𝖄𝕺🌎𝕿𝕽𝕺¥

前言：學習了一些理論和技能怎麼能少了實踐呢？自己搭建一個漏洞練習平台吧

============================================================

使用的Pikachu 漏洞靶場系統，官網我找不到了。。。
Pikachu 是一個帶有漏洞的 Web 應用系統，在這裡包含了常見的 web 安全漏洞。如果你是一個 Web 滲透測試學習者且正在煩惱沒有合適的靶場進行練習，那麼 Pikachu 可能正合你意。

Pikachu 上的漏洞類型列表如下：

    Burt Force(暴力破解漏洞)
    XSS(跨站腳本漏洞)
    CSRF(跨站請求偽造)
    SQL-Inject(SQL注入漏洞)
    RCE(遠程命令/代碼執行)
    Files Inclusion(文件包含漏洞)
    Unsafe file downloads(不安全的文件下載)
    Unsafe file uploads(不安全的文件上傳)
    Over Permisson(越權漏洞)
    ../../../(目錄遍歷)
    I can see your ABC(敏感信息洩露)
    PHP反序列化漏洞
    XXE(XML External Entity attack)
    不安全的URL重定向
    SSRF(Server-Side Request Forgery)
    More...(找找看?..有彩蛋!)
    管理工具裡面提供了一個簡易的xss管理後台，供你測試釣魚和撈cookie~
    後續會持續更新一些新的漏洞進來，也歡迎你提交漏洞案例給我，最新版本請關注pikachu

作者 GitHub 鏈接：https://github.com/zhuifengshaonianhanlu
每類漏洞根據不同的情況又分別設計了不同的子類

安裝#

數據庫使用的是mysql，因此運行 Pikachu 你需要提前安裝好 "PHP+MYSQL + 中間件（如 apache,nginx 等）" 的基礎環境，建議在你的測試環境直接使用一些集成軟件來搭建這些基礎環境，比如XAMPP,WAMP等。
--> 把下載下來的 pikachu 文件夾放到 web 伺服器根目錄下；
--> 根據實際情況修改inc/config.inc.php裡面的數據庫連接配置；
--> 訪問 **http://x.x.x.x/pikachu**，會有一個紅色的熱情提示 "歡迎使用，pikachu 還沒有初始化，點擊進行初始化安裝！"，點擊即可完成安裝。

自己在家搭建也不難，你需要一個樹莓派或者其他硬件小要求，實在不行虛擬機也可以。