pikachu下载及安装/复现暴力破解漏洞

pikachu下载及安装

一，安装链接

1.pikachu官网下载

下载地址：https://github.com/zhuifengshaonianhanlu/pikachu

2.百度网盘

链接：https://pan.baidu.com/s/1EZaJjnJghofZ3WQltlrYLw?pwd=abcd 
提取码：abcd 
--来自百度网盘超级会员V1的分享

二，pikachu简介

pikachu是一个带有漏洞的Web应用系统，在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习，那么pikachu可能正合你意。

三，pikachu安装

1.先下载pikachu-master，解压到../www目录下

2.在../www/pikachu-master/inc下，修改config.inc.php文件，如图：

将密码修改为数据库密码

访问页面初始化

点击安装，初始化

安装成功后

复现暴力破解漏洞

千万不要小看暴力破解漏洞,往往这种简单粗暴的攻击方式带来的效果是超出预期的!

前期准备

• 抓包工具：Burp Suite
• 浏览器代理插件：SwitchOmega或FoxyProxy
• 字典：users.txt和pwd.txt。由于是实验环境，故字典随意填写即可。注意其中需要包含任意一组正确的账号密码：admin/123456、pikachu/000000、test/abc123

# users.txt
test
root
admin

# pwd.txt
88888888
password
123456

 漏洞页面

浏览器打开FoxyProxy

                                       打开bp抓包,开启拦截

刚开始的账号密码输入随便填写

发送到 Repeater 模块(重发器) 可以查看到你输入的用户名和密码

 发送到 Intruder 模块,标记用户名密码

Payload set 1 用户          

Payload set 2 密码 

开始爆破

密码爆破成功，进行登录