前言:学习了一些理论和技能怎么能少了实践呢?自己搭建一个漏洞联系平台吧

============================================================

使用的Pikachu漏洞靶场系统,官网我找不到了。。。
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。 如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。

Pikachu上的漏洞类型列表如下:

    Burt Force(暴力破解漏洞)
    XSS(跨站脚本漏洞)
    CSRF(跨站请求伪造)
    SQL-Inject(SQL注入漏洞)
    RCE(远程命令/代码执行)
    Files Inclusion(文件包含漏洞)
    Unsafe file downloads(不安全的文件下载)
    Unsafe file uploads(不安全的文件上传)
    Over Permisson(越权漏洞)
    ../../../(目录遍历)
    I can see your ABC(敏感信息泄露)
    PHP反序列化漏洞
    XXE(XML External Entity attack)
    不安全的URL重定向
    SSRF(Server-Side Request Forgery)
    More...(找找看?..有彩蛋!)
    管理工具里面提供了一个简易的xss管理后台,供你测试钓鱼和捞cookie~
    后续会持续更新一些新的漏洞进来,也欢迎你提交漏洞案例给我,最新版本请关注pikachu

作者GitHub链接:https://github.com/zhuifengshaonianhanlu
每类漏洞根据不同的情况又分别设计了不同的子类

安装

数据库使用的是mysql,因此运行Pikachu你需要提前安装好"PHP+MYSQL+中间件(如apache,nginx等)"的基础环境,建议在你的测试环境直接使用 一些集成软件来搭建这些基础环境,比如XAMPP,WAMP等。
-->把下载下来的pikachu文件夹放到web服务器根目录下;
-->根据实际情况修改inc/config.inc.php里面的数据库连接配置;
-->访问http://x.x.x.x/pikachu,会有一个红色的热情提示"欢迎使用,pikachu还没有初始化,点击进行初始化安装!",点击即可完成安装。

自己在家搭建也不难,你需要一个树莓派或者其他硬件小要求,实在不行虚拟机也可以。

Q.E.D.


那些看似不起波澜的日复一日 在某天会让你看到坚持的意义