CTF を学びたい、あるいは競技会に参加したいと考えている人にとって、CTF ツールと練習場は不可欠です。今日は、私が集めた CTF リソースを皆さんの参考になれば幸いです。
CTFオンラインツール
まず最初に、私がよく利用している 3 つの CTF オンライン ツール Web サイトをお勧めします。これらの Web サイトには完全なコンテンツがあり、将来使用するために収集できます。
1. CTF オンライン ツールボックス: http://ctf.ssleye.com/ CTF 競技会で一般的に使用されるコーディング、暗号化、復号化、およびアルゴリズムが含まれています。
2. CTF 暗号化および復号化ツールボックス: http://www.atoolbox.net/Category.php?Id=27
3. ctfhub オンライン ツール: https://www.ctfhub.com/#/tools
4. よく使われるウェブサイトもいくつかあります
文字列バイナリ変換: http://www.5ixuexiwang.com/str/from-binary.php
フェンス暗号: http://www.practicalcryptography.com/ciphers/classical-era/rail-fence/
言語暗号化 (平文をさまざまな言語に暗号化): https://www.qqxiuzi.cn/bianma/wenbenjiami.php
ブッダと禅について語る: https://www.keyfc.net/bbs/tools/tudoucode.aspx
バージニア復号化: https://www.guballa.de/vigenere-solver
ベーコンのパスワード: https://mothereff.in/bacon
モールス信号: http://www.zhongguosou.com/zonghe/moErSiCodeConverter.aspx
オンライン点字解読: https://www.dcode.fr/braille-alphabet
シーザー暗号: https://www.dcode.fr/caesar-cipher
16 進数変換: https://tool.oschina.net/hexconvert/
単語頻度分析: https://quipqiup.com/
飼料用QRコード:https://cli.im/
UUencode:http://web.chacuo.net/charsetuuencode
URL エンコードとデコード: https://meyerweb.com/eric/tools/dencoder/
Serpent の暗号化と復号化: http://serpent.online-domain-tools.com/
ROT コーディング (5 13 18 47): https://www.qqxiuzi.cn/bianma/ROT5-13-18-47.php
MIME エンコード: https://dogmamix.com/MimeHeadersDecoder/
MD5:https://www.cmd5.com/
JS暗号化: https://tool.lu/js/
JSfuck:https://utf-8.jp/public/jsfuck.html
JJencode:https://www.120muban.com/tools/jjencode/
CRC32:https://crc32generator.de/
コードはオンラインで実行されます: https://tool.lu/coderunner/
基本エンコードとデコード: http://ctf.ssleye.com/
AES 復号化: http://tool.chacuo.net/cryptaes
ADFGVX パスワード: http://www.atoolbox.net/Tool.php?Id=917
AAencode:https://utf-8.jp/public/aaencode.html
CTFイベント
iChunqiu および XCTF コミュニティは、さまざまな CTF イベントを頻繁に公開します。
i春秋: https://www.ichunqiu.com/competition
XCTF コミュニティ: https://time.xctf.org.cn
CTFwiki (始めるために必読の Wiki):
https://ctf-wiki.github.io/ctf-wiki/#/introduction
CTFrank: https://ctfrank.org/
CTFtime (基本的に外部): https://ctftime.org
公開アカウント:サイバーセキュリティ研究所、国内外のCTF競技時間の公開、よく使われる各種CTFツール
射撃練習場
1.オンライン射撃場
BugKu (シンプル、初心者におすすめのオンラインツール) https://ctf.bugku.com/index.html
北京連合大学 BUUCTF (新しい射撃場、中~上級の難易度、独自の競技問題を多数収録)
https://buuoj.cn/
CTFhub射撃場(大会過去問含む) https://www.ctfhub.com/#/index
CTFshow 射撃場 (その他の質問) https://ctf.show/challenges
Network Attack and Defense World (非常に優れた Web サイトですが、常にメンテナンス中です) https://adworld.xctf.org.cn/
CTFwiki (読み書き能力に特化した、さまざまな CTF 知識ポイントが含まれています) https://ctf-wiki.org/misc/recon/
BUUCTF (推奨ですが初心者には適していません) https://buuoj.cn/
i Chunqiu (推奨、脆弱性再発環境もあります) https://www.ichunqiu.com/competition
xctf (有名) https://adworld.xctf.org.cn/
浙江大学OJ(pwn初心者におすすめ) https://www.jarvisoj.com/
2. 自分だけの射撃場を構築する
- SQLI-LABS 独自の射撃場
SQL インジェクションの脆弱性を悪用するブレークスルー モードを使用する、ほとんどの SQL インジェクション タイプが含まれています。ダウンロード アドレス https://github.com/Audi-1/sqli-labs
- DVWA独自の射撃場
初心者の最初の選択肢として推奨される DVWA は、シンプルで使いやすいインターフェイスを通じて、最も一般的な Web 脆弱性のいくつかを実践することを目的としています。これらの脆弱性には、さまざまな難易度があります。さまざまな脆弱性をカバーする包括的なターゲット マシンです。 https://github.com/ethicalhack3r/DVWA
- OWASP射撃場
射撃場は、OWASP が Web セキュリティ研究者や初心者向けに特別に開発した射撃場で、トレーニング用の実験環境や、既知のセキュリティ脆弱性を持つ実際の Web アプリケーションが多数含まれています。
射撃場は公式 Web サイトからダウンロードした統合仮想マシンであり、VM で直接開くことができます。物理マシンは IP アドレスにアクセスすることで Web プラットフォームにアクセスできます。root owaspbwa を使用してログインすると、射撃場のアドレスが返されます射撃場に直接アクセスできます。dvwa は脆弱性や単純なエクスプロイトを理解するのに適していますが、owaspbwa は実際の複雑なビジネス環境に近いものです。ダウンロードアドレス: https://sourceforge.net/projects/
Damn Small Vulnerable Web (DSVW) は、Python 言語を使用して開発された Web アプリケーションの脆弱性訓練システムです。このシステムは、26 の Web アプリケーション脆弱性環境をカバーする 1 つの Python スクリプト ファイルで構成され、スクリプト コードの行数は 100 行以内に制御されており、現在のバージョンは v0.1m です。Python (2.6.x または 2.7) と lxml ライブラリが必要です。ダウンロードアドレス:git clone https://github.com/stamparm/DSVW.git
WebGoat は、Web アプリケーションのセキュリティ脆弱性を説明するために Web 脆弱性実験を実施するために OWASP 組織によって開発された Java 射撃場プログラムです。WebGoat は Java 仮想マシンを備えたプラットフォーム上で実行され、現在、クロスサイト スクリプティング攻撃 (XSS)、アクセス制御、スレッド セーフティ、隠しフィールドの操作、パラメータの操作、弱いセッション Cookie、SQL ブラインドなどの 30 以上のトレーニング コースを提供しています。インジェクション、数値 SQL インジェクション、文字列 SQL インジェクション、Web サービス、オープン認証の失敗、危険な HTML コメントなど。WebGoat は一連の Web セキュリティ学習チュートリアルを提供しており、一部のコースではユーザーがこれらの脆弱性を攻撃に悪用する方法をガイドするビデオ デモンストレーションも提供しています。
GitHub アドレスは: https://github.com/WebGoat/WebGoat
- XVWA射撃場
Xtreme Vulnerable Web Application (XVWA) は、PHP/MySQL で書かれた射撃場で、初心者が安全な姿勢を素早く学ぶのに役立ちます。https://github.com/s4n7h0/xvwa
楽しい Web セキュリティ脆弱性テスト プラットフォーム。DVWA に似ていますが、前者 (中国語) よりもわかりやすく、脆弱性ページがシンプルで、それほど単調ではありません。
プロジェクトアドレス: github.com/zhuifengshao
Vulnhub は、セキュリティ愛好家が侵入を学ぶためのさまざまな脆弱性環境を提供する射撃場プラットフォームです。ほとんどの環境は、準備された仮想マシン イメージ ファイルです。イメージはさまざまな脆弱性を備えて事前に設計されており、VMware または VirtualBox を使用して実行する必要があります。各イメージには、仮想マシンの起動からオペレーティング システムの root 権限の取得、フラグの表示に至るまで、主に Boot2root をクラッキングするターゲットがあります。
ダウンロードリンク https://download.vulnhub.com/breach/Breach-1.0.zip
mutillidaemutillidae は、Web アプリケーションへの特殊な許可付きセキュリティ テストと侵入を提供する、無料のオープン ソース Web アプリケーションです。これは、Adrian "Irongeek" Crenshaw と Jeremy "webpwnized" Druin によって開発された無料のオープンソース Web アプリケーションです。SQL インジェクション、クロスサイト スクリプティング、クリックジャッキング、ローカル ファイル インクルード、リモート コード実行など、豊富なペネトレーション テスト プロジェクトが含まれています。
リンクアドレス: http://sourceforge.net/projects/mutillidae
SQLol は、SQL インジェクション ステートメントをテストおよび学習できる一連のチャレンジ タスクを含む、構成可能な SQL インジェクション テスト プラットフォームです。このプログラムは、オースティン ハッカー カンファレンスで Spider Labs によって公開されました。
リンクアドレス: https://github.com/SpiderLabs/SQLol
Hackxor は、albino が開発したオンライン ハッキング ゲームで、一般的な WEB 脆弱性訓練を含むフルバージョンをダウンロードしてインストールして導入することもできます。XSS、CSRF、SQL インジェクション、RCE などの一般的な脆弱性が含まれています。
リンクアドレス: http://sourceforge.net/projects/hackxor
BodgeIt は Java で書かれた脆弱な WEB プログラムです。XSS、SQL インジェクション、デバッグ コード、CSRF、安全でないオブジェクト アプリケーション、およびプログラム ロジックのいくつかの問題について説明します。Exploit KB は
、さまざまな脆弱性のある WEB アプリケーションを含むプログラムであり、さまざまな SQL インジェクションの脆弱性をテストできます。このアプリケーションはBT5にも含まれています
リンクアドレス: http://exploit.co.il/projects/vuln-web-app
WackoPicko は、Web アプリケーション脆弱性スキャン ツールをテストするために Adam Doupé によってリリースされた脆弱な Web アプリケーションです。これには、コマンド ライン インジェクション、セッション ID の問題、ファイル インクルード、パラメータ改ざん、SQL インジェクション、XSS、フラッシュ フォーム反射 XSS、弱いパスワード スキャンなどが含まれます。
リンクアドレス:https://github.com/adamdoupe/WackoPicko
XSSeducation は、特にクロスサイトのテストのために AJ00200 によって開発されたプログラムのセットです。さまざまなシナリオのテストが含まれています。
リンクアドレス:http://wiki.aj00200.org/wiki/XSSeducation
GoogleがXSSゲームを開始
リンクアドレス:https://xss-game.appspot.com/
有名なペネトレーション フレームワーク Metasploit の作成者である Rapid7 は、VMWare 形式でパッケージ化されたオペレーティング システムの仮想マシン イメージである構成済み環境 Metasploitable も提供しています。VMWare Workstation を使用して (VMWare Player の無料の合理化されたバージョンを使用することもできます)、「起動時に」実行できます。
リンクアドレス:https://information.rapid7.com/metasploitable-download.html
ダウンロードリンク:
http://downloads.metasploit.com/data/metasploitable/metasploitable-linux-2.0.0.zip
Metasploitable と同様に、これもパッケージ化された仮想マシン イメージであり、脆弱性のある多くの Web アプリケーションがプリインストールされています。これには、Joomla、WordPress などの人気のある実際の Web サイト アプリケーション (公開された脆弱性がある) の過去のバージョンや、 WebGoat、DVWA、および脆弱性テストに特に使用されるその他のシミュレーション環境。
リンクアドレス:https://code.google.com/p/owaspbwa/
XCTF-OJ(X Capture The Flag Online Judge)は、XCTF組織委員会が開発し、XCTFリーグ参加者に提供するネットワークセキュリティ技術競技練習プラットフォームです。XCTF-OJ プラットフォームは、国内外の CTF ネットワーク セキュリティ コンテストから実際のテスト問題を収集し、一部の利用可能なオンライン質問インタラクティブ環境の再現と回復をサポートします。XCTF リーグの後続イベントでは、オフライン問題ファイルとオンライン インタラクティブ環境も要約されます。ゲームを XCTF-OJ プラットフォームに追加し、競技問題のリプレイ練習環境を提供するグローバル CTF コミュニティの唯一のサイト リソースを形成します。
リンクアドレス:http://oj.xctf.org.cn/
上記はすべて Web サーバーのセキュリティに関連した射撃場ですが、バイナリ pwn の練習には別の Web サイト、Pwnable.kr をお勧めします。pwnable のような質問は、外部 CTF でより一般的です。通常、抜け穴 (バッファ オーバーフローなど) を備えた Telnet サービスが構築され、このサービスのバックエンドのバイナリ実行可能ファイルが回答者に提供されます。より簡単な方法としては、ソースが直接提供されるコードを使用して脆弱性を見つけ、ターゲット サービスを直接攻撃して答えを得るエクスプロイト プログラムを作成します。このウェブサイトには、簡単なレベルから難しいレベルまでさまざまなレベルがリストされているので、今すぐ試してみてください。
リンクアドレス:http://pwnable.kr/%3Fp%3Dprobs
CTF学習ロードマップ
全方位の最も詳細な CTF 学習ルート + 問題解決マインド マップ。
ネットワークセキュリティ攻撃と防御&CTF族
業界の最新情報を毎日共有し、さまざまな技術的な質問に答えてコミュニケーションを図る、高品質のネットワーク セキュリティの攻撃と防御、および CTF コミュニティです。ザ・プラネットでは、あらゆる攻撃・防御、CTF情報、ツール、テクニック、書籍、各種リソースの入手、官公庁、企業、メーカー向けのネットワークセキュリティ採用情報の公開、カテゴリ内の資格の推奨などを行っています。公開されているすべてのコンテンツは慎重に選択され、無駄な情報や断片的な知識ポイントを避けるために構成されています。現在、地球上には 500 を超えるテーマ コンテンツ、ダウンロードできる 500 の攻撃用および防御用ファイル、さまざまな電子書籍やチュートリアルがあります。
こちらも学習したい場合: ハッキングとネットワーク セキュリティ SQL の攻撃と防御
ここから入手してください:
これは、無料で共有するために私が数昼夜かけて編集した、最新かつ最も包括的なネットワーク セキュリティ学習教材パッケージであり、次の内容が含まれています。
1. 学習ルートとキャリアプランニング
2. システムコースのフルセットとマスタリーへのエントリー
3. ハッカーの電子書籍とインタビュー資料
