pikachu靶场学习

Posted 2021-08-24 Jach1n

pikachu靶场

环境

虚拟机192.168.48.130
docker+centos8

安装

这里把启动指令写成脚本文件了，方便启动
启动完成后，访问http://your-ip:port，点击初始化安装后按照提示操作即可

docker search pikachu
docker pull area39/pikachu
docker images
vi pikachu.sh
    docker run -dt --name pikachu -p 80:80 --rm area39/pikachu
chmod +x pikachu.sh
./pikachu
docker ps
-----------------------------------------------------------------
docker进入镜像
docker ps  查看containerid
docker exec -it containerid /bin/bash
mysql -u root -p  数据库密码为空密码

RCE远程代码执行

exec "ping"

不知道为啥这里输入ip地址后页面没显示
试了下直接输命令可以显示出来
输入任意命令即可

exec "evel"

输入phpinfo();
可以查看到相关信息

File Inclusion

本地文件包含

提交的filename值没有安全限制，可以通过修改文件路径来执行代码

../../../../../etc/passwd

远程文件包含

提示开启php.ini中的allow_url_include
如果是docker安装的话，需要先进入到容器里，具体方法看开头的安装章节
进入容器后，找到php.ini，不知道的可以find一下
修改allow_url_include后需要重启中间件
这里不要重启容器，重启后参数就白改了
命令如下

docker  进入镜像
docker ps  查看container id
docker exec -it container id /bin/bash

cd /etc/php/7.3/apache2/php.ini
vi php.ini
    allow_url_include=on
service  apache2 restart
service apache2 status

演示这个还需要一台主机，为了方便我们就直接用现在这个了
测试的一句话文件自带环境里有，路径如下

/var/www/html/test/yijuhua.txt
vim yijuhua.txt

通过浏览器打开，复制下链接

然后在filename处插入一句话文件的url
提交请求后，可以在 ./app/vul/fileinclude 目录下找到该文件
这个路径就是filename参数前面的路径