址:小皮面板-好用、安全、稳定的Linux服务器面板!
靶场资源包
PIKACHU 源码包 - CSDN 配套资源:pikachu-master.zip
PIKACHU 源码包 - 官网地址:pikachu: 一个好玩的Web安全-漏洞测试平台 (github.com)
Linux 操作系统安装 PIKACHU 靶场,主要分为以下两步:
靶场运行环境搭建(PHP + Apache) - PhpStudy => 参考:PhpStudy 安装
导入 PIKACHU 靶场源码并修改其数据库连接配置文件。
这里主要介绍第二步,靶场的运行环境我们采用 PhpStudy 一键集成部署即可,PhpStudy 的安装方法可以参考上面提供的链接(内含:Windows 与 Linux 操作系统安装 PhpStudy 的步骤)。
1. 导入 PIKACHU 靶场源码
首先,我们需要准备靶场的源码包,直接从附件资源中下载即可(不需要解压):
然后我们需要定位网站的根目录,并把靶场压缩包上传至站点根目录下,定位流程如下:
打开站点根目录后,点击 ”文件上传“,将 PIKACHU 的压缩包进行上传:
上传完毕后,我们需要解压 pikachu-master.zip
文件,直接在小皮面板中操作即可(这里最好创建一个 pikachu
文件夹来存放解压缩后的文件):
解压成功后的样式如下图所示,至此我们已经成功导入了靶场源码了:
2. 修改 PIKACHU 数据库配置文件
源码导入成功后,我们还需要修改其数据库配置文件,直接通过小皮面板找就可以了:
配置文件路径:wwwroot/pikachu/inc/config.inc.php
找到后,点击 “编辑” 。我们只需要修改数据库的连接密码即可,当然如果你的数据库是自建的,那 DBUSER
字段,也就是数据库用户名字段也需要修改(修改后,别忘了点左上角保存按钮):
上面的 DBUSER
和 DBPW
字段,可以参考 PhpStudy 数据库页面中内容:
3. PIKACHU 靶场数据库初始化
修改完成后,我们就需要访问 PIKACHU 靶场,完成靶场的初始化了。不过在此之前,记得开启 PhpStudy 的 Nginx(和 Apache 类似) 和 MySQL 服务:
接下来,我们访问 PIKACHU 靶场首页。我们刚刚是把 PIKACHU 的源码放在了 localhost
站点的 pikachu
目录下,所以我们访问靶场的地址为:
http://localhost/pikachu
可以看到,成功访问了靶场,但是报错了。解决方法很简单,我们需要访问下面的链接并初始化 PIKACHU 靶场数据库(点击 "安装/初始化" 即可):
http://localhost/pikachu/install.php
4. 访问并使用 PIKACHU 靶场
初始化完成后,我们就可以访问并使用 PIKACHU 靶场啦,链接如下(可以看到,报错消失了):
http://localhost/pikachu/