序文:
最近、CTF の大会がたくさんあります。CTF の大会を習ったり、参加したいと考えている友達にとって、CTF ツールや射撃練習場は欠かせません。今日は、皆さんのお役に立てればと思い、私が集めた CTF のリソースを共有します。
CTFオンラインツール
まずは私がよく利用しているCTFオンラインツールサイトを3つ紹介します。
1. CTF オンライン ツールボックス: http://ctf.ssleye.com/ には、CTF 競技会で一般的に使用されるコーディング、暗号化と復号化、およびアルゴリズムが含まれています。
2. CTF 暗号化および復号化ツールボックス: http://www.atoolbox.net/Category.php?Id=27
3. ctfhub オンライン ツール: https://www.ctfhub.com/#/tools
CTF射撃場
それならいつもの射撃場をお勧めします
1.オンライン射撃場
BugKu(シンプル、初心者におすすめ、オンラインツール) https://ctf.bugku.com/index.html
CTFhub射撃場(大会過去問含む) https://www.ctfhub.com/#/index
CTFshow 射撃場 (その他の質問) https://ctf.show/challenges
Network Attack and Defense World (非常に優れた Web サイトですが、常に保守されています) https://adworld.xctf.org.cn/
CTFwiki (CTF のさまざまな知識ポイントを含む、リテラシー専用) https://ctf-wiki.org/misc/recon/
BUUCTF (推奨ですが初心者には適していません) https://buuoj.cn/
i Chunqiu (推奨、脆弱性再現環境) https://www.ichunqiu.com/competition
xctf (有名) https://adworld.xctf.org.cn/
浙江大学 OJ(pwn入門におすすめ) https://www.jarvisoj.com/
2. 自分だけの射撃場を構築する
- SQLI-LABS 独自の射撃場
ほとんどの種類の SQL インジェクションが含まれており、ブレークスルー モードを使用して SQL インジェクションの脆弱性を悪用します。
ダウンロードアドレス https://github.com/Audi-1/sqli-labs
- DVWA 独自の範囲
初心者におすすめの射撃場. DVWA の目的は、使いやすいインターフェイスを通じて、最も一般的な Web 脆弱性のいくつかを練習することです. これらの脆弱性には、さまざまな困難があります. さまざまな脆弱性をカバーする包括的なターゲット マシンです。
https://github.com/ethicalhack3r/DVWA
- OWASP 範囲
射撃場は、OWASP が Web セキュリティ研究者や初心者向けに特別に開発した射撃場で、多数のトレーニング実験環境や既知のセキュリティ脆弱性を持つ実際の Web アプリケーションが含まれています。
射撃場を公式 Web サイトからダウンロードすると、統合された仮想マシンとなり、VM で直接開くことができ、物理マシンは IP にアクセスすることで Web プラットフォームにアクセスできます。root owaspbwa でログインすると、射撃場のアドレスに戻り、直接射撃場にアクセスできるようになります。dvwa は脆弱性や単純なエクスプロイトを理解するのに適していますが、owaspbwa は実際の複雑なビジネス環境に近いものです。
ダウンロードアドレス: https://sourceforge.net/projects/
-
DSVW射撃場
Damn Small Vulnerable Web (DSVW) は、Python 言語で開発された Web アプリケーションの脆弱性演習システムです。そのシステムは、26種類のWebアプリケーション脆弱性環境をカバーするたった1つのPythonスクリプトファイルで構成されており、スクリプトコードの行数は100行以内に制御されており、現在のバージョンはv0.1mです。Python (2.6.x または 2.7) と lxml ライブラリがインストールされている必要があります。
ダウンロードアドレス:git clone https://github.com/stamparm/DSVW.git
-
ウェブゴート山脈
WebGoat は、Web アプリケーションのセキュリティ脆弱性を説明するための Web 脆弱性実験用に OWASP によって開発された Java 射撃場プログラムです。WebGoat は Java 仮想マシンを備えたプラットフォーム上で実行され、現在、クロスサイト スクリプティング攻撃 (XSS)、アクセス制御、スレッド セーフティ、隠しフィールドの操作、パラメータの操作、弱いセッション Cookie、SQL などの 30 以上のトレーニング コースを提供しています。ブラインド インジェクション、数値 SQL インジェクション、文字列 SQL インジェクション、Web サービス、オープン認証の失敗、危険な HTML コメントなど。WebGoat は、一連の Web セキュリティ学習チュートリアルを提供しており、一部のコースでは、これらの脆弱性を利用して攻撃する方法をユーザーに案内するビデオ デモンストレーションも提供しています。
GitHub アドレスは: https://github.com/WebGoat/WebGoat
-
XVWA射撃場
Xtreme Vulnerable Web Application (XVWA) は、PHP/MySQL で書かれた射撃場で、初心者が安全な姿勢を素早く学ぶのに役立ちます。
https://github.com/s4n7h0/xvwa
-
ピカチュウ射撃場
DVWA に似た興味深い Web セキュリティ脆弱性テスト プラットフォームですが、前者 (中国語) よりもわかりやすく、脆弱性ページが単調ではなくシンプルです。
プロジェクトアドレス: github.com/zhuifengshao
-
ヴァルンハブ山脈
Vulnhub は、セキュリティ愛好家が学習して使用できるさまざまな脆弱性環境を提供する射撃場プラットフォームです。ほとんどの環境は仮想マシン イメージ ファイルです。イメージはさまざまな脆弱性を備えて事前に設計されており、VMware または VirtualBox で実行する必要があります。各イメージには、仮想マシンの起動からオペレーティング システムの root 権限の取得、フラグの表示までのクラッキング ターゲット (主に Boot2root) が含まれます。
ダウンロードリンク https://download.vulnhub.com/breach/Breach-1.0.zip