靶场实战
自《网络安全法》实施以后,在互联网上未经授权的渗透测试是违法行为。缺少了实战的战场,我们现在一般用靶场来进行实战的渗透测试学习,因为这样不会影响别人网站服务的正常运行,不会影响到别人的业务。
我在这里推荐几个靶场,然后可以对靶场里面的漏洞进行针对化学习并实战。
线上靶场推荐
https://hack.zkaq.cn/ 封神台,掌控安全的线上靶场
https://www.ichunqiu.com/ I春秋,很早就出来的一个综合的靶场。
https://redtiger.labs.overthewire.org/ sql注入练习靶场
https://overthewire.org/wargames/ 特色的闯关模式让你情不自禁的学习,知识涵盖 Linux 命令、web 安全、密码学、系统安全、逆向、代码审计等等。
https://www.gameofhacks.com/ 综合性黑客游戏
https://www.hackthebox.eu/ 网站很炫酷,在里面的有很多靶机(但是会员才能玩历史靶机),各种难度层,从小白到大佬,都有适合你的靶机,并且经常更新,想要提升自我,不断挑战的同学可以尝试。
综合性的靶场
http://hackinglab.cn/index.php
https://lab.pentestit.ru/ #国外靶场
https://www.91ctf.com/session/login # 安恒的靶场
https://exploit-exercises.com 一个高端平台,里面有一些硬件、云安全、内网渗透的题
http://www.wechall.net/challs 国外一个综合性的靶场
本地环境靶场搭建
https://vuepress.mirror.docker-practice.com/#%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8F docker从入门到实践
https://github.com/vulhub/vulhub。vulhub 这个是p神的一个项目,可以用docker-compose去复现漏洞环境, 文档:https://vulhub.org/#/docs
https://github.com/Medicean/VulApps 用docker构建的漏洞App
https://github.com/c0ny1/vulstudy 使用docker快速搭建各大漏洞靶场,目前可以一键搭建17个靶场。
https://github.com/rapid7/metasploitable3/ metasploit的虚拟机靶场
https://github.com/digininja/DVWA DVWA。算是最早的靶场,很多高校一开始就是练习这个靶场
https://github.com/zhuifengshaonianhanlu/pikachu pikachu靶场,我在教程里也使用了这个靶场进行讲解
https://github.com/Audi-1/sqli-labs 练习Sql注入的靶场,包含所有类型的sql注入
https://github.com/yaofeifly/Vub_ENV 包含各种漏洞的源码和环境
https://github.com/SecGen/SecGen 能自定义创建随机漏洞的靶场
https://github.com/Acmesec/DoraBox。DoraBox - 基础Web漏洞训练靶场
https://github.com/wgpsec/VulnRange
虚拟机靶场
这个我都为大家准备好了,各种漏洞组件和metasploit使用的靶场,在公众号回复:靶场,即可获得
我的公众号:风炫安全
CTF比赛推荐
https://www.xctf.org.cn/ XCTF
https://buuoj.cn/ BUUCTF ,ctf题库和一些比赛
https://www.ichunqiu.com/competition i春秋
https://ctfrank.org/ CTFrank
https://ctftime.org 国外的
实验吧: http://www.shiyanbar.com
XCTF 实训平台: http://oj.xctf.org.cn
安恒周周练:https://www.linkedbyx.com/home
XSS专练:https://xss.haozi.me/tools/xss-encode/
BugkuCTF: https://ctf.bugku.com/