Web安全 Pikachu(皮卡丘)靶场搭建.

Posted 半个西瓜.

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Web安全 Pikachu(皮卡丘)靶场搭建.相关的知识,希望对你有一定的参考价值。

Pikachu(皮卡丘)靶场的概括

Pikachu(皮卡丘)是一个自带Web漏洞的应用系统,在这里包含了常见的web安全漏洞。如果你是一个想学习Web渗透测试人员,并且没有找到合适靶场,则可以使用这个Pikachu(皮卡丘)进行练习。(靶场包含:(1)暴力破解,(2)XSS,(3)CSRF,(4)SQL注入,(5)RCE,(6)文件包含,(7)不安全的文件下载,(8)不安全的文件上传,(9)越权,(10)目录遍历,(11)敏感信息泄露,(12)php反序列化,(13)XXE ,(14)URL重定向,15.SSRF

目录:

靶场安装步骤:

第一步:安装 phpStudy.

第二步:(1)修改 phpStudy 端口的常用设置.

(2)把 80端口 改为 801 端口.

第三步:(1)打开 网站根目录.

(2)把 Pikachu(皮卡丘)解压放到网站根目录下.

第四步:(1)打开 Pikachu 找到 inc,将其打开.

(2)然后用记事本打开 config.inc.php 文件.

第五步:(1)打开浏览器输入 http://127.0.0.1:801/pikachu(127.0.0.1是本地的IP地址,801是端口,pikachu是目录),然后点击提示,进行初始化.

(2)点击 安装/初始化.

(3)点击进入首页.

(4)用别的主机进行访问,可以看到已经可以正常使用了(说明:安装成功.)


工具下载:

Pikachu(皮卡丘)靶场 链接:https://pan.baidu.com/s/1BwcMAVBCcLLXOmX7mIYemA 
                                        提取码:tian 

phpStudy 链接:https://pan.baidu.com/s/1825JH7Z6lVCFp7DHlQWdSg

                  提取码:tian


靶场安装步骤:

🌲第一步:安装 phpStudy.


第二步:(1)修改 phpStudy 端口的常用设置.


(2)把 80端口 改为 801 端口.


 第三步:(1)打开 网站根目录.


(2)把 Pikachu(皮卡丘)解压放到网站根目录下.


第四步:(1)打开 Pikachu 找到 inc,将其打开.


(2)然后用记事本打开 config.inc.php 文件.


第五步:(1)打开浏览器输入 http://127.0.0.1:801/pikachu127.0.0.1是本地的IP地址,801是端口,pikachu是目录),然后点击提示,进行初始化.


(2)点击 安装/初始化.


(3)点击进入首页.


(4)用别的主机进行访问,可以看到已经可以正常使用了(说明:安装成功.

    


搭建一个pikachu靶场

今天我们来学习搭建一个pikachu的web靶场

首先我们来下载源代码

开源源代码链接:https://github.com/zhuifengshaonianhanlu/pikachu

 然后我们来搭建靶场

我这里使用小皮面板进行快速搭建,它是一个较为快捷的部署工具。

小皮面板官网:小皮面板(phpstudy) - 让天下没有难配的服务器环境!(xp.cn)

安装方法官网都有,傻瓜式安装非常方便。

我部署在Windows 10系统上。

开启小皮的WAMP环境如下图所示。

接下来将apache配置的网站目录和网站的根目录修改为我们刚刚解压的目录

修改apache配置的网站目录:

 修改网站的根目录:

 完成尝试访问127.0.0.1

欢迎少年~

以为这样就结束了吗?

当然没有!小伙伴们已经注意到了有一行红色的字体了吧,我们来点一下

是不是反应过来了,搭建好了自然需要来安装靶场

 再点一下,怎么回事

不着急,我们先看一看第0步

关于第0步,这里引用一下pikachu官方的话:

Pikachu使用世界上最好的语言PHP进行开发-_-
数据库使用的是mysql,因此运行Pikachu你需要提前安装好"PHP+MYSQL+中间件(如apache,nginx等)"的基础环境,建议在你的测试环境直接使用 一些集成软件来搭建这些基础环境,比如XAMPP,WAMP等,作为一个搞安全的人,这些东西对你来说应该不是什么难事。

Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。

我们使用的是phpstudy,一开始我们就已经部署好了的。

第1步:

接下来:

我们把下载下来的pikachu文件夹放到web服务器根目录WWW目录下。

根据实际情况修改inc/config.inc.php里面的数据库连接配置;如下

将inc/config.inc.php里的数据库设置成自己的数据库的用户名和密码保存。

然后我们回到我们的皮卡丘,再点一下安装/初始化

 然后出现如下信息,就表示我们安装成功了

 安装完成!是不是很简单,接下来就是我们可以开搞了~

关注持续更新pikachu靶场通过教程!!!同步更新公众号:白了又白。

以上是关于Web安全 Pikachu(皮卡丘)靶场搭建.的主要内容,如果未能解决你的问题,请参考以下文章

皮卡丘中的PHP反序列化

皮卡丘中的PHP反序列化

web安全pikachu靶场之SQL注入

kali搭建pikachu环境全过程

pikachu靶场-Unsafe Filedownload/Fileupload不安全文件的下载和上传漏洞

xampp集成环境搭建pikachu靶场新手教程