pikachu

"Wenn Sie eine Sicherheitsanfälligkeit verstehen möchten, können Sie diese Sicherheitsanfälligkeit selbst (geschrieben in Code) erstellen, dann nutzen Sie sie und beheben sie schließlich."

Pikachu ist ein gefährdetes Webanwendungssystem, das hier gemeinsame Sicherheitslücken für Websicherheit enthält. Wenn Sie ein Web -Penetrationstest -Lernender sind und sich Sorgen machen, dass Sie keine geeignete Schießstand zum Üben haben, ist Pikachu möglicherweise genau richtig.

• Burt Force (Brute Force Cracking Schwachstellen)
  
• XSS (Cross-Site Scripting Schwachstellen)
  
• CSRF (Cross-Site-Anfrage Fälschung)
  
• SQL-Injekt (SQL Injection Schwachstellen)
  
• RCE (Remote -Befehl/Codeausführung)
  
• Dateieneinschluss (Datei enthält Schwachstellen)
  
• Unsichere Datei -Downloads (Download der unsicheren Datei)
  
• Unsichere Datei -Uploads (unsicherer Datei -Upload)
  
• Over Theringon (beispiellos Anfälligkeit)
  
• ../../../(Catalog Traversal)
  
• Ich kann Ihren ABC sehen (sensible Informationsleckage)
  
• PHP -Deserialisierung Verwundbarkeit
  
• XXE (XML External Entity Attack)
  
• Unsichere URL -Umleitung
  
• SSRF (Serveranforderungsfälschung)
  
• Management -Tools
  
• Mehr ... (Suchen Sie danach? ... Es gibt Ostereier!)
  

Das Management -Tool bietet ein einfaches XSS -Management -Backend für Sie zum Testen von Phishing und Cookies und kann auch Tastaturdatensätze durchführen! ~
Einige neue Schwachstellen werden in Zukunft aktualisiert. Sie sind auch herzlich eingeladen, mir Schwachstellenfälle vorzulegen. Bitte achten Sie auf Pikachu für die neueste Version.
Jede Art von Verwundbarkeit hat unterschiedliche Unterklassen gemäß verschiedenen Situationen entworfen. Gleichzeitig wurden für jede Sicherheitsanfälligkeit auf der Pikachu -Plattform einige kleine Szenarien entwickelt, um diese Schwachstellen interessanter zu gestalten. Klicken Sie in der oberen rechten Ecke der Seite "Schwachstellen" auf die "Eingabeaufforderung", um die Hilfeinformationen anzuzeigen.

Pikachu wird mit PHP entwickelt, der besten Sprache der Welt -_-
Die Datenbank verwendet MySQL, sodass Sie beim Ausführen von Pikachu die grundlegende Umgebung von "PHP+ MySQL+ Middleware (wie Apache, Nginx usw.)" installieren müssen. Es wird empfohlen, eine integrierte Software zu verwenden, um diese grundlegenden Umgebungen in Ihrer Testumgebung zu erstellen, z. B. XAMPP, WAMP usw. Als Sicherheitsperson sollten diese Dinge für Sie nicht schwierig sein. Nächste:
-> Legen Sie den heruntergeladenen Pikachu-Ordner in das Root-Verzeichnis des Webservers.
-> Ändern Sie die Konfiguration der Datenbankverbindung in Inc/config.inc.php gemäß den tatsächlichen Bedingungen;
-> Besuchen Sie h ttp: // xxxx/pikachu, und es wird eine rote begeisterte Eingabeaufforderung geben.

Wenn Sie Fragen zur Verwendung von Pikachu haben, können Sie sich in der QQ Group wenden: 532078894 (voll), 973351978 (nicht voll). Obwohl Sie konsultiert haben, antwortet jemand möglicherweise nicht -_-.

Verwenden Sie vorhandene Builds:

docker run -d -p 8765:80 8023/pikachu-expect:latest

Lokalbuild:

如果你熟悉docker,也可以直接用docker部署
docker build -t " pikachu " .
docker run -d -p 8080:80 pikachu

"Weniger bedeutet mehr, langsam bedeutet schnell"

Klicken Sie hier, um einzugeben