admin管理员组文章数量:1659540
本公众号名称从“网络安全研究所”正式改为“网络安全实验室”
有招聘需求的可以后台联系运营人员。
对于想学习或者参加CTF比赛的朋友来说,CTF工具、练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助。
CTF在线工具
首先给大家推荐我自己常用的3个CTF在线工具网站,内容齐全,收藏备用。
1、CTF在线工具箱:http://ctf.ssleye/ 包含CTF比赛中常用的编码、加解密、算法。
2、CTF加解密工具箱:http://www.atoolbox/Category.php?Id=27
3、ctfhub在线工具:https://www.ctfhub/#/tools
4、还有一些常用的网站
字符串2进制互转:http://www.5ixuexiwang/str/from-binary.php
栅栏密码:http://www.practicalcryptography/ciphers/classical-era/rail-fence/
语言加密(将明文加密为各种语言):https://www.qqxiuzi/bianma/wenbenjiami.php
与佛论禅:https://www.keyfc/bbs/tools/tudoucode.aspx
维吉尼亚解密:https://www.guballa.de/vigenere-solver
培根密码:https://mothereff.in/bacon
摩尔斯电码:http://www.zhongguosou/zonghe/moErSiCodeConverter.aspx
盲文在线解密:https://www.dcode.fr/braille-alphabet
凯撒密码:https://www.dcode.fr/caesar-cipher
进制转换:https://tool.oschina/hexconvert/
词频分析:https://quipqiup/
草料二维码:https://cli.im/
UUencode:http://web.chacuo/charsetuuencode
URL编码解码:https://meyerweb/eric/tools/dencoder/
Serpent加密解密:http://serpent.online-domain-tools/
ROT编码(5 13 18 47):https://www.qqxiuzi/bianma/ROT5-13-18-47.php
MIME编码:https://dogmamix/MimeHeadersDecoder/
MD5:https://www.cmd5/
JS加密:https://tool.lu/js/
JSfuck:https://utf-8.jp/public/jsfuck.html
JJencode:https://www.120muban/tools/jjencode/
CRC32:https://crc32generator.de/
代码在线运行:https://tool.lu/coderunner/
Base编码解码:http://ctf.ssleye/
AES解密:http://tool.chacuo/cryptaes
ADFGVX密码:http://www.atoolbox/Tool.php?Id=917
AAencode:https://utf-8.jp/public/aaencode.html
CTF赛事篇
i春秋和XCTF社区经常会发布各类CTF赛事
i春秋: https://www.ichunqiu/competition
XCTF社区:https://time.xctf
CTFwiki(入门必看wiki):
https://ctf-wiki.github.io/ctf-wiki/#/introduction
CTFrank: https://ctfrank/
CTFtime(基本都是国外的): https://ctftime
公众号:网络安全实验室,国内外CTF比赛时间发布,各种CTF常用工具
靶场篇
1、在线靶场
BugKu(简单,推荐新手入门,还有在线工具)https://ctf.bugku/index.html
北京联合大学BUUCTF(新靶场,难度中上,搜集了很多大赛原题)
https://buuoj/
CTFhub靶场(含历年赛题) https://www.ctfhub/#/index
CTFshow靶场(题较多) https://ctf.show/challenges
网络攻防世界(挺好的网站,不过老是维护) https://adworld.xctf/
CTFwiki(含CTF各项知识点,扫盲专用)https://ctf-wiki/misc/recon/
BUUCTF(推荐,但不适合新手)https://buuoj/
i春秋(推荐,还有漏洞复现环境)https://www.ichunqiu/competition
xctf(知名)https://adworld.xctf/
浙大OJ(pwn手入门推荐)https://www.jarvisoj/
2、自己搭建靶场
SQLI-LABS专有靶场
包含了大多数的sql注入类型,以一种闯关模式,对于sql注入进行漏洞利用 下载地址 https://github/Audi-1/sqli-labs
DVWA专有靶场
推荐新手首选靶场,DVWA的目的是通过简单易用的界面来实践一些最常见的Web漏洞,这些漏洞具有不同的难度,是一个涵盖了多种漏洞一个综合的靶机 https://github/ethicalhack3r/DVWA
OWASP靶场
靶场由OWASP专门为Web安全研究者和初学者开发的一个靶场,包含了大量存在已知安全漏洞的训练实验环境和真实Web应用程序;
靶场在官网下载后是一个集成虚拟机,可以直接在vm中打开,物理机访问ip即可访问到web平台,使用root owaspbwa 登入就会返回靶场地址,直接可以访问靶场。dvwa适合了解漏洞和简单的漏洞利用,owaspbwa则就更贴近实际的复杂的业务环境。下载地址:https://sourceforge/projects/
DSVW靶场
Damn Small Vulnerable Web (DSVW) 是使用 Python 语言开发的 Web应用漏洞 的演练系统。其系统只有一个 python 的脚本文件组成, 当中涵盖了 26 种 Web应用漏洞环境, 并且脚本代码行数控制在了100行以内, 当前版本v0.1m。需要python (2.6.x 或 2.7)并且得安装lxml库。下载地址:git clone https://github/stamparm/DSVW.git
WebGoat靶场
WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。
GitHub地址为:https://github/WebGoat/WebGoat
XVWA靶场
Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写的靶场,可以帮助初学者快速学习安全姿势。https://github/s4n7h0/xvwa
Pikachu靶场
一个好玩的 Web 安全漏洞测试平台,跟 DVWA 类似,不过看上去比前者清晰(中文的),有简单的漏洞页面,不那么单调。
项目地址:github/zhuifengshao
Vulnhub靶场
Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行。每个镜像会有破解的目标,大多是Boot2root,从启动虚机到获取操作系统的root权限和查看flag。
下载链接https://download.vulnhub/breach/Breach-1.0.zip
mutillidaemutillidae
mutillidaemutillidae是一个免费,开源的Web应用程序,提供专门被允许的安全测试和入侵的Web应用程序。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.开发的一款自由和开放源码的Web应用程序。其中包含了丰富的渗透测试项目,如SQL注入、跨站脚本、clickjacking、本地文件包含、远程代码执行等.
链接地址:http://sourceforge/projects/mutillidae
SQLol
SQLol是一个可配置得SQL注入测试平台,它包含了一系列的挑战任务,让你在挑战中测试和学习SQL注入语句。此程序在Austin黑客会议上由Spider Labs发布。
链接地址:https://github/SpiderLabs/SQLol
hackxor
hackxor是由albino开发的一个online黑客游戏,亦可以下载安装完整版进行部署,包括常见的WEB漏洞演练。包含常见的漏洞XSS、CSRF、SQL注入、RCE等。
链接地址:http://sourceforge/projects/hackxor
BodgeIt
BodgeIt是一个Java编写的脆弱性WEB程序。他包含了XSS、SQL注入、调试代码、CSRF、不安全的对象应用以及程序逻辑上面的一些问题。Exploit KB
该程序包含了各种存在漏洞的WEB应用,可以测试各种SQL注入漏洞。此应用程序还包含在BT5里
链接地址:http://exploit.co.il/projects/vuln-web-app
WackoPicko
WackoPicko是由Adam Doupé.发布的一个脆弱的Web应用程序,用于测试Web应用程序漏洞扫描工具。它包含了命令行注射、sessionid问题、文件包含、参数篡改、sql注入、xss、flash form反射性xss、弱口令扫描等。
链接地址:https://github/adamdoupe/WackoPicko
XSSeducation
XSSeducation是由AJ00200开发的一套专门测试跨站的程序。里面包含了各种场景的测试。
链接地址:http://wiki.aj00200/wiki/XSSeducation
Google XSS 游戏
Google推出的XSS小游戏
链接地址:https://xss-game.appspot/
Metasploitable
著名的渗透框架 Metasploit 出品方 rapid7 还提供了配置好的环境 Metasploitable,是一个打包好的操作系统虚拟机镜像,使用 VMWare 的格式。可以使用 VMWare Workstation(也可以用免费精简版的 VMWare Player )“开机”运行。
链接地址:https://information.rapid7/metasploitable-download.html
下载地址:
http://downloads.metasploit/data/metasploitable/metasploitable-linux-2.0.0.zip
OWASP Broken Web Applications Project
跟 Metasploitable 类似,这也是打包好的虚拟机镜像,预装了许多带有漏洞的 Web 应用,有真实世界里的流行网站应用如 Joomla, WordPress 等的历史版本(带公开漏洞),也有 WebGoat, DVWA 等专门用于漏洞测试的模拟环境。
链接地址:https://code.google/p/owaspbwa/
XCTF_OJ
XCTF-OJ (X Capture The Flag Online Judge)是由 XCTF 组委会组织开发并面向 XCTF 联赛参赛者提供的网络安全技术对抗赛练习平台。XCTF-OJ 平台将汇集国内外 CTF 网络安全竞赛的真题题库,并支持对部分可获取在线题目交互环境的重现恢复,XCTF 联赛后续赛事在赛后也会把赛题离线文件和在线交互环境汇总至 XCTF-OJ 平台,形成目前全球 CTF 社区唯一一个提供赛题重现复盘练习环境的站点资源。
链接地址:http://oj.xctf/
PWNABLE.KR
以上都是网页服务器安全相关的靶场,再推荐一个练习二进制 pwn 的网站:Pwnable.kr。pwnable 这类题目在国外 CTF 较为多见,通常会搭建一个有漏洞(如缓冲区溢出等)的 telnet 服务,给出这个服务后端的二进制可执行文件让答题者逆向,简单一点的会直接给源代码,找出漏洞并编写利用程序后直接攻下目标服务获得答案。这个网站里由简到难列出了许多关卡,现在就上手试试吧。
链接地址:http://pwnable.kr/%3Fp%3Dprobs
CTF学习路线图
最详细CTF各个方向学习路线+解题思维导图。
网络安全攻防&CTF部落
高质量网络安全攻防与CTF社区,每日分享行业最新资讯,交流解答各类技术问题。星球中可以获取各类攻防、CTF信息、工具、技巧、书籍、各种资源,发布政府机关、企业、厂商网络安全招聘信息,及内类内推资格。所有发布的内容均精心挑选、成体系化,让你远离无用信息及零碎的知识点。目前星球内有1000多个主题内容,1000个攻防类文件下载,各类电子书、教程。
加入星球后获得:
各类网络安全攻防、CTF比赛信息、解题工具、技巧、书籍、靶场资源;
攻防思维导图,0基础开启网络安全学习之路;
遇到任何技术题都快速提问与讨论交流的思路;
组织队伍参与各类CTF比赛;
面试大厂心得及内推资格;
加入星球后,可以跟我 1 对 1 免费提问交流、帮你确定安全学习方向和路线、和大家一起交流学习,从而激励你持续学习!需要什么资料也可以给我留言哦!
随着加入的星友越多,压力就越大,所以保证质量的同时,会适当提高门槛。现在限时限量扫码抢购¥10元优惠券体验三天,如果不满意三天可以免费全额退款,尽早体验、以优惠价加入肯定是不亏的。
如果觉得有用,记得关注公众号、收藏文章哦!
关注公众号,回复“CTF”,领取CTF各方向学习/解题思维导图。回复“面试”,领取网安面试必考题及面试经验。
往期文章
CTF之misc杂项解题技巧总结(六)——视频、音频文件
CTF之misc杂项解题技巧总结(五)——图片文件
CTF入门必备之题型介绍
CTF之misc杂项解题技巧总结(四)——SWF游戏和取证分析
CTF之misc杂项解题技巧总结(三)——压缩文件
CTF之misc杂项解题技巧总结(二)——隐写术
CTF之misc杂项解题技巧总结(一)——编码与加密
干货|CTF工具资源库
11月全球CTF比赛时间汇总来了!
新手如何入门CTF?ctf比赛/学习资源整理,记得收藏!
CTF之web常见题型及解题技巧总结
CTF学习之CRYPTO(密码学)总结
CTF pwn 中最通俗易懂的堆入坑指南
CTF之misc杂项解题技巧总结(七)——流量分析、搜索引擎及
12月全球CTF比赛时间汇总来了!
ctf比赛/学习资源整理,记得收藏!文末有CTF群
CTF-REVERSE练习之逆向初探
CTF学习路线推荐,建议收藏
CTF解题基本思路步骤(misc和web)
Linux PWN从入门到熟练
Linux PWN从入门到熟练(二)
CTF apk 安卓逆向考点、例题及三款移动应用安全分析平台
CTF 六大方向基础工具合集
CTF-MISC基础-压缩包隐写总结及常见套路
建议收藏,CTF网络安全各方向入门知识汇总
超详细,手把手教你打造CTF动态靶场
移动安全入门教程--Xposed篇
基于Ubuntu搭建CTFd平台(全网最全)
年度总结,2022年CTF精华文章汇总
1月全球CTF比赛时间汇总来了!
CTF指南--隐写术总结
ctf杂项misc之文件修复,含文件结构修复、高度修复、标识修复
ctf杂项misc之音频隐写总结
CTF之web安全赛题解析
一道简单Chacha20_RC4算法CTF题目
CTF学习、项目、工具知识仓库
网络安全个人技能发展路线图
CTF-综合测试(高难度)【超详细】
CTFHUB--技能树--SSRF全解(上篇)
CTFHUB--技能树--SSRF全解(下篇)
网络安全初、中、高阶学习路线图,建议收藏!
2023年网络安全技术自学路线图及职业选择方向
逆向分析学习入门教程
CTF PWN新手入门篇,PWN学习总结
网络安全ctf比赛/学习资源整理,解题工具、思路、靶场、学习路线,推荐收藏!
网络安全思维导图
网络安全 CTF(加密, 解密)全过程解析
CTF网络安全之Misc-zip压缩包分析
CTF无线网络安全技术基础
2月国内外CTF比赛时间汇总来了!
网络安全面试题(含答案)
网络安全思维导图
Kali linux无线网络渗透详解笔记
数据库语法整理及WAF绕过方式
干货|网络安全渗透测试面试问题汇总,持续更新 建议收藏
几道ctf的密码入门题目
CTFer成长之路之CTF中的SQL注入
CTFer成长之路之命令执行漏洞
端口漏洞总结
ctf比赛linux渗透测试常用命令,记得收藏
2022年网络攻击事件盘点
END
扫码关注
网络安全研究所
更多精彩等着你
版权声明:本文标题:常用的网络安全靶场、工具箱、学习路线推荐 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1729837891a1214525.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论