常见的网络安全靶场

以下是一些常见的靶场：

 1. Web应用漏洞靶场：

- DVWA（Damn Vulnerable Web Application）：这是新手入门必练的靶场之一，用 PHP+MySQL 编写，包含暴力破解、命令注入、跨站请求伪造、文件包含、文件上传、不安全的验证码、SQL 注入、SQL 盲注、反射型跨站脚本攻击、存储型跨站脚本攻击等常见漏洞。官网下载地址为：https://github.com/ethicalhack3r/dvwa/archive/master.zip 。

- OWASP Hackademic：由 OWASP 开发，可用来测试各种攻击手法，目前包含了 10 个有问题的 web 应用程序。

- Mutillidae：免费、开源的 web 应用程序，包含丰富的渗透测试项目，如 SQL 注入、跨站脚本、点击劫持、本地文件包含、远程代码执行等。

- WebGoat：由著名的 OWASP 负责维护的漏洞百出的 J2EE web 应用程序，其中的漏洞是故意设计用来讲授 web 应用程序安全课程的，提供了逼真的教学环境。

- Pikachu：一个带有漏洞的 web 应用系统，包含常见的 web 安全漏洞，如暴力破解、XSS、CSRF、SQL 注入、RCE、文件包含、不安全的文件下载和上传、越权漏洞、目录遍历等。

2. 漏洞专项靶场：

- SQLi-Labs：专注于 SQL 注入漏洞，包含了大多数的 SQL 注入类型，以闯关模式对 SQL 注入漏洞进行利用。

- XSS-Labs：基于跨站脚本攻击的漏洞靶机，以通关形式呈现，帮助用户深入理解 XSS 漏洞。

- Upload-Labs：专注于文件上传漏洞，帮助用户了解和练习各种文件上传漏洞的利用和防范。

3. 综合型靶场：

- Metasploitable：著名的渗透框架 Metasploit 出品方 Rapid7 提供的靶场，是一个打包好的操作系统虚拟机镜像，使用 VMware 的格式。里面存在多种漏洞，可用于练习渗透测试技能。下载地址为：http://downloads.metasploit.com/data/metasploitable/metasploitable-linux-2.0.0.zip 。

- OWASP Broken Web Applications Project：与 Metasploitable 类似，是打包好的虚拟机镜像，预装了许多带有漏洞的 web 应用，包括真实世界里的流行网站应用的历史版本（带公开漏洞）以及专门用于漏洞测试的模拟环境。

4. CTF 竞赛练习靶场：

- XCTF_OJ（X Capture The Flag Online Judge）：由 XCTF 组委会组织开发并面向 XCTF 联赛参赛者提供的网络安全技术对抗赛练习平台，汇集了国内外 CTF 网络安全竞赛的真题题库，并支持对部分可获取在线题目交互环境的重现恢复。

- 攻防世界：提供了各种网络安全挑战题目和靶场环境，适合学习和练习网络安全攻防技术。网址为：https://adworld.xctf.org.cn/ 。

- Buuctf：整合了各大 CTF 赛事题目，适合喜欢 CTF 方向的同学进行练习。