网络安全ctf比赛/学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!...
对于想学习或者参加CTF比赛的朋友来说,CTF工具、练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助。
CTF在线工具
首先给大家推荐我自己常用的3个CTF在线工具网站,内容齐全,收藏备用。
1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常用的编码、加解密、算法。
2、CTF加解密工具箱:http://www.atoolbox.net/Category.php?Id=27
3、ctfhub在线工具:https://www.ctfhub.com/#/tools
4、还有一些常用的网站
字符串2进制互转:http://www.5ixuexiwang.com/str/from-binary.php
栅栏密码:http://www.practicalcryptography.com/ciphers/classical-era/rail-fence/
语言加密(将明文加密为各种语言):https://www.qqxiuzi.cn/bianma/wenbenjiami.php
与佛论禅:https://www.keyfc.net/bbs/tools/tudoucode.aspx
维吉尼亚解密:https://www.guballa.de/vigenere-solver
培根密码:https://mothereff.in/bacon
摩尔斯电码:http://www.zhongguosou.com/zonghe/moErSiCodeConverter.aspx
盲文在线解密:https://www.dcode.fr/braille-alphabet
凯撒密码:https://www.dcode.fr/caesar-cipher
进制转换:https://tool.oschina.net/hexconvert/
词频分析:https://quipqiup.com/
草料二维码:https://cli.im/
UUencode:http://web.chacuo.net/charsetuuencode
URL编码解码:https://meyerweb.com/eric/tools/dencoder/
Serpent加密解密:http://serpent.online-domain-tools.com/
ROT编码(5 13 18 47):https://www.qqxiuzi.cn/bianma/ROT5-13-18-47.php
MIME编码:https://dogmamix.com/MimeHeadersDecoder/
MD5:https://www.cmd5.com/
JS加密:https://tool.lu/js/
JSfuck:https://utf-8.jp/public/jsfuck.html
JJencode:https://www.120muban.com/tools/jjencode/
CRC32:https://crc32generator.de/
代码在线运行:https://tool.lu/coderunner/
Base编码解码:http://ctf.ssleye.com/
AES解密:http://tool.chacuo.net/cryptaes
ADFGVX密码:http://www.atoolbox.net/Tool.php?Id=917
AAencode:https://utf-8.jp/public/aaencode.html
CTF赛事篇
i春秋和XCTF社区经常会发布各类CTF赛事
i春秋: https://www.ichunqiu.com/competition
XCTF社区:https://time.xctf.org.cn
CTFwiki(入门必看wiki):
https://ctf-wiki.github.io/ctf-wiki/#/introduction
CTFrank: https://ctfrank.org/
CTFtime(基本都是国外的): https://ctftime.org
公众号:网络安全研究所,国内外CTF比赛时间发布,各种CTF常用工具
靶场篇
1、在线靶场
BugKu(简单,推荐新手入门,还有在线工具)https://ctf.bugku.com/index.html
北京联合大学BUUCTF(新靶场,难度中上,搜集了很多大赛原题)
https://buuoj.cn/
CTFhub靶场(含历年赛题) https://www.ctfhub.com/#/index
CTFshow靶场(题较多) https://ctf.show/challenges
网络攻防世界(挺好的网站,不过老是维护) https://adworld.xctf.org.cn/
CTFwiki(含CTF各项知识点,扫盲专用)https://ctf-wiki.org/misc/recon/
BUUCTF(推荐,但不适合新手)https://buuoj.cn/
i春秋(推荐,还有漏洞复现环境)https://www.ichunqiu.com/competition
xctf(知名)https://adworld.xctf.org.cn/
浙大OJ(pwn手入门推荐)https://www.jarvisoj.com/
2、自己搭建靶场
SQLI-LABS专有靶场
包含了大多数的sql注入类型,以一种闯关模式,对于sql注入进行漏洞利用 下载地址 https://github.com/Audi-1/sqli-labs
DVWA专有靶场
推荐新手首选靶场,DVWA的目的是通过简单易用的界面来实践一些最常见的Web漏洞,这些漏洞具有不同的难度,是一个涵盖了多种漏洞一个综合的靶机 https://github.com/ethicalhack3r/DVWA
OWASP靶场
靶场由OWASP专门为Web安全研究者和初学者开发的一个靶场,包含了大量存在已知安全漏洞的训练实验环境和真实Web应用程序;
靶场在官网下载后是一个集成虚拟机,可以直接在vm中打开,物理机访问ip即可访问到web平台,使用root owaspbwa 登入就会返回靶场地址,直接可以访问靶场。dvwa适合了解漏洞和简单的漏洞利用,owaspbwa则就更贴近实际的复杂的业务环境。下载地址:https://sourceforge.net/projects/
DSVW靶场
Damn Small Vulnerable Web (DSVW) 是使用 Python 语言开发的 Web应用漏洞 的演练系统。其系统只有一个 python 的脚本文件组成, 当中涵盖了 26 种 Web应用漏洞环境, 并且脚本代码行数控制在了100行以内, 当前版本v0.1m。需要python (2.6.x 或 2.7)并且得安装lxml库。下载地址:git clone https://github.com/stamparm/DSVW.git
WebGoat靶场
WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。
GitHub地址为:https://github.com/WebGoat/WebGoat
XVWA靶场
Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写的靶场,可以帮助初学者快速学习安全姿势。https://github.com/s4n7h0/xvwa
Pikachu靶场
一个好玩的 Web 安全漏洞测试平台,跟 DVWA 类似,不过看上去比前者清晰(中文的),有简单的漏洞页面,不那么单调。
项目地址:github.com/zhuifengshao
Vulnhub靶场
Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行。每个镜像会有破解的目标,大多是Boot2root,从启动虚机到获取操作系统的root权限和查看flag。
下载链接https://download.vulnhub.com/breach/Breach-1.0.zip
mutillidaemutillidae
mutillidaemutillidae是一个免费,开源的Web应用程序,提供专门被允许的安全测试和入侵的Web应用程序。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.开发的一款自由和开放源码的Web应用程序。其中包含了丰富的渗透测试项目,如SQL注入、跨站脚本、clickjacking、本地文件包含、远程代码执行等.
链接地址:http://sourceforge.net/projects/mutillidae
SQLol
SQLol是一个可配置得SQL注入测试平台,它包含了一系列的挑战任务,让你在挑战中测试和学习SQL注入语句。此程序在Austin黑客会议上由Spider Labs发布。
链接地址:https://github.com/SpiderLabs/SQLol
hackxor
hackxor是由albino开发的一个online黑客游戏,亦可以下载安装完整版进行部署,包括常见的WEB漏洞演练。包含常见的漏洞XSS、CSRF、SQL注入、RCE等。
链接地址:http://sourceforge.net/projects/hackxor
BodgeIt
BodgeIt是一个Java编写的脆弱性WEB程序。他包含了XSS、SQL注入、调试代码、CSRF、不安全的对象应用以及程序逻辑上面的一些问题。Exploit KB
该程序包含了各种存在漏洞的WEB应用,可以测试各种SQL注入漏洞。此应用程序还包含在BT5里
链接地址:http://exploit.co.il/projects/vuln-web-app
WackoPicko
WackoPicko是由Adam Doupé.发布的一个脆弱的Web应用程序,用于测试Web应用程序漏洞扫描工具。它包含了命令行注射、sessionid问题、文件包含、参数篡改、sql注入、xss、flash form反射性xss、弱口令扫描等。
链接地址:https://github.com/adamdoupe/WackoPicko
XSSeducation
XSSeducation是由AJ00200开发的一套专门测试跨站的程序。里面包含了各种场景的测试。
链接地址:http://wiki.aj00200.org/wiki/XSSeducation
Google XSS 游戏
Google推出的XSS小游戏
链接地址:https://xss-game.appspot.com/
Metasploitable
著名的渗透框架 Metasploit 出品方 rapid7 还提供了配置好的环境 Metasploitable,是一个打包好的操作系统虚拟机镜像,使用 VMWare 的格式。可以使用 VMWare Workstation(也可以用免费精简版的 VMWare Player )“开机”运行。
链接地址:https://information.rapid7.com/metasploitable-download.html
下载地址:
http://downloads.metasploit.com/data/metasploitable/metasploitable-linux-2.0.0.zip
OWASP Broken Web Applications Project
跟 Metasploitable 类似,这也是打包好的虚拟机镜像,预装了许多带有漏洞的 Web 应用,有真实世界里的流行网站应用如 Joomla, WordPress 等的历史版本(带公开漏洞),也有 WebGoat, DVWA 等专门用于漏洞测试的模拟环境。
链接地址:https://code.google.com/p/owaspbwa/
XCTF_OJ
XCTF-OJ (X Capture The Flag Online Judge)是由 XCTF 组委会组织开发并面向 XCTF 联赛参赛者提供的网络安全技术对抗赛练习平台。XCTF-OJ 平台将汇集国内外 CTF 网络安全竞赛的真题题库,并支持对部分可获取在线题目交互环境的重现恢复,XCTF 联赛后续赛事在赛后也会把赛题离线文件和在线交互环境汇总至 XCTF-OJ 平台,形成目前全球 CTF 社区唯一一个提供赛题重现复盘练习环境的站点资源。
链接地址:http://oj.xctf.org.cn/
PWNABLE.KR
以上都是网页服务器安全相关的靶场,再推荐一个练习二进制 pwn 的网站:Pwnable.kr。pwnable 这类题目在国外 CTF 较为多见,通常会搭建一个有漏洞(如缓冲区溢出等)的 telnet 服务,给出这个服务后端的二进制可执行文件让答题者逆向,简单一点的会直接给源代码,找出漏洞并编写利用程序后直接攻下目标服务获得答案。这个网站里由简到难列出了许多关卡,现在就上手试试吧。
链接地址:http://pwnable.kr/%3Fp%3Dprobs
CTF学习路线图
最详细CTF各个方向学习路线+解题思维导图。
CTF部落
高质量CTF社区,致力于国内网CTF比赛研究,每日分享行业最新资讯,交流解答各类技术问题。星球中可以获取各类CTF比赛信息、解题工具、技巧、书籍、各种资源,发布政府机关、企业、厂商网络安全招聘信息,及内类内推资格。所有发布的内容均精心挑选、成体系化,让你远离无用信息及零碎的知识点。
加入星球后获得:
各类CTF比赛信息、解题工具、技巧、书籍、靶场资源;
CTF学习思维导图,0基础开启CTF之路;
遇到任何技术题都快速提问与讨论交流的思路;
组织队伍参与各类CTF比赛;
面试大厂心得及内推资格;
加入星球后,可以跟我 1 对 1 免费提问交流、帮你确定安全学习方向和路线、和大家一起交流学习,从而激励你持续学习!
随着加入的星友越多,压力就越大,所以保证质量的同时,会适当提高门槛。现在限时限量扫码抢购500张¥100优惠券体验三天,如果不满意三天可以免费全额退款,尽早体验、以优惠价加入肯定是不亏的。
如果觉得有用,记得关注公众号、收藏文章哦!
关注公众号,回复“CTF”,领取CTF各方向学习/解题思维导图。回复“面试”,领取网安面试必考题及面试经验。
往期招聘
奇安信安全岗位招聘
天融信安全岗位招聘
深信服安全岗位招聘,有校招
安恒信息岗位招聘,高薪,可实习
绿盟科技安全岗位招聘,高薪
山石网科岗位招聘,高薪,可实习,大专可报
永安在线安全岗位招聘,高薪,大专可报
迪普科技安全岗位招聘,高薪,大专可报
亚信安全岗位招聘,高薪,大专可报
启明星辰安全岗位招聘,百万年薪,大专可报
中孚信息安全岗位招聘,高薪,学历不限
安天移动安全岗位招聘,高薪,学历不限
北京万里红安全岗位招聘,高薪,学历不限
上海观安信息安全岗位招聘,高薪
吉大正元安全岗位招聘,百万年薪
北信源安全岗位招聘,高薪
北京神州泰岳安全岗位招聘,高薪
任子行安全岗位招聘,高薪
北京明朝万达安全岗位招聘
联通数科安全岗位招聘
杭州美创科技安全岗位招聘,高薪
北京长亭科技安全岗位招聘,百万年薪
网宿科技安全岗位招聘
梆梆安全岗位招聘,高薪
北京亿赛通安全岗位招聘,百万年薪
东方通安全岗位招聘,高薪
竹云科技安全岗位招聘,高薪
上海派拉软件安全岗位招聘,高薪
青藤云安全岗位招聘,高薪
恒安嘉新(北京)安全岗位招聘,高薪
北京芯盾时代安全岗位招聘,高薪
北京指掌易科技安全岗位招聘,高薪
北京飞天诚信安全岗位招聘,高薪,大专可报
深信服安全岗位招聘,百万年薪专场招聘
北京亚鸿世纪安全岗位招聘,高薪
绿盟科技安全岗位招聘,高薪
奇安信安全岗位招聘,高薪
博智安全岗位招聘,高薪
海泰方圆安全岗位招聘,百万年薪,大专可报
中国电子云安全岗位招聘
闪捷信息安全岗位招聘
北京珞安科技安全岗位招聘,高薪,大专可报,可实习
上海爱数信息安全岗位招聘,高薪
杭州天宽安全岗位招聘
阿里巴巴集团安全岗位招聘,百万年薪
默安科技安全岗位招聘
通付盾安全岗位招聘
北京长扬科技安全岗位招聘,高薪
天融信安全岗位招聘,高薪,大专可报
山石网科安全岗位招聘,高薪
上海瑞数信息安全岗位招聘,高薪
想进安全大厂么!快来看面试题及经验
往期CTF
CTF之misc杂项解题技巧总结(六)——视频、音频文件
CTF之misc杂项解题技巧总结(五)——图片文件
CTF入门必备之题型介绍
CTF之misc杂项解题技巧总结(四)——SWF游戏和取证分析
CTF之misc杂项解题技巧总结(三)——压缩文件
CTF之misc杂项解题技巧总结(二)——隐写术
CTF之misc杂项解题技巧总结(一)——编码与加密
干货|CTF工具资源库
11月全球CTF比赛时间汇总来了!
新手如何入门CTF?ctf比赛/学习资源整理,记得收藏!
CTF之web常见题型及解题技巧总结
CTF学习之CRYPTO(密码学)总结
CTF pwn 中最通俗易懂的堆入坑指南
CTF之misc杂项解题技巧总结(七)——流量分析、搜索引擎及
12月全球CTF比赛时间汇总来了!
ctf比赛/学习资源整理,记得收藏!文末有CTF群
CTF-REVERSE练习之逆向初探
CTF学习路线推荐,建议收藏
CTF解题基本思路步骤(misc和web)
Linux PWN从入门到熟练
Linux PWN从入门到熟练(二)
CTF apk 安卓逆向考点、例题及三款移动应用安全分析平台
CTF 六大方向基础工具合集
CTF-MISC基础-压缩包隐写总结及常见套路
建议收藏,CTF网络安全各方向入门知识汇总
超详细,手把手教你打造CTF动态靶场
移动安全入门教程--Xposed篇
基于Ubuntu搭建CTFd平台(全网最全)
年度总结,2022年CTF精华文章汇总
1月全球CTF比赛时间汇总来了!
CTF指南--隐写术总结
ctf杂项misc之文件修复,含文件结构修复、高度修复、标识修复
ctf杂项misc之音频隐写总结
CTF之web安全赛题解析
一道简单Chacha20_RC4算法CTF题目
CTF学习、项目、工具知识仓库
网络安全个人技能发展路线图
CTF-综合测试(高难度)【超详细】
CTFHUB--技能树--SSRF全解(上篇)
CTFHUB--技能树--SSRF全解(下篇)
网络安全初、中、高阶学习路线图,建议收藏!
2023年网络安全技术自学路线图及职业选择方向
逆向分析学习入门教程
CTF PWN新手入门篇,PWN学习总结
网络安全ctf比赛/学习资源整理,解题工具、思路、靶场、学习路线,推荐收藏!
网络安全思维导图
网络安全 CTF(加密, 解密)全过程解析
CTF网络安全之Misc-zip压缩包分析
CTF无线网络安全技术基础
2月国内外CTF比赛时间汇总来了!
网络安全面试题(含答案)
网络安全思维导图
Kali linux无线网络渗透详解笔记
数据库语法整理及WAF绕过方式
干货|网络安全渗透测试面试问题汇总,持续更新 建议收藏
几道ctf的密码入门题目
CTFer成长之路之CTF中的SQL注入
CTFer成长之路之命令执行漏洞
Jetty 内存马注入分析
区块链常见漏洞列表
3月国内外CTF比赛时间汇总来了!
2023年3月网络安全行业活动一览
端口漏洞总结
CTF逆向——Flutter 逆向初探
蓝桥杯第十四届蓝桥杯模拟赛第三期考场应对攻略(C/C++)
web和pwn题的简单动态flag实现
kalmarCTF 部分WP
0ctfbabyheap WP——堆溢出fastbin attack初探
从CTF中学习文件包含漏洞
BugKu CTF
BugKu CTF(杂项篇MISC)—想要种子吗
BugKu CTF(杂项篇MISC)—社工-进阶收集
BugKu CTF(杂项篇MISC)—善用工具
BugKu CTF(杂项篇MISC)—隐写2
BugKu CTF(杂项篇MISC)—只有黑棋的棋盘
BugKu CTF(杂项篇MISC)—隐写
BugKu CTF(杂项篇MISC)—1和0的故事
BugKu CTF(杂项篇MISC)—放松一下吧
BugKu CTF(杂项篇MISC)—白哥的鸽子
更多CTF比赛信息、writeup请点击公众号菜单栏CTF
END
扫码关注
网络安全研究所
更多精彩等着你
