Prefacio:
Hay muchas competencias de CTF recientemente. Para los amigos que quieren aprender o participar en competencias de CTF, las herramientas y los campos de práctica de CTF son esenciales. Hoy compartiré con ustedes los recursos de CTF que he recopilado, con la esperanza de que les sean útiles.
Herramienta en línea del CTF
En primer lugar, me gustaría recomendar los 3 sitios web de herramientas en línea de CTF que uso con frecuencia.
1. CTF Online Toolbox: http://ctf.ssleye.com/ contiene codificación, cifrado y descifrado, y algoritmos comúnmente utilizados en las competencias de CTF.
2. Caja de herramientas de cifrado y descifrado CTF: http://www.atoolbox.net/Category.php?Id=27
3. Herramientas en línea de ctfhub: https://www.ctfhub.com/#/tools
Campo de tiro CTF
Entonces recomiendo mi campo de tiro habitual.
1. Campo de tiro en línea
BugKu (simple, recomendado para principiantes y herramientas en línea) https://ctf.bugku.com/index.html
Campo de tiro de CTFhub (incluidas las preguntas de competencias anteriores) https://www.ctfhub.com/#/index
Campo de tiro CTFshow (más preguntas) https://ctf.show/challenges
Network Attack and Defense World (muy buen sitio web, pero siempre mantenido) https://adworld.xctf.org.cn/
CTFwiki (incluidos varios puntos de conocimiento de CTF, dedicados a la alfabetización) https://ctf-wiki.org/misc/recon/
BUUCTF (recomendado, pero no apto para principiantes) https://buuoj.cn/
i Chunqiu (recomendado, así como el entorno de reproducción de vulnerabilidades) https://www.ichunqiu.com/competition
xctf (conocido) https://adworld.xctf.org.cn/
DO de la Universidad de Zhejiang (recomendado para comenzar con pwn) https://www.jarvisoj.com/
2. Construye tu propio campo de tiro
- Campo de tiro patentado de SQLI-LABS
Contiene la mayoría de los tipos de inyección de sql y utiliza un modo innovador para explotar las vulnerabilidades de la inyección de sql
Dirección de descarga https://github.com/Audi-1/sqli-labs
- Rango patentado de DVWA
Campo de tiro recomendado para principiantes. El propósito de DVWA es practicar algunas de las vulnerabilidades web más comunes a través de una interfaz fácil de usar. Estas vulnerabilidades tienen diferentes dificultades. Es una máquina objetivo integral que cubre una variedad de vulnerabilidades.
https://github.com/ethicalhack3r/DVWA
- Gama OWASP
El campo de tiro es un campo de tiro especialmente desarrollado por OWASP para investigadores de seguridad web y principiantes, que incluye una gran cantidad de entornos de experimentos de entrenamiento y aplicaciones web reales con vulnerabilidades de seguridad conocidas;
Después de descargar el campo de tiro del sitio web oficial, es una máquina virtual integrada, que se puede abrir directamente en la máquina virtual, y la máquina física puede acceder a la plataforma web accediendo a la ip.Si inicia sesión con root owaspbwa, usted volverá a la dirección del campo de tiro y podrá acceder directamente al campo de tiro. dvwa es adecuado para comprender vulnerabilidades y exploits simples, mientras que owaspbwa está más cerca del entorno empresarial complejo real.
Dirección de descarga: https://sourceforge.net/projects/
-
Campo de tiro DSVW
Damn Small Vulnerable Web (DSVW) es un sistema de ejercicio de vulnerabilidad de aplicaciones web desarrollado en lenguaje Python. Su sistema consta de un solo archivo de secuencia de comandos de Python, que cubre 26 tipos de entornos de vulnerabilidad de aplicaciones web, y la cantidad de líneas de código de secuencia de comandos se controla dentro de las líneas 100. La versión actual es v0.1m. Requiere python (2.6.x o 2.7) y la biblioteca lxml instalada.
Dirección de descarga: git clon https://github.com/stamparm/DSVW.git
-
Gama WebGoat
WebGoat es un programa de campo de tiro de Java desarrollado por OWASP para experimentos de vulnerabilidad web para ilustrar vulnerabilidades de seguridad en aplicaciones web. WebGoat se ejecuta en una plataforma con una máquina virtual Java y actualmente brinda más de 30 cursos de capacitación, que incluyen: ataque de secuencias de comandos entre sitios (XSS), control de acceso, seguridad de subprocesos, operación de campos ocultos, manipulación de parámetros y cookies de sesión débil, SQL inyección ciega, inyección SQL numérica, inyección SQL de cadenas, servicios web, falla de autenticación abierta, comentarios HTML peligrosos, etc. WebGoat ofrece una serie de tutoriales de aprendizaje sobre seguridad web, y algunos cursos también ofrecen demostraciones en video para guiar a los usuarios en el uso de estas vulnerabilidades para atacar.
La dirección de GitHub es: https://github.com/WebGoat/WebGoat
-
Campo de tiro XVWA
Xtreme Vulnerable Web Application (XVWA) es un campo de tiro escrito en PHP/MySQL, que puede ayudar a los principiantes a aprender rápidamente una postura segura.
https://github.com/s4n7h0/xvwa
-
Campo de tiro de Pikachu
Una interesante plataforma de prueba de vulnerabilidades de seguridad web, similar a DVWA, pero se ve más clara que la anterior (en chino), con una página de vulnerabilidades simple, no tan monótona.
Dirección del proyecto: github.com/zhuifengshao
-
Gama Vulnhub
Vulnhub es una plataforma de campo de tiro que proporciona una variedad de entornos de vulnerabilidad para que los entusiastas de la seguridad aprendan y usen. La mayoría de los entornos son archivos de imagen de máquina virtual. Las imágenes están prediseñadas con varias vulnerabilidades y deben ejecutarse con VMware o VirtualBox. Cada imagen tendrá un objetivo de craqueo, principalmente Boot2root, desde iniciar la máquina virtual hasta obtener la autoridad de root del sistema operativo y ver la bandera.
Enlace de descarga https://download.vulnhub.com/breach/Breach-1.0.zip