Pikachu靶场环境的搭建（小白练手入门）

哈喽大家好，我是小城，一个刚入门渗透测试的萌新，想在渗透测试这条路走下去，经各位大哥推荐，玩起了pikachu，也就是俗称的皮卡丘，现在为大家介绍一下这个靶场环境的搭建。下一篇文章再好好讲讲怎么玩这个靶场

---

pikachu的介绍

pikachu是一个漏洞练习平台。其中包含了常见的web安全漏洞，如果你是一个渗透测试学习者没有靶场练手，那么pikachu将是一个不错的选择。

Pikachu上的漏洞类型列表如下：

Burt Force(暴力破解漏洞)
XSS(跨站脚本漏洞)
CSRF(跨站请求伪造)
SQL-Inject(SQL注入漏洞)
RCE(远程命令/代码执行)
Files Inclusion(文件包含漏洞)
Unsafe file downloads(不安全的文件下载)
Unsafe file uploads(不安全的文件上传)
Over Permisson(越权漏洞)
../../../(目录遍历)
I can see your ABC(敏感信息泄露)
PHP反序列化漏洞
XXE(XML External Entity attack)
不安全的URL重定向
SSRF(Server-Side Request Forgery)
More...(找找看?..有彩蛋!)
管理工具里面提供了一个简易的xss管理后台,供你测试钓鱼和捞cookie~

pikachu搭建

pikachu的安装需要集成环境的配合，这里我选择的是xampp

xmapp下载地址：https://www.onlinedown.net/soft/225718.htm

如果地址下载的版本不是想要的话，还可以去网上找，很多资源的
安装步骤是：

1: 勾选 [Service] 那栏下的按钮, 实现安装服务.
2: 点击各功能的 start 按钮来启动进程.
3: 点击各功能的 admin 按钮来管理功能.
4: 启动 tomcat 需要先安装JDK.

Pikachu靶机下载地址：https://github.com/zhuifengshaonianhanlu/pikachu

下载好后将pikachu转移至xampp文件下的htdocs，（为了防止xampp上的端口冲突，建议xampp放在虚拟机上运行）

如果靶场出现了，访问不了

看看pikachu上inc目录下的config.inc.php

config.inc.php中默认是空白的，因为xampp的mysql默认密码是root，我们加上root即可

靶场自此已经搭建完毕了，pikachu的搭建还是很简单的。

搭建完成后，我们可以进入靶场的web页面

如果是在虚拟机上访问页面，只需要输入127.0.0.1/pikachu-master

如果是在本机上访问，就输入虚拟机的ip地址加上/pikachu-master