一:首先下载XAMPP 1.先到官方网站安装XAMPP  https://www.apachefriends.org/zh_cn/index.html 选择适合自己的电脑系统下载,本次windows系统进行演示. 2.下载完后,接下来不用我多说啦,安装,这一个我想大家都会,不为大家详细介绍啦!!!!! 3.打开自己XAMPP 哦呦!!! 这个难搞呦,这里可能是电脑80,443号端口已经被占用啦,不过解决问题的方法我已经给你们找到了,这个你不用担心,来大家一起看看怎么解决这个烦人的问题,废话不多说…

xampp的环境部署 1.本地服务器的搭建 首先要到官网下载xampp https://www.apachefriends.org/zh_cn/index.html 有各个不同的系统版本,这里我们选择windows系统的版本进行下载 下载完成完成后就是安装了,一直点击下一步选择好自己所要放置xampp的文件夹即可. 安装完毕后,打开xampp就来到软件页面如下 这我们搭建pikachu靶场需要开启Apache和MySQL,点击对应start就可以开启,而在开启Apache和MySQL时遇到无法正…

一.先将Pikachu文件放在网站根目录下 二.修改pikachu网站的配置文件  inc/config.inc.php define('DBUSER', 'user'); define('DBPW', 'passwd'); 将上述文件中 user改为数据库账号.passwd改为数据库密码即可 三.访问http://127.0.0.1/pikachu/install.php 点击安装初始化按钮完成安装 如果出现下图则为安装成功,平台可以使用. 四.暴力破解漏洞 1.基于表单的暴力破解 基于表单的…

1.将pikachu转移至htdocs 2.然后打开pikachu文件夹里的inc文件夹 3.里面对应的内容该成之前刚刚设置好的数据库服务器地址,用户名,密码和端口号 4.打开浏览器,输入http://127.0.0.1:88/pikachu/ 看到这个界面 5.pikachu安装完成. 遇见的问题: XAMPP Apache 无法启动原因1(缺少VC运行库): 这个就是我遇到的问题原因,下载安装的XAMPP版本是xampp-win32-1.7.7-VC9,而现有的Windows XP系统又没有…

1.首先进行基础环境——本地服务器搭建. 这里使用xampp实现. 首先安装软件 配置apache 启动xampp以搭建本地服务器 2.安装Pikachu 配置xampp数据库信息 打开config.ini.php进行修改 修改Pikachu数据库相关配置 配置完了,成功进入平台,完成环境搭建…

平台搭建是首先安装xampp并把pikachu的压缩文件解压在HTdocs下 然后 点击后显示 安装成功 首先随便输入一些东西 然后用burpsuite抓包 对username和password字段进行add进行爆破 找到了一个非等长包 成功爆破,密码123456 验证码绕过(server) 发现这个验证码抓包之后重新发包是可以通过验证码验证的.所以抓包后经过改包就可以获得密码 验证码绕过客户端 发现他是依靠本地的JS实现的 验证的时候也是在本地执行. 所以验证码对于数据包来讲无关紧要只要能绕过…

概述 简介 XSS是一种发生在Web前端的漏洞,所以其危害的对象也主要是前端用户 XSS漏洞可以用来进行钓鱼攻击.前端js挖矿.盗取用户cookie,甚至对主机进行远程控制 攻击流程 假设存在漏洞的是一个论坛,攻击者将恶意的JS代码通过XSS漏洞插入到论文的某一页面中 当用户访问这个页面时,都会执行这个恶意的JS代码,这个代码就会在用户的浏览器端执行 XSS攻击类型 危害:存储型 > 反射型 > DOM型 反射型:交互的数据一般不会被存在数据库里面,一次性,所见即所得,一般出现在查询页面等 存…

概述 CSRF 是 Cross Site Request Forgery 的 简称,中文名为跨域请求伪造 在CSRF的攻击场景中,攻击者会伪造一个请求(一般是一个链接) 然后欺骗目标用户进行点击,用户一旦点击了这个请求,这个攻击也就完成了 所以CSRF攻击也被称为“one click”攻击 攻击场景例子 lucy想要在购物网站上修改购物地址,这个操作是lucy通过浏览器向后端发送了请求.这个请求里面包含了lucy的新有货地址,如果是通过GET提交的,那么会以URL传参的方式的方式将新的地址提交给…

XSS-漏洞测试案例 xss案例 1.cookie的窃取和利用 2.钓鱼攻击 3.XSS获取键盘记录 在进行案例之前首先要搭建xss后台 搭建xss后台 1.在pikachu文件夹下面,把pkxss单独放在www下面: 2.修改配置文件  数据库服务器地址,账号,密码: 3.登录: 4.安装: 5.修改,重定向到一个可信的网站(令点击者不知情): 后台登陆成功: 一. get型xss cookie值获取 首先修改字符输入长度: 输入框输入 <script>document.location='…

.Tips: 一般查询接口容易出现反射型XSS,留言板容易出现存储型XSS 由于后台可能存在过滤措施,构造的script可能会被过滤掉,而无法生效,或者环境限制了执行(浏览器): 通过变化不同的script,尝试绕过后台过滤机制 ---以上搜集于网络. 前言:有必要说明下,pikachu靶场中xss题目中我遇到了非作者预期的过滤方法,是由于php环境版本造成的(低于php5.4).比如部分题目对于双引号和单引号的转义过滤,导致我无法参考互联网大佬们的建议,当然,这也使我学习了更多的方法.塞翁失马…