pikachu

“如果你想搞懂一個漏洞，比較好的方法是：你可以自己先製造出這個漏洞（用代碼編寫），然後再利用它，最後再修復它”。

Pikachu是一個帶有漏洞的Web應用系統，在這裡包含了常見的web安全漏洞。 如果你是一個Web滲透測試學習人員且正發愁沒有合適的靶場進行練習，那麼Pikachu可能正合你意。

• Burt Force(暴力破解漏洞)
  
• XSS(跨站腳本漏洞)
  
• CSRF(跨站請求偽造)
  
• SQL-Inject(SQL注入漏洞)
  
• RCE(遠程命令/代碼執行)
  
• Files Inclusion(文件包含漏洞)
  
• Unsafe file downloads(不安全的文件下載)
  
• Unsafe file uploads(不安全的文件上傳)
  
• Over Permisson(越權漏洞)
  
• ../../../(目錄遍歷)
  
• I can see your ABC(敏感信息洩露)
  
• PHP反序列化漏洞
  
• XXE(XML External Entity attack)
  
• 不安全的URL重定向
  
• SSRF(Server-Side Request Forgery)
  
• 管理工具
  
• More...(找找看?..有彩蛋!)
  

管理工具裡面提供了一個簡易的xss管理後台,供你測試釣魚和撈cookie,還可以搞鍵盤記錄！ ~
後續會持續更新一些新的漏洞進來,也歡迎你提交漏洞案例給我,最新版本請關注pikachu
每類漏洞根據不同的情況又分別設計了不同的子類同時,為了讓這些漏洞變的有意思一些,在Pikachu平台上為每個漏洞都設計了一些小的場景,點擊漏洞頁面右上角的"提示"可以查看到幫助信息。

Pikachu使用世界上最好的語言PHP進行開發-_-
數據庫使用的是mysql，因此運行Pikachu你需要提前安裝好"PHP+MYSQL+中間件（如apache,nginx等）"的基礎環境，建議在你的測試環境直接使用一些集成軟件來搭建這些基礎環境,比如XAMPP,WAMP等,作為一個搞安全的人,這些東西對你來說應該不是什麼難事。接下來:
-->把下載下來的pikachu文件夾放到web服務器根目錄下;
-->根據實際情況修改inc/config.inc.php裡面的數據庫連接配置;
-->訪問h ttp://xxxx/pikachu,會有一個紅色的熱情提示"歡迎使用,pikachu還沒有初始化，點擊進行初始化安裝!",點擊即可完成安裝。

如果閣下對Pikachu使用上有什麼疑問，可以在QQ群：532078894（已滿），973351978（未滿） 諮詢，雖然諮詢了，也不一定有人回答-_-。

使用已有構建：

docker run -d -p 8765:80 8023/pikachu-expect:latest

本地構建：

如果你熟悉docker,也可以直接用docker部署
docker build -t " pikachu " .
docker run -d -p 8080:80 pikachu

"少就是多,慢就是快"

點擊進入