pikachu靶场学习

Posted 2021-08-24 Jach1n

pikachu靶场

环境

虚拟机192.168.48.130
docker+centos8

安装

这里把启动指令写成脚本文件了，方便启动
启动完成后，访问http://your-ip:port，点击初始化安装后按照提示操作即可
```html/xml
docker search pikachu
docker pull area39/pikachu
docker images
vi pikachu.sh
docker run -dt --name pikachu -p 80:80 --rm area39/pikachu
chmod +x pikachu.sh
./pikachu
docker ps

docker进入镜像
docker ps 查看containerid
docker exec -it containerid /bin/bash
mysql -u root -p 数据库密码为空密码

# 不安全的文件下载

先打开控制台，然后随意点一个图片提示下载，抓包
修改filename参数后重发，弹出下载文件的窗口
```shell
filename=../../../../etc/passwd

不安全的文件上传

client check

对上传的文件有格式限制
可以选择上传图片马，也可以修改onchang的参数为空然后上传.php文件

<?php @eval($_POST[\'cmd\']);?>

MIME Type

先上传.php文件，抓包修改请求中conten-type的值为image/jpeg，发送即可
docker环境下验证是否上传成功的话需要进到pikachu容器中，进入容器的方法文章开头又说

getimagesize

这里只能上传图片马
进入到容器后访问页面上显示的路径

Over Permission

水平越权

以下显示的电话均为靶场自带
根据提示中的账号密码登录
抓包将username改成lili，就可以直接查看lili的信息了

垂直越权

先看下提示，admin为超级用户，pikachu应该是普通用户
先登录pikachu，提示只有查看的权限，登录admin有增删用户功能

使用admin进入创建用户界面，将该界面的url复制下来
登录普通用户后将该url复制到搜索框，回车后出现创建用户界面
创建用户提交后跳转到登录界面

然后登录admin账号查看，创建成功

目录遍历

删除.../dir/后的文件url

在url后加上../ 可以访问到其他目录

敏感信息泄露

IcanseeyourABC

直接右键检查，发现账号密码