2026 最新 Pikachu 靶场全通关保姆级教程

一.暴力破解1.1基于表单的暴力破解1.1.1 漏洞利用burp抓包ctrli 添加爆破根据返回长度得到两个用户admin 123456test abc1231.1.2 源代码分析文件路径在vul/burteforce/bf_form.php通过注释以及说明了没有验证码也没有其他的访问控制直接开始爆破就行1.2 验证码绕过(on server)1.2.1 漏洞利用比上面多了一个验证码我们在提交时抓包然后ctrlr 重放多点击几次send 然后看返回结果发现同一个验证码我们重复使用了多次返回的结果时用户名或密码错误并没有提示验证码失效也就是只要我们这个页面不刷新就可以一直用这个验证码那就跟第一关一样直接ctrli拿去爆破得到了跟上面一样的用户名跟密码分别是 admin 123456test abc1231.2.2 源代码分析文件路径在vul/burteforce/bf_server.php关键点在于36行注释也以及硕明白了在验证完成后并没有销毁掉session[‘vcode’]导致了我们可以一直重复利用改验证码1.3 验证码绕过on client1.3.1 漏洞利用输入验证码后这提示也太快了把点击后就立马弹出了错误打开f12再试一次果然根本就没有发起http请求验证码来自于前端的js难怪这么快burp抓包验证下 将验证码的vcode参数置空发现提示的是用户名或密码错误没有校验验证码参数那么直接开始爆破即可1.3.2 源代码分析文件路径就在当前页面F12查看源代码果然是前端生成的验证码服务器并不校验1.4 token防爆破1.4.1 漏洞利用这里抓包可以看到多了个token并且重放无法继续利用经过查找发现是在密码输入框的下方多一个隐藏的输入框记录的是token的信息那么直接拿去burp上开始爆破ctrli 发送到爆破模式选择 pitchfork 勾选两个参数一个是密码一个是token密码选项加载密码字典token选项选择 Recursive grep然后来到设置选项 勾选跟随重定向然后点击正则的 Add鼠标选中token的值burp会自动生成正则表达式不用自己手动输点击ok线程选项要更改一下 设为单线程然后直接开始爆破发现每次爆破的自动带入了当前页面的token依旧根据长度判断爆破成功得到 admin的密码为1234561.4.2 源代码分析文件路径在 vul/burteforce/bf_token.php在文件的63行设置了token跟进函数函数每次调用前都会检查当前session是否有token参数有的话会先删除掉这个token再重新生成并保存到session中也就无法重复利用了二Cross-Site Scripting(xss)概述Cross-Site Scripting的简写css与前端的css重名了所以称之为xss2.1 反射型xssget2.1.1 反射型xssget漏洞利用输入到一半发现有字符长度限制f12打开将20个长度的限制加大输入成功弹窗2.1.2 源码分析文件路径 vul/xss/xss_reflected_get.php直接接受我们get请求传递上来的内容未经任何过滤直接输出导致了xss2.2 反射型xsspost2.2.1 漏洞利用这里首先是一个登录框直接根据我们上面爆破到的用户名跟密码登录即可我这里用 admin 123456也是没有任何过滤直接在输入框输入payload就行2.2.2 源码分析文件路径vul/xss/xsspost/xss_reflected_post.php这里与上面一关唯一不同的就是传递的方式有GET转为了POST同样也是无任何过滤直接返回到前端2.3 存储型xss2.3.1 漏洞利用也是无任何过滤直接输入 payloadimg src1 οnerrοralert12.3.2 源码分析vul/xss/xss_stored.php也是无任何过滤与前面不同的是这次将值传入了数据库然后从数据库取值2.4 dom型xss这里是将传递的值当作了标签的href属性插入payload javascript:alert12.5 DOM型xss-x依旧使用javascript伪协议javascript:alert12.6 xss之盲打直接插入payload svg οnlοadalert1后台的地址为locaohost/vul/xss//xssblind/admin.php2.7 xss之过滤payload svg οnlοadalert12.8 xss之htmlspecialchars这个函数会过滤简括含号但是我们的输出点是在a标签的href属性当中直接使用伪协议即可payload : javascript:alert1还有就是htmlspcialchars 默认不对单引号过滤 也可以使用 ’payload : ’ οnclick‘alert1’2.9 xss之href输出payload : javascript:alert12.10 xss之js输出这次的输出点在js上面闭合掉前面的js再插入代码payload 三csrf3.1 CSRFget CSRFpost在修改内容包的页面 engagement tools - generte csrf poc自动生成一个csrf的html文件放到浏览器即可触发token csrf 目前没搞定token在页面内容想的是ajax先获取到页面token将token替换再次发送一个csrf但是ajax没法跨域网上搜了token也是防止csrf的一种方式四 SQL-Inject4.1 数字型注入(post) 手工注入是一个下拉菜单无法通过浏览器修改内容那上burp输入单引号 页面报错那么可能存在sql注入id1 页面返回内容id2 页面返回不一样的内容id2-1 页面返回跟页面1一样的内容说明后端执行了2-1所以返回了id1的内容判断得知这是一个数字型的注入判断字段数 id1 order by 10 //order by 是排序如果字段数大于10那么返回正常字段数小于我们的排序的数就会出错order by 2 返回正常 order by3 返回错误得到字段数为2判断能回显的字段 id-1 union select 1,2 – -//union语句聚合两个查询的内容由于页面只返回一行所以在前面的输入一个不存在的id我这里直接使-号以返回我们输入的内容这里页面上将12都返回了得知两个字段都有回显– -的意思是注释掉后面的sql语句id-1 union select user(),database()-- - 查看用户名跟数据库得到是root用户使用的是pikachu数据库查询当前数据库中的表id-1 union select user(),group_concat(table_name) frominformation_schema.tables where table_schemadatabase()–-submit%E6%9F%A5%E8%AF%A2得到 pikachu数据库中有5张表httpinfo,member,message,users,xssblind查询字段名 -错误根据名称判断得知users表中的字段比较重要那就查询这张表id-1 union selectuser(),group_concat(column_name) from information_schema.columns wheretable_name‘users’-- -submit%E6%9F%A5%E8%AF%A2得到这一个字段user_id,first_name,last_name,user,password,avatar,last_login,failed_login,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password,level,id,username,password,level,id,username,password获取字段值获取字段名-更正上面仅仅判断table_name users 很多数据库中都有users这个表查询的结果是相当的不准确这次再次加上table_schema“pikachu”id-1 union select group_concat(column_name),2 from information_schema.columnswhere table_schema“pikachu” and table_name“users”-- -submit%E6%9F%A5%E8%AF%A2得到只有 id username password,level 这4张表根据字段查询内容id-1 union select group_concat(username),group_concat(password) fromusers– - submit%E6%9F%A5%E8%AF%A2得到3个用户跟对于的3个密码其中admin对于的密码是e10abc开头一眼就认出是 123456的md5加密当然平时遇到sql注入还是sqlmap一把梭不过学习还是要知道原理4.2 字符型注入getpayload vince’ and 11-- -4.3搜索型注入payload allen’ and 11-- -4.4 xx型注入payload vince’)-- -五RCE5.1 exec “ping”payload 127.0.0.1 echo 1235.2 exec “eval”eval函数是将字符串当作php代码执行我们可以直接调用system函数执行系统命令达到代码执行到系统命令执行payload system(“whoami”);六 File Inclusion6.1 本地文件包含http://pikachu.cn/vul/fileinclude/fi_local.php?filename…/…/…/…/…/…/…/…/./a.txtsubmit%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2读取到了本地磁盘 a.txt的内容6.2 远程文件包含payload:http://pikachu.cn/vul/fileinclude/fi_remote.php?filenamehttp://www.baidu.comsubmit%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2七Unsafe Filedownload不安全的文件下载在参数filenamepayload:http://pikachu.cn/vul/unsafedownload/execdownload.php?filename…/…/…/…/…/…/…/a.txt八 Unsafe Fileupload 不安全的文件上传8.1 client check客户端校验将自己的php脚本重命名为png结尾然后上传的时候抓包将名称该过来路径前台返回拼接访问8.2 MIME type这里是校验上传的 Content-Type: image/png由于我们后缀本来就是png就是正确的还是跟上面一样将png更改为php8.3 getimagesize这里的后缀名是限制死的只能使用图片后缀我们现在一张正常图片用编辑器打开在末尾添加上php脚本然后通过上方的本地文件包含当作php执行9. Over Permission9.1 水平越权http://pikachu.cn/vul/overpermission/op1/op1_mem.php?usernamelilisubmit%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF得到ili的信息我们更改url中的username参数更改为lucy 发现我们能获取到同等级用户lucy的信息这就是水平越权9.2 垂直越权通过提示得到有admin管理员用户可以添加信息 普通用户piukachu 只能查看信息添加页面的网址在​​​​​​http://pikachu.cn/vul/overpermission/op2/op2_admin_edit.php普通用户登录直接访问这个连接输入后提交发现我们普通用户的身份依旧能使用管理员的添加用户这就是垂直越权十 …/…/路径穿越payloadhttp://pikachu.cn/vul/dir/dir_list.php?title…/…/…/…/…/…/…/…/…/a.txt十一 敏感信息泄露那直接f12打开开翻 得到用户名跟密码十二PHP反序列化payload: O:1:“S”:1:{s:4:“test”;s:29:“”;}十三XXEpayload :?xml version1.0? ] xxe;十四URL重定向url参数可控payload: pikachu.cn/vul/urlredirect/urlredirect.php?urlhttp://www.baidu.com十五SSRF15.1 SSRFcurlurl参数可控payload: pikachu.cn/vul/ssrf/ssrf_curl.php?urlhttp://www.baidu.com15.2 SSRF(file_get_content)file参数可控payload: http://pikachu.cn/vul/ssrf/ssrf_fgc.php?filed://a.txt打算是当天搞定的现在已经 02点37分了后面只有payload细节不详细了通过这个靶机还是认识到自己的不足如何系统学习网络安全/黑客网络安全不是「速成黑客」而是守护数字世界的骑士修行。当你第一次用自己写的脚本检测出漏洞时那种创造的快乐远胜于电影里的炫技。装上虚拟机从配置第一个Linux环境开始脚踏实地从基础命令学起相信你一定能成为一名合格的黑客。如果你还不知道从何开始我自己整理的282G的网络安全教程可以分享我也是一路自学走过来的很清楚小白前期学习的痛楚你要是没有方向还没有好的资源根本学不到东西黑客/网络安全学习路线今天只要你给我的文章点赞我私藏的网安学习资料一样免费共享给你们来看看有哪些东西。网络安全学习资源分享:下面给大家分享一份2025最新版的网络安全学习路线资料帮助新人小白更系统、更快速的学习黑客技术一、2025最新网络安全学习路线一个明确的学习路线可以帮助新人了解从哪里开始按照什么顺序学习以及需要掌握哪些知识点。对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图学习规划。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。**读者福利 |**CSDN大礼包《网络安全入门进阶学习资源包》免费分享**安全链接放心点击**我们把学习路线分成L1到L4四个阶段一步步带你从入门到进阶从理论到实战。L1级别:网络安全的基础入门L1阶段我们会去了解计算机网络的基础知识以及网络安全在行业的应用和分析学习理解安全基础的核心原理关键技术以及PHP编程基础通过证书考试可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。L2级别网络安全的技术进阶L2阶段我们会去学习渗透测试包括情报收集、弱口令与口令爆破以及各大类型漏洞还有漏洞挖掘和安全检查项目可参加CISP-PTE证书考试。L3级别网络安全的高阶提升L3阶段我们会去学习反序列漏洞、RCE漏洞也会学习到内网渗透实战、靶场实战和技术提取技术系统学习Python编程和实战。参加CISP-PTE考试。L4级别网络安全的项目实战L4阶段我们会更加深入进行实战训练包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握而L3 L4更多的是通过项目实战来掌握核心技术针对以上网安的学习路线我们也整理了对应的学习视频教程和配套的学习资料。二、技术文档和经典PDF书籍书籍和学习文档资料是学习网络安全过程中必不可少的我自己整理技术文档包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点电子书也有200多本书籍含电子版PDF三、网络安全视频教程对于很多自学或者没有基础的同学来说书籍这些纯文字类的学习教材会觉得比较晦涩难以理解因此我们提供了丰富的网安视频教程以动态、形象的方式展示技术概念帮助你更快、更轻松地掌握核心知识。网上虽然也有很多的学习资源但基本上都残缺不全的这是我自己录的网安视频教程上面路线图的每一个知识点我都有配套的视频讲解。四、网络安全护网行动/CTF比赛学以致用当你的理论知识积累到一定程度就需要通过项目实战在实际操作中检验和巩固你所学到的知识同时为你找工作和职业发展打下坚实的基础。五、网络安全工具包、面试题和源码“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等感兴趣的同学不容错过。面试不仅是技术的较量更需要充分的准备。在你已经掌握了技术之后就需要开始准备面试我们将提供精心整理的网安面试题库涵盖当前面试中可能遇到的各种技术问题让你在面试中游刃有余。如果你是要找网安方面的工作它们绝对能帮你大忙。这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的如果大家有好的题目或者好的见解欢迎分享。参考解析深信服官网、奇安信官网、Freebuf、csdn等内容特点条理清晰含图像化表示更加易懂。内容概要包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…