Pikachu靶场实战解析：从暴力破解到CSRF的攻防演练

1. 暴力破解攻防实战

暴力破解是Web安全中最基础的攻击手段之一，也是Pikachu靶场的第一道关卡。我第一次接触这个漏洞时，觉得它简单粗暴，但真正深入理解后才发现其中蕴含着不少门道。

1.1 基于表单的暴力破解

我们先来看最简单的表单爆破场景。打开Pikachu靶场的暴力破解模块，你会发现一个典型的登录表单。这时候如果你手头有常见的用户名密码字典（比如rockyou.txt），就可以开始尝试了。我习惯用Burp Suite的Intruder模块来做这个测试，具体步骤是：

1. 正常提交一次登录请求，用Burp抓包
2. 把请求发送到Intruder模块
3. 选择Pitchfork攻击模式（因为要同时爆破用户名和密码）
4. 在username和password参数位置设置变量标记
5. 加载字典文件开始攻击

这里有个小技巧：在真实环境中，建议先单独爆破用户名，确认有效用户名后再爆破密码，这样效率更高。我在测试时发现，如果字典质量够好，这种基础表单的爆破成功率能达到30%以上。

1.2 验证码绕过技巧

当遇到有验证码防护的系统时，事情就变得有趣多了。Pikachu靶场提供了两种验证码绕过的场景：

第一种是服务器端验证码校验（on server）。这种情况看似安全，但如果验证码没有和会话绑定，或者验证码可以重复使用，就存在被绕过的可能。我测试时发现，只要在爆破请求中带上同一个有效的验证码，就能继续爆破。

第二种是客户端验证（on client）。这种防护简直形同虚设，因为前端JavaScript验证可以直接被绕过。要么禁用JS执行，要么修改前端代码，甚至不用管验证码直接爆破都可以。

1.3 Token防爆破实战

最让我头疼的是Token防爆破这一关。Token机制确实增加了爆破难度，但并非无懈可击。我的破解思路是：

1. 首次请求登录页面获取Token
2. 在爆破时每次先获取新Token
3. 将新Token与爆破组合一起提交

在Burp Suite中实现这个需要配置宏（Macro）来自动获取Token。具体操作是在Project options→Session→Macros中添加一个新的宏，让它自动从服务器响应中提取Token值。然后在Intruder的Resource pool设置中，把线程数设为1，确保Token和爆破组合一一对应。

2. XSS漏洞深度剖析

跨站脚本攻击(XSS)是我觉得最有意思的Web漏洞之一。在Pikachu靶场中，它展示了各种XSS变种，让我们能全面理解这类漏洞。

2.1 反射型XSS实战

反射型XSS是最基础的形态。在Pikachu的GET型反射XSS关卡，只需要在输入框注入<script>alert(1)</script>就能触发。但实际渗透测试中，我遇到更多的是需要构造特殊payload的情况。

POST型反射XSS稍微复杂些。需要先登录（Pikachu给的凭证是admin/123456），然后在输入框注入能盗取cookie的payload：<script>alert(document.cookie)</script>。这里要注意，如果设置了HttpOnly标志，这个payload就无效了。

2.2 存储型XSS与DOM型XSS

存储型XSS的危害更大，因为它会持久化在服务器上。Pikachu的留言板功能就模拟了这种场景。注入的脚本会被保存，每次有人访问留言板都会执行。

DOM型XSS则更隐蔽。在靶场中，有一关是将输入直接拼接到href属性里。这时候注入javascript:alert(1)就能触发。另一关则需要两次交互才能触发，模拟了更复杂的DOM操作场景。

2.3 XSS过滤绕过技巧

真实网站通常会有各种过滤机制，Pikachu也设置了相应的挑战关卡：

• 大小写绕过：<sCriPt>alert(1)</scRipt>
• 事件处理器绕过：#'onclick='alert(1)
• JavaScript伪协议：javascript:alert(1)
• 闭合已有脚本：';alert(1);//

我建议在测试时多查看页面源码，理解过滤逻辑后再构造相应的payload。有时候看似严密的过滤，可能只需要一个简单的编码就能绕过。

3. CSRF攻击与防御

跨站请求伪造(CSRF)是一种容易被忽视但危害极大的漏洞。Pikachu靶场提供了三种典型的CSRF场景。

3.1 GET型CSRF利用

这是最简单的形式。登录靶场后，在修改个人信息处抓包，会发现是个GET请求。这时候直接在Burp中右键→Engagement tools→Generate CSRF PoC，就能生成一个恶意页面。当受害者访问这个页面时，他的个人信息就会被自动修改。

3.2 POST型CSRF利用

POST型稍微复杂些，但原理相同。Burp生成的PoC会包含一个自动提交的表单。我在测试时发现，如果目标站点没有检查Referer头，这种攻击成功率极高。

3.3 带Token的CSRF防护突破

最复杂的是带Token防护的CSRF。Pikachu的这个关卡模拟了真实场景中的Token验证机制。我的突破方法是：

1. 使用Burp的CSRF Token Tracker插件自动捕获Token
2. 配置宏来自动更新Token
3. 在生成的PoC中插入Token捕获逻辑

虽然这种防护更安全，但如果Token生成算法存在缺陷，或者Token绑定会话不严格，仍然可能被绕过。我在实际渗透测试中曾遇到过Token可预测的情况，通过分析Token生成规律成功实现了CSRF攻击。

4. 综合防御方案

经过这些实战演练，我总结了一些有效的防御措施：

对于暴力破解：

• 实施账户锁定机制
• 使用强验证码（如Google reCAPTCHA）
• 限制登录尝试频率

针对XSS：

• 实施严格的输入过滤和输出编码
• 设置HttpOnly和Secure标志
• 使用CSP（内容安全策略）

防范CSRF：

• 使用随机Token并严格验证
• 检查Referer头
• 关键操作增加二次认证

在Pikachu靶场的实战中，我最大的收获是理解了攻防双方的思维差异。只有真正站在攻击者角度思考，才能设计出更有效的防御方案。建议每个安全工程师都能亲自尝试这些攻击手法，这对提升安全意识和防护能力都有极大帮助。