0x00 介绍
皮卡丘上的进攻类型列表如下:
- 突击部队
- XSS(跨站脚本进攻)
- CSRF(跨站请求伪造)
- SQL注入(SQL注入防御)
- RCE(远程命令/代码执行)
- 文件包含(文件包含防御)
- 不安全的文件下载(不安全的文件下载)
- 不安全的文件上传
- 越权突破
- ../../../(目录遍历)
- 我可以看到您的ABC
- PHP反序列化防御
- XXE(XML外部实体攻击)
- 不安全的URL重定向
- SSRF(服务器端请求伪造)
- 管理工具
- 更多...(找找看?..有彩蛋!)
管理工具里面提供了一个简单的xss管理后台,供您测试钓鱼和捞饼干,还可以搞键盘记录!〜
![一个好玩的Web安全-突破测试平台——pikachu[皮卡丘]靶场的介绍与搭建](http://cn-sec.com/wp-content/uploads/2022/11/20221111070114-49.png)
每类漏洞根据不同的情况又分别设计了不同的子类
同时,为了让这些突破变的有意思的一些,在Pikachu平台上为每个突破都设计了一些小的场景,点击突破页面右上角的“提示“可以查看到帮助信息。
![一个好玩的Web安全-突破测试平台——pikachu[皮卡丘]靶场的介绍与搭建](http://cn-sec.com/wp-content/uploads/2022/11/20221111070114-85.png)
0x01 搭建过程
皮卡丘(pikachu)下载:https://github.com/zhuifengshaonianhanlu/pikachu
我用的环境是phpstudy+php5.69+mysql5.7.26
搭建过程其实也很简单,就是修改两个文件就够了
![一个好玩的Web安全-突破测试平台——pikachu[皮卡丘]靶场的介绍与搭建](http://cn-sec.com/wp-content/uploads/2022/11/20221111070115-69.png)
要修改的就是里面两个文件
![一个好玩的Web安全-突破测试平台——pikachu[皮卡丘]靶场的介绍与搭建](http://cn-sec.com/wp-content/uploads/2022/11/20221111070115-39.png)
![一个好玩的Web安全-突破测试平台——pikachu[皮卡丘]靶场的介绍与搭建](http://cn-sec.com/wp-content/uploads/2022/11/20221111070115-58.png)
具体密码得参考你作出得修改,默认是:root root
两个文件都修改完后就访问地址:http://127.0.0.1/pikachu/
按提示操作就可以了
FROM:无垠の安全
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论