Pikachu靶机环境搭建、渗透演练

最新推荐文章于 2024-07-23 16:52:49 发布
最新推荐文章于 2024-07-23 16:52:49 发布
阅读量886 收藏 2
点赞数
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xianjie0318/article/details/114367899
版权

pikachu源码下载地址:http://github.com/zhuifengshaonianhanli/pikachu

环境搭建:

xampp安装,把pikachu-master放入htdocs目录下

pikachu靶机环境搭建完成

web扫描工具:appscan

问题1:PHP 远程文件包

举例:本地文件包含漏洞  ,通过手动编辑filename路径,获取系统服务内隐藏或不外现的系统文件

问题2:SQL注入

举例:字符型注入get

问题三:存储型Xss 跨站脚本

注入一个<script>的标签写一个警告框进去,,存储型XSS已经被存储进后台相应的代码当中了,把代码出现错乱,显示程序文件中代码

 

问题四:目录浏览

不安全的文件下载概述

文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。 如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞。
此时如果 攻击者提交的不是一个程序预期的的文件名,而是一个精心构造的路径(比如../../../etc/passwd),则很有可能会直接将该指定的文件下载下来。 从而导致后台敏感信息(密码文件、源代码等)被下载。

所以,在设计文件下载功能时,如果下载的目标文件是由前端传进来的,则一定要对传进来的文件进行安全考虑。 切记:所有与前端交互的数据都是不安全的,不能掉以轻心!

你可以通过“Unsafe file download”对应的测试栏目,来进一步的了解该漏洞。

可以成功下载服务器内的文件

 

 

xianjie0318
关注
专栏目录
pikachu靶场搭建
hibugs
03-14 335
学习漏洞如果只是单纯的看知识点和笔记,那么学会的概率并不大。这时候靶场就很好的提现了他的作用。本文将讲述pikachu靶场的搭建。该靶场集合了许多的漏洞,方便学习。
1.pikachu靶机搭建
weixin_44373258的博客
03-30 582
pikachu靶机搭建 1.首先下载php集成环境 2.然后开启php服务 3.然后github下载pikachu靶场 4.然后修改pikachu配置文件 5.然后初始化,然后开启靶场。
pikachu靶场搭建(保姆级,手把手教学)
记录学习
05-09 2217
phpstudy安装+pikachu配置
【网络安全零基础入门必看】渗透测试之pikachu&DVWA靶场搭建教程,零基础入门到精通,收藏这一篇就够了
最新发布
2301_77472496的博客
07-23 1410
对于web安全刚入门的小伙伴来说,漏洞靶场搭建是很重要的,可以通过靶场学以致用,对所学知识点进行巩固练习,下面和我一起搭建5个比较常用的初学者入门靶场。
靶场搭建——搭建pikachu靶场
钟言的博客
07-02 7110
本篇为pikachu靶场搭建,使用虚拟机搭建pikachu靶场,使用win2012搭建靶场,这里包含了搭建一个pikachu靶场的具体步骤以及在主机上以及虚拟机不同场景的搭建过程,以及不同常见搭建过程中所碰见的问题,这里有Warning: mysqli_connect(): (HY000/1049): Unknown database 'pikachu' in D:\phpstudy_pro\WWW\pikachu\index.php on line 14解决,以及如何连接虚拟机win2012。
Pikachu(皮卡丘)靶场搭建
m0_64005272的博客
12-26 5027
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。
搭建一个pikachu靶场
weixin_46676939的博客
11-04 5340
简简单单搭建一个pikachu靶场
web渗透教程1:pikachu靶场搭建
11-17
带你手把手搭建pikachu靶场环境
使用docker快速搭建渗透测试靶机环境
limb0的博客
04-27 2801
使用docker快速搭建渗透测试靶机环境 安装docker Docker 支持以下的 64 位 CentOS 版本: CentOS 7 CentOS 8 更高版本… 这里我使用的是CentOS-7-x86_64-Everything-1804.iso的镜像。 卸载旧版本 较旧的Docker版本称为docker或docker-engine。如果已安装这些程序,请卸载它们以及相关的依赖项。 $ su...
渗透测试环境搭建PHPstudy+Pikachu
came_861的博客
12-20 293
渗透测试环境搭建PHPstudy+Pikachu
网络安全pikachu的zip靶机
10-31
1. **环境搭建**:首先,需要在本地或虚拟环境中安装靶机,熟悉其运行方式。 2. **漏洞复现**:通过查找和模拟靶机中的漏洞,理解漏洞产生的原理,学习如何利用和修复。 3. **实战演练**:逐步解决靶机提供的挑战...
Pikachu 靶场搭建
theRavensea
03-13 939
Pikachu是一个使用“PHP + MySQL” 开发、包含常见的Web安全漏洞、适合Web渗透测试学习人员练习的靶场,运行Pikachu需要提前安装好“PHP + MySQL + 中间件” 的基础环境,可以使用集成软件来搭建,比如PHPStudy、XAMPP、WAMP等。
Pikachu靶场搭建
qq_36813090的博客
06-15 958
Pikachu靶场环境搭建
搭建皮卡丘靶场
weixin_47144675的博客
06-03 5897
第一步:先下载XAMPP 应用程序,在官方网站上下载即可。下图即为下载完成后的界面。当apache和MySQL同时为绿方可运行。 在XAMPP端口会被占用的解决方法: 1.找到xampp的安装目录按以下顺序依次打开:appche->config 找到httpd.conf使用笔记本打开,使用快捷键ctrl+f找到80值改为82(或其他没被使用的端口号),保存。找到httpd-ssf.conf使用笔记本打开,使用快捷键ctrl+f找到443值改为4430(或其他没被使用的端口号). 修改完毕后,保存关闭,
Pikachu 靶场环境搭建
人生苦短,何妨一试
02-20 549
github地址: https://github.com/zhuifengshaonianhanlu/pikachu 进入Pikachu主页: http://127.0.0.1/pikachu-master/ 但是还需要配置mysql数据库进行初始化 Pikachu 初始化 http://127.0.0.1/pikachu-master/install.php ...
pikachu 靶场搭建(完整版)
热门推荐
weixin_51446936的博客
06-10 5万+
一 环境准备 1 搭建环境 Windows10phpstudypikachu 2 下载链接 Pikachu靶机下载地址: https://github.com/zhuifengshaonianhanlu/pikachu phpstudy集成开发环境: https://www.xp.cn/ 二 安装教程 1 phpstudy 配置 下载完成后跟其它软件一样正常安装即可,如下 安装完成,双击启动如下 启动服务。启动服务过程中,如遇弹窗请求权限务必允许 浏览.
Web安全 Pikachu(皮卡丘)靶场搭建.
网络安全领域___专研者.
03-04 1万+
Pikachu(皮卡丘)是一个自带Web漏洞的应用系统,在这里包含了常见的web安全漏洞。如果你是一个想学习Web渗透测试人员,并且没有找到合适靶场,则可以使用这个Pikachu(皮卡丘)进行练习。(靶场包含:1.暴力破解,2.XSS,3.CSRF,4.SQL注入5.RCE,6.文件包含,7.不安全的文件下载,8.不安全的文件上传,9.越权,10.目录遍历,11.敏感信息泄露,12.PHP反序列化,13.XXE ,14.URL重定向,15.SSRF)
使用PHPstudy搭建Pikachu靶场
北冥同学的成长记录笔记
04-29 2104
Pikachu是一个带有漏洞的Web应用系统,其基于PHP环境搭建的,需要数据库支持,因此初学者在搭建pikachu靶场时必然需要知道如何部署Web环境。文章对于使用PHPstudy集成环境搭建pikachu靶场具有很详细的步骤指导,为初学者在学习的路上扫清了又一个障碍。
pikachu靶场环境搭建
10-09
要搭建Pikachu靶场环境,可以按照以下步骤进行: 1. 下载Pikachu靶场源代码。 2. 安装LAMP或LNMP等Web服务器环境。 3. 配置数据库,并创建相关数据库和表。 4. 将Pikachu靶场源代码放置在Web服务器的根目录下。 5. 配置Pikachu靶场的相关参数,包括数据库连接信息、管理员账号密码等。 6. 启动Web服务器,访问Pikachu靶场网站,检查是否能够正常访问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xianjie0318

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值