首页 > 其他分享 >网络安全ctf比赛/学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!

网络安全ctf比赛/学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!

时间:2024-08-28 22:24:32浏览次数:14  
标签:www http 比赛 漏洞 ctf 解题 https 靶场 com

前言

对于想学习或者参加CTF比赛的朋友来说,CTF工具、练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助。

CTF在线工具

首先给大家推荐我自己常用的3个CTF在线工具网站,内容齐全,收藏备用。

1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常用的编码、加解密、算法。

图片

图片

图片

2、CTF加解密工具箱:http://www.atoolbox.net/Category.php?Id=27

图片

图片

图片

3、ctfhub在线工具:https://www.ctfhub.com/#/tools

图片

图片

4、还有一些常用的网站

字符串2进制互转:http://www.5ixuexiwang.com/str/from-binary.php

栅栏密码:http://www.practicalcryptography.com/ciphers/classical-era/rail-fence/

语言加密(将明文加密为各种语言):https://www.qqxiuzi.cn/bianma/wenbenjiami.php

与佛论禅:https://www.keyfc.net/bbs/tools/tudoucode.aspx

维吉尼亚解密:https://www.guballa.de/vigenere-solver

培根密码:https://mothereff.in/bacon

摩尔斯电码:http://www.zhongguosou.com/zonghe/moErSiCodeConverter.aspx

盲文在线解密:https://www.dcode.fr/braille-alphabet

凯撒密码:https://www.dcode.fr/caesar-cipher

进制转换:https://tool.oschina.net/hexconvert/

词频分析:https://quipqiup.com/

草料二维码:https://cli.im/

UUencode:http://web.chacuo.net/charsetuuencode

URL编码解码:https://meyerweb.com/eric/tools/dencoder/

Serpent加密解密:http://serpent.online-domain-tools.com/

ROT编码(5 13 18 47):https://www.qqxiuzi.cn/bianma/ROT5-13-18-47.php

MIME编码:https://dogmamix.com/MimeHeadersDecoder/

MD5:https://www.cmd5.com/

JS加密:https://tool.lu/js/

JSfuck:https://utf-8.jp/public/jsfuck.html

JJencode:https://www.120muban.com/tools/jjencode/

CRC32:https://crc32generator.de/

代码在线运行:https://tool.lu/coderunner/

Base编码解码:http://ctf.ssleye.com/

AES解密:http://tool.chacuo.net/cryptaes

ADFGVX密码:http://www.atoolbox.net/Tool.php?Id=917

AAencode:https://utf-8.jp/public/aaencode.html

CTF赛事篇

i春秋和XCTF社区经常会发布各类CTF赛事

i春秋: https://www.ichunqiu.com/competition

XCTF社区:https://time.xctf.org.cn

CTFwiki(入门必看wiki):

https://ctf-wiki.github.io/ctf-wiki/#/introduction

CTFrank: https://ctfrank.org/

CTFtime(基本都是国外的): https://ctftime.org

靶场篇

1、在线靶场

BugKu(简单,推荐新手入门,还有在线工具)https://ctf.bugku.com/index.html

北京联合大学BUUCTF(新靶场,难度中上,搜集了很多大赛原题)
https://buuoj.cn/

CTFhub靶场(含历年赛题) https://www.ctfhub.com/#/index

CTFshow靶场(题较多) https://ctf.show/challenges

网络攻防世界(挺好的网站,不过老是维护) https://adworld.xctf.org.cn/

CTFwiki(含CTF各项知识点,扫盲专用)https://ctf-wiki.org/misc/recon/

BUUCTF(推荐,但不适合新手)https://buuoj.cn/

i春秋(推荐,还有漏洞复现环境)https://www.ichunqiu.com/competition

xctf(知名)https://adworld.xctf.org.cn/

浙大OJ(pwn手入门推荐)https://www.jarvisoj.com/

2、自己搭建靶场

  • SQLI-LABS专有靶场

包含了大多数的sql注入类型,以一种闯关模式,对于sql注入进行漏洞利用 下载地址 https://github.com/Audi-1/sqli-labs

  • DVWA专有靶场

推荐新手首选靶场,DVWA的目的是通过简单易用的界面来实践一些最常见的Web漏洞,这些漏洞具有不同的难度,是一个涵盖了多种漏洞一个综合的靶机 https://github.com/ethicalhack3r/DVWA

  • OWASP靶场

靶场由OWASP专门为Web安全研究者和初学者开发的一个靶场,包含了大量存在已知安全漏洞的训练实验环境和真实Web应用程序;

靶场在官网下载后是一个集成虚拟机,可以直接在vm中打开,物理机访问ip即可访问到web平台,使用root owaspbwa 登入就会返回靶场地址,直接可以访问靶场。dvwa适合了解漏洞和简单的漏洞利用,owaspbwa则就更贴近实际的复杂的业务环境。下载地址:https://sourceforge.net/projects/

  • DSVW靶场

Damn Small Vulnerable Web (DSVW) 是使用 Python 语言开发的 Web应用漏洞 的演练系统。其系统只有一个 python 的脚本文件组成, 当中涵盖了 26 种 Web应用漏洞环境, 并且脚本代码行数控制在了100行以内, 当前版本v0.1m。需要python (2.6.x 或 2.7)并且得安装lxml库。下载地址:git clone https://github.com/stamparm/DSVW.git

  • WebGoat靶场

WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。

GitHub地址为:https://github.com/WebGoat/WebGoat

  • XVWA靶场

Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写的靶场,可以帮助初学者快速学习安全姿势。https://github.com/s4n7h0/xvwa

  • Pikachu靶场

一个好玩的 Web 安全漏洞测试平台,跟 DVWA 类似,不过看上去比前者清晰(中文的),有简单的漏洞页面,不那么单调。

项目地址:github.com/zhuifengshao

  • Vulnhub靶场

Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行。每个镜像会有破解的目标,大多是Boot2root,从启动虚机到获取操作系统的root权限和查看flag。

下载链接https://download.vulnhub.com/breach/Breach-1.0.zip

  • mutillidaemutillidae

mutillidaemutillidae是一个免费,开源的Web应用程序,提供专门被允许的安全测试和入侵的Web应用程序。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.开发的一款自由和开放源码的Web应用程序。其中包含了丰富的渗透测试项目,如SQL注入、跨站脚本、clickjacking、本地文件包含、远程代码执行等.

链接地址:http://sourceforge.net/projects/mutillidae

  • SQLol

SQLol是一个可配置得SQL注入测试平台,它包含了一系列的挑战任务,让你在挑战中测试和学习SQL注入语句。此程序在Austin黑客会议上由Spider Labs发布。

链接地址:https://github.com/SpiderLabs/SQLol

  • hackxor

hackxor是由albino开发的一个online黑客游戏,亦可以下载安装完整版进行部署,包括常见的WEB漏洞演练。包含常见的漏洞XSS、CSRF、SQL注入、RCE等。

链接地址:http://sourceforge.net/projects/hackxor

  • BodgeIt

BodgeIt是一个Java编写的脆弱性WEB程序。他包含了XSS、SQL注入、调试代码、CSRF、不安全的对象应用以及程序逻辑上面的一些问题。Exploit KB
该程序包含了各种存在漏洞的WEB应用,可以测试各种SQL注入漏洞。此应用程序还包含在BT5里

链接地址:http://exploit.co.il/projects/vuln-web-app

  • WackoPicko

WackoPicko是由Adam Doupé.发布的一个脆弱的Web应用程序,用于测试Web应用程序漏洞扫描工具。它包含了命令行注射、sessionid问题、文件包含、参数篡改、sql注入、xss、flash form反射性xss、弱口令扫描等。

链接地址:https://github.com/adamdoupe/WackoPicko

  • XSSeducation

XSSeducation是由AJ00200开发的一套专门测试跨站的程序。里面包含了各种场景的测试。

链接地址:http://wiki.aj00200.org/wiki/XSSeducation

  • Google XSS 游戏

Google推出的XSS小游戏

链接地址:https://xss-game.appspot.com/

  • Metasploitable

著名的渗透框架 Metasploit 出品方 rapid7 还提供了配置好的环境 Metasploitable,是一个打包好的操作系统虚拟机镜像,使用 VMWare 的格式。可以使用 VMWare Workstation(也可以用免费精简版的 VMWare Player )“开机”运行。

链接地址:https://information.rapid7.com/metasploitable-download.html

下载地址:

http://downloads.metasploit.com/data/metasploitable/metasploitable-linux-2.0.0.zip

  • OWASP Broken Web Applications Project

跟 Metasploitable 类似,这也是打包好的虚拟机镜像,预装了许多带有漏洞的 Web 应用,有真实世界里的流行网站应用如 Joomla, WordPress 等的历史版本(带公开漏洞),也有 WebGoat, DVWA 等专门用于漏洞测试的模拟环境。

链接地址:https://code.google.com/p/owaspbwa/

  • XCTF_OJ

XCTF-OJ (X Capture The Flag Online Judge)是由 XCTF 组委会组织开发并面向 XCTF 联赛参赛者提供的网络安全技术对抗赛练习平台。XCTF-OJ 平台将汇集国内外 CTF 网络安全竞赛的真题题库,并支持对部分可获取在线题目交互环境的重现恢复,XCTF 联赛后续赛事在赛后也会把赛题离线文件和在线交互环境汇总至 XCTF-OJ 平台,形成目前全球 CTF 社区唯一一个提供赛题重现复盘练习环境的站点资源。

链接地址:http://oj.xctf.org.cn/

  • PWNABLE.KR

以上都是网页服务器安全相关的靶场,再推荐一个练习二进制 pwn 的网站:Pwnable.kr。pwnable 这类题目在国外 CTF 较为多见,通常会搭建一个有漏洞(如缓冲区溢出等)的 telnet 服务,给出这个服务后端的二进制可执行文件让答题者逆向,简单一点的会直接给源代码,找出漏洞并编写利用程序后直接攻下目标服务获得答案。这个网站里由简到难列出了许多关卡,现在就上手试试吧。

链接地址:http://pwnable.kr/%3Fp%3Dprobs

如何入门学习网络安全【护网】

【----帮助网安学习,以下所有学习资料文末免费领取!----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)

大纲

首先要找一份详细的大纲。

img

学习教程

第一阶段:零基础入门系列教程

img

该阶段学完即可年薪15w+

第二阶段:技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

img

阶段三:高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

面试刷题

img

在这里插入图片描述

最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。

但是,我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”,其实是“无法开始”。

几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要

资料领取

上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 即可自动领取↓↓↓
或者

点此链接】领取

标签:www,http,比赛,漏洞,ctf,解题,https,靶场,com
From: https://blog.csdn.net/SpringJavaMyBatis/article/details/141651404

相关文章

  • 网络安全【聊聊CTF比赛】
    文章目录前言CTF竞赛模式一、CTF比赛吸引你是什么?二、CTF比赛和实战中的漏洞挖掘,有什么区别和联系?三、很多高校都会举办自己的CTF比赛,怎么样才能快速得到成长呢?四、高质量的CTF赛事==如何入门学习网络安全【黑客】==【----帮助网安学习,以下所有学习资料文末免费领取!----......
  • AT_tdpc_number 数 解题报告
    题目大意求\([1,N]\)中有多少个数在十进制表示下数码和是\(D\)的倍数。数据范围:\(1\leN\le10^{10000},1\leD\le100\)。思路很明显的数位dp。这里采用了记忆化搜索来实现数位dp。记忆化搜索实现比较板子,不光写起来比较简单,而且容易扩展,所以建议大家都学习一下。......
  • BaseCTF2024-week2-Crypto部分题目wp
    先放一下官方的wp(我这里只放我出的题):https://j0zr0js7k7j.feishu.cn/wiki/JQbiwKdvtiR49VkMj5RcmPvPn7crandom_primesfromCrypto.Util.numberimport*importrandomdefgen_n():primes=[getPrime(128)for_inrange(256)]n=1foriinrange(100):......
  • 南沙区信奥赛CSP-J/S 陈老师解题:1350:【例4-11】最短网络(agrinet)
    ​ 【题目描述】农民约翰被选为他们镇的镇长!他其中一个竞选承诺就是在镇上建立起互联网,并连接到所有的农场。当然,他需要你的帮助。约翰已经给他的农场安排了一条高速的网络线路,他想把这条线路共享给其他农场。为了用最小的消费,他想铺设最短的光纤去连接所有的农场。你将得到一......
  • PMP考前必看!PMP解题思路分享
    俗话说“临阵磨枪,不快也光”,PMP考试前看完这几点,助你顺利上岸~1、相关方之间的冲突在执行相关方分析时,项目经理识别出两个关键干系人之间的负面关系。其中一个正在为项目提供资金,另一个是客户。项目经理应该如何处理?答:在平等基础上对待所有相关方并进行沟通,通过深入沟通......
  • NSSCTF [NISACTF 2022]babyserialize
    <?phpinclude"waf.php";classNISA{public$fun="show_me_flag";public$txw4ever;//1shellpublicfunction__wakeup(){if($this->fun=="show_me_flag"){hint();}}......
  • 关于ctfshow的web题目的文件包含题目的思考
    今日深思两个题目ctfshow的web方向的web3和web4开始有疑惑了:<?phpinclude($_GET['url']);?>这两个题目都是这句话我一眼看上去是文件包含,我发现访问到一些目录下的文件,比如etc/passwd,是能够回显的第三题的write_up是利用php伪协议去实现渗透第四题的write_up是利用网站nig......
  • 全网最易懂的解题——C语言“打印一个数的每一位(递归)”
    很简单吧递归我们做了很多题,逆序打印数字和逆序打印数组我们也做过代码就直接附上了voidmy_print(intnum){ if(num<10)//说明只有一位数字 { printf("%d",num); } else { my_print(num/10); printf("%d",num%10); }}//打印数字的每一位intmain(......
  • 全网最易懂的解题——C语言“求斐波那契数(递归)”
    那先来知道什么是斐波那契数列吧前两个数相加等于第三个数,如果其中数字都满足此条件,那么这就是斐波那契数列 现在我们要求第n个斐波那契数,代码框架先搭出来吧,找斐波那契数的函数就命名为Fib吧//求斐波那契数intmain(){ intn=0; printf("请输入你想知道第几个斐波......
  • 足球数据分析-基于机器学习的足球比赛角球数预测模型构建
    文章目录前言一、数据收集二、数据预处理1、特征选择与构建2、数据清洗与预处理三、模型选择1、模型选择2、模型训练四、模型评估与优化1、模型评估2、模型优化:五、模型解释与部署1、模型解释2、模型部署六、代码解读及实现1.数据准备2.数据预处理3、模型构建4、数......