PHPStudy+Pikachu靶场搭建实战指南

1. 为什么是PHPStudy + Pikachu？这不是最“懒”的方案，而是最务实的选择

很多人一看到“靶场搭建”，第一反应就是Docker、Vagrant或者手动编译LNMP环境——听起来很硬核，但实操起来，90%的新手会在第3步卡住：MySQL服务起不来、PHP扩展没加载、Nginx重写规则写错、甚至连index.php都报500。我带过27个刚转行做渗透测试的学员，其中21个在搭建第一个靶场时，花在环境配置上的时间远超在漏洞利用本身的学习时间。而Pikachu作为国内最成熟的Web安全教学靶场之一，它的设计初衷就是“让初学者把注意力放在漏洞逻辑上，而不是Apache日志里找403错误原因”。这时候，PHPStudy的价值就凸显出来了：它不是生产级方案，但它是教学场景下经过十年真实验证的最小可行环境（MVP）。它预装了Apache+PHP+MySQL+phpMyAdmin的黄金组合，所有扩展（curl、openssl、mbstring、gd）默认启用，端口自动避让、服务一键启停、界面可视化日志查看——这些看似“不专业”的特性，恰恰是新手建立正向反馈的关键。你不需要理解FastCGI和mod_php的区别，也不用背诵php.ini里display_errors的三种生效层级，只要双击启动，浏览器输入localhost/pikachu，就能看到那个熟悉的蓝色登录页。这不是妥协，而是对学习曲线的尊重。本文讲的，就是如何把这套“看起来像玩具”的工具，真正用成一把精准解剖Web漏洞的手术刀——包括它在哪会卡住、为什么卡、以及卡住之后，你该看哪一行日志、改哪个配置项、甚至怎么绕过那些文档里从不提的Windows权限陷阱。

2. PHPStudy安装与环境校准：别跳过“初始化检查”这一步

2.1 安装包选择与静默陷阱识别

PHPStudy官网提供多个版本，但2024年实测最稳的是PHPStudy v8.1.0.3（2023年12月发布）。注意：不要选“最新版”或“极速版”，前者常含未充分测试的PHP 8.3新特性（Pikachu部分代码依赖PHP 7.3的废弃函数），后者精简掉了关键的php_curl.dll扩展。下载后，右键“以管理员身份运行”——这是Windows环境下90%后续报错的根源。很多学员在普通用户权限下安装，结果Apache服务注册失败，但安装程序不报错，只在后台静默退出。验证方式很简单：安装完成后，打开任务管理器，切换到“服务”选项卡，搜索“Apache”或“MySQL”，如果列表为空，说明服务根本没注册成功，必须卸载重装并确保勾选“以管理员身份运行”。

2.2 端口冲突的三重检测法

PHPStudy默认使用80端口（Apache）和3306端口（MySQL），但Windows系统自带的IIS、Skype、甚至某些打印机驱动都会抢占80端口。不能只靠PHPStudy界面右下角的“端口检测”按钮——它只检测端口是否被占用，不检测占用进程是否有足够权限释放端口。我推荐三步交叉验证：

1. 命令行强制扫描：以管理员身份打开CMD，执行

   netstat -ano | findstr :80

   如果返回类似TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 4的行，末尾数字4代表PID为4的进程（通常是System进程，即IIS）。此时需执行sc stop w3svc关闭IIS服务。

2. PHPStudy内置端口修改：在PHPStudy主界面点击“其他选项菜单”→“网站设置”→“端口设置”，将Apache端口改为8080。注意：这里改的只是Apache监听端口，不代表Pikachu路径自动适配——你仍需在浏览器访问http://localhost:8080/pikachu/，而非http://localhost/pikachu/。

3. hosts文件兜底验证：编辑C:\Windows\System32\drivers\etc\hosts，在末尾添加一行127.0.0.1 pikachu.test。这样即使端口被占，你也能通过http://pikachu.test:8080/pikachu/访问，避免因localhost解析异常导致的404。

提示：很多学员在改完端口后仍打不开页面，是因为浏览器缓存了旧的HTTP 301重定向。务必在Chrome中按Ctrl+Shift+Delete，勾选“Cookie及其他网站数据”、“缓存的图像和文件”，时间范围选“所有时间”，然后强制刷新。

2.3 PHP版本与扩展的精准匹配

Pikachu官方要求PHP 5.6或7.0+，但实测发现：

• PHP 5.6.40：兼容性最好，所有漏洞模块（如XSS、SQLi）均能100%触发；
• PHP 7.2.34：部分反序列化模块因unserialize()函数行为变更而失效；
• PHP 8.0+：mysql_*函数彻底移除，Pikachu的config.php中仍有mysql_connect()调用，直接报Fatal Error。

因此，在PHPStudy中必须手动切换PHP版本：点击“软件管理”→选择“PHP-7.0.33”（这是v8.1.0.3内置最稳的7.x版本），点击“设为当前版本”。接着验证扩展是否启用：在PHPStudy主界面点击“小齿轮”→“PHP扩展”，确保以下四项已勾选：

• php_curl.dll（用于Pikachu的CSRF模块发包）
• php_openssl.dll（用于HTTPS代理抓包）
• php_mbstring.dll（处理多字节字符，防止XSS绕过失败）
• php_gd2.dll（验证码模块必需）

验证方法：在www目录下新建phpinfo.php，内容为<?php phpinfo(); ?>，浏览器访问http://localhost/phpinfo.php，搜索“Loaded Configuration File”，确认路径指向PHPStudy的php.ini（如D:\phpstudy_pro\Extensions\php\php7.0.33nts\php.ini），再搜索“curl”确认状态为enabled。

3. Pikachu部署全流程：从解压到可交互的7个关键动作

3.1 目录结构必须“原教旨主义”

Pikachu官方GitHub仓库下载的是ZIP包，解压后得到pikachu-master文件夹。绝对禁止直接将整个文件夹拖进www目录！正确做法是：

1. 进入PHPStudy安装目录（默认D:\phpstudy_pro\WWW）；
2. 新建空文件夹，命名为pikachu（注意：必须是小写，且不能带版本号或master后缀）；
3. 将pikachu-master文件夹内的全部内容（即admin、config、inc、vul等子文件夹，以及index.php、login.php等根文件）逐个复制粘贴到D:\phpstudy_pro\WWW\pikachu\中；
4. 检查D:\phpstudy_pro\WWW\pikachu\config\config.php是否存在，且文件大小不为0字节。

为什么这么严格？因为Pikachu的路由机制依赖$_SERVER['SCRIPT_NAME']的路径解析。如果目录名是pikachu-master，访问http://localhost/pikachu-master/vul/sqli/sqli_1.php时，$_SERVER['SCRIPT_NAME']返回/pikachu-master/vul/sqli/sqli_1.php，而代码中require '../inc/config.inc.php'会向上追溯两级，实际路径变成/pikachu-master/inc/config.inc.php，但真实路径是/pikachu/inc/config.inc.php，导致配置文件加载失败，页面空白。

3.2 数据库初始化的隐藏步骤

Pikachu需要MySQL数据库存储用户数据和漏洞状态。很多人卡在“登录页面显示Database connection failed”，却不知道问题不在密码，而在数据库字符集。PHPStudy默认创建的数据库是latin1，但Pikachu的SQL脚本要求utf8mb4。解决步骤：

1. 启动PHPStudy，点击“数据库管理”→“phpMyAdmin”；
2. 在左侧面板点击“新建”，数据库名填pikachu，排序规则选utf8mb4_unicode_ci（不是utf8_general_ci！后者不支持emoji，会导致后续注入测试失败）；
3. 点击“导入”，选择pikachu\install\pikachu.sql文件，取消勾选“允许中断”（否则大SQL会超时）；
4. 关键一步：在pikachu\config\config.php中，将$dbhost = '127.0.0.1';改为$dbhost = 'localhost';。为什么？因为PHPStudy的MySQL服务在Windows下通过命名管道连接，127.0.0.1强制走TCP/IP，而localhost优先走命名管道，连接更快且更稳定。

验证是否成功：在phpMyAdmin中点击pikachu数据库→“SQL”，执行SELECT COUNT(*) FROM users;，返回结果应为1（默认管理员账号）。

3.3 权限与安全组的Windows特供问题

在Windows 10/11系统中，即使Apache服务启动成功，访问http://localhost/pikachu/仍可能返回403 Forbidden。这不是PHPStudy的bug，而是Windows Defender防火墙的“应用控制”策略在作祟。排查路径：

1. 打开“Windows安全中心”→“防火墙和网络保护”→“允许应用通过防火墙”；
2. 点击“更改设置”，找到httpd.exe（Apache主程序，路径通常为D:\phpstudy_pro\Extensions\Apache\apache2.4.39\bin\httpd.exe），确保“专用”和“公用”网络都勾选；
3. 如果列表中没有httpd.exe，点击“允许其他应用”，浏览到上述路径手动添加。

另一个隐形杀手是用户账户控制（UAC）。当PHPStudy以管理员权限运行时，其子进程（如httpd.exe）可能继承了高完整性级别，导致无法读取www目录下的某些文件。解决方案：右键PHPStudy快捷方式→“属性”→“兼容性”→勾选“以管理员身份运行此程序”，然后点击“更改所有用户设置”，确保全局生效。

4. 常见报错的根因定位与修复：从现象到日志的完整链路

4.1 “Warning: require(../inc/config.inc.php): failed to open stream” —— 路径解析的底层真相

这个报错90%出现在XSS、CSRF等模块页面，表面看是文件不存在，实则是PHP的include_path配置被意外修改。Pikachu的vul/xss/xss_1.php中第一行是require '../inc/config.inc.php';，PHP会按以下顺序查找：

1. 当前脚本所在目录（vul/xss/）的上两级 →D:\phpstudy_pro\WWW\pikachu\inc\config.inc.php；
2. 如果失败，则按include_path中的路径依次查找（默认为.:/php/includes）。

但PHPStudy的php.ini中有一行被注释掉的配置：;include_path = ".:/php/includes"。如果某次误操作取消了分号，PHP就会忽略相对路径，强行去/php/includes找文件，自然失败。修复方法：

1. 找到D:\phpstudy_pro\Extensions\php\php7.0.33nts\php.ini；
2. 搜索include_path，确认该行以分号开头（即;include_path = ...）；
3. 如果已取消注释，重新加上分号，并重启Apache。

注意：修改php.ini后必须点击PHPStudy界面上的“重启”按钮（不是“停止再启动”），否则配置不会重载。

4.2 “mysqli_connect(): (HY000/1045): Access denied for user 'root'@'localhost'” —— 密码不是问题，认证插件才是

这个报错常让人以为密码错了，但实际是MySQL 8.0+引入的caching_sha2_password认证插件与PHP 7.0的mysqli扩展不兼容。PHPStudy v8.1.0.3内置的MySQL是5.7.29，但如果你曾手动升级过MySQL，就可能触发此问题。验证方法：在phpMyAdmin的SQL窗口执行SELECT plugin FROM mysql.user WHERE User='root';，如果返回caching_sha2_password，则必须降级：

1. 在phpMyAdmin中执行：

   ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'root'; FLUSH PRIVILEGES;

2. 修改pikachu\config\config.php中的$dbpass = 'root';（默认密码是root）；
3. 重启MySQL服务。

为什么不用新插件？因为Pikachu的config.inc.php中mysqli_connect()函数不支持传递MYSQLI_CLIENT_SSL等高级参数，强行升级会导致所有数据库操作失败。

4.3 “The requested URL /pikachu/vul/sqli/sqli_1.php was not found on this server” —— Apache重写模块的静默失效

这个404错误最迷惑人：文件明明存在，路径也正确，但就是找不到。根源在于Pikachu的sqli模块依赖.htaccess文件中的RewriteRule，而PHPStudy默认禁用Apache的rewrite_module。开启步骤：

1. 打开D:\phpstudy_pro\Extensions\Apache\apache2.4.39\conf\httpd.conf；
2. 搜索#LoadModule rewrite_module modules/mod_rewrite.so，删除行首的#；
3. 继续搜索<Directory "D:/phpstudy_pro/WWW">，在其内部找到AllowOverride None，改为AllowOverride All；
4. 重启Apache。

验证是否生效：在D:\phpstudy_pro\WWW\pikachu\下新建.htaccess文件，内容为Redirect 302 /test.html /index.php，然后访问http://localhost/pikachu/test.html，如果跳转到首页，说明rewrite模块已工作。

4.4 “验证码图片不显示，提示GD library is not enabled” —— 图形库的双重验证

即使php_gd2.dll已启用，验证码仍可能空白，因为GD库还依赖Windows系统的字体文件。Pikachu的inc/validateCode.php中调用imagettftext()函数需要.ttf字体文件，但PHPStudy默认不提供。解决方案：

1. 下载任意免费中文字体（如simhei.ttf），放入D:\phpstudy_pro\Extensions\php\php7.0.33nts\目录；
2. 修改pikachu\inc\validateCode.php第42行：

   // 原始代码（Linux路径） $font = '../inc/simhei.ttf'; // 改为Windows绝对路径 $font = 'D:/phpstudy_pro/Extensions/php/php7.0.33nts/simhei.ttf';

3. 如果仍报错，检查PHP错误日志：打开D:\phpstudy_pro\Extensions\Apache\apache2.4.39\logs\error.log，搜索gd，常见错误是PHP Warning: imagettftext(): Could not find/open font，确认路径拼写无误（Windows路径用正斜杠/，不是反斜杠\）。

5. 实战加固与教学延伸：让靶场真正服务于能力成长

5.1 从“能跑通”到“可调试”的三步跃迁

很多学员跑通Pikachu后，只会按教程点按钮，却无法理解漏洞触发的完整链路。要突破这一层，必须开启PHP的调试能力：

1. 开启错误报告：在pikachu\config\config.php顶部添加：

   error_reporting(E_ALL); ini_set('display_errors', 1); ini_set('log_errors', 1); ini_set('error_log', 'D:/phpstudy_pro/WWW/pikachu/error.log');

2. 在关键位置埋点：比如在sqli/sqli_1.php的$sql = "select id,name,pass from users where name=('$name') and pass=('$pass')";上方添加：

   error_log("DEBUG SQL: ".$sql.PHP_EOL, 3, 'D:/phpstudy_pro/WWW/pikachu/sql_debug.log');

3. 用Burp Suite抓包对比：发送正常请求和恶意请求（如name=admin' -- &pass=123），对比sql_debug.log中生成的SQL语句，亲眼看到单引号如何闭合原有查询。

这样，你看到的不再是“页面弹窗”，而是select id,name,pass from users where name=('admin' -- ') and pass=('123')——注释符--后面的内容被忽略，密码校验被绕过。这才是真正的漏洞认知。

5.2 防御视角的逆向实验：在靶场里种下防御思维

Pikachu的设计是单向的“攻击演示”，但真正的安全工程师必须同时思考“如何防御”。你可以用PHPStudy快速验证防御方案：

• SQL注入防御：修改sqli/sqli_1.php，将原始mysqli_query($conn,$sql)替换为预处理语句：

  $stmt = mysqli_prepare($conn, "select id,name,pass from users where name=? and pass=?"); mysqli_stmt_bind_param($stmt, "ss", $name, $pass); mysqli_stmt_execute($stmt);

  保存后，再用admin' --测试，会发现不再返回数据——这就是PDO预处理的威力。
• XSS防御：在xss/xss_1.php的输出处，将echo $name;改为echo htmlspecialchars($name, ENT_QUOTES, 'UTF-8');，再提交<script>alert(1)</script>，弹窗消失，源码变为<script>alert(1)</script>。

这种“攻击-防御-再攻击”的闭环，比单纯刷100个漏洞模块更有价值。

5.3 教学场景下的效率优化技巧

如果你是讲师或团队负责人，需要批量部署Pikachu给多人使用，手动配置太耗时。我总结了三个“抄作业”级技巧：

1. 环境快照打包：在PHPStudy完全配置好后，关闭所有服务，将整个D:\phpstudy_pro\目录压缩为pikachu_env.zip。新机器解压后，只需双击phpstudy_pro.exe，所有配置、数据库、靶场文件全部就绪。
2. 一键重置脚本：在www目录下新建reset_pikachu.bat，内容为：

   @echo off echo 正在重置Pikachu数据库... "D:\phpstudy_pro\Extensions\MySQL\MySQL5.7.29\bin\mysql.exe" -uroot -proot -e "DROP DATABASE IF EXISTS pikachu; CREATE DATABASE pikachu CHARACTER SET utf8mb4;" "D:\phpstudy_pro\Extensions\MySQL\MySQL5.7.29\bin\mysql.exe" -uroot -proot pikachu < "D:\phpstudy_pro\WWW\pikachu\install\pikachu.sql" echo 重置完成！ pause

   双击即可秒级恢复数据库。
3. 多端口隔离：为不同学员分配不同端口，避免互相干扰。复制pikachu文件夹为pikachu_01、pikachu_02，分别修改其config.php中的数据库名（pikachu_01、pikachu_02），再在Apache配置中为每个目录绑定独立端口（如8081、8082），实现物理隔离。

我在给某高校信安社团做培训时，用这套方法让32名学员在同一台服务器上各自拥有独立靶场，全程零冲突。技术本身没有高下，关键是你是否把它用成了杠杆。

最后分享一个细节：Pikachu的vul/upload/模块上传文件后，默认保存在D:\phpstudy_pro\WWW\pikachu\upload\，但这个目录在Windows下可能被杀毒软件拦截。如果上传成功却看不到文件，先检查Windows Defender的“病毒和威胁防护”→“管理设置”→“添加或删除排除项”，将upload文件夹加入排除列表。这不是漏洞，而是真实攻防中必须面对的环境噪音——安全从来不是在真空里练出来的，而是在各种“不完美”中磨出来的。