|
如果說(shuō)你沒(méi)聽(tīng)說(shuō)過(guò)“網(wǎng)鼎杯”�����,那么可以說(shuō)作為網(wǎng)絡(luò)安全人員至少 你還沒(méi)有入圈��。 網(wǎng)絡(luò)安全界的“奧運(yùn)會(huì)”�����,應(yīng)該 算是國(guó)內(nèi)影響最大��、規(guī)模最大的網(wǎng)絡(luò)安全 賽事了��! 看看大賽的指導(dǎo)��、支持單位就了解了 本號(hào)的很多讀者都是學(xué)生����,而且是自己憑著興趣 在摸索著學(xué)習(xí)網(wǎng)絡(luò) 安全的學(xué)生,今天就來(lái)介紹一下�,對(duì)于 學(xué)習(xí)網(wǎng)絡(luò)安全來(lái)說(shuō) ,參加CTF比賽的意義�! 很多第一次參加ctf,大多為學(xué)生�����,周圍也沒(méi)有那么多的技術(shù)人員�����,但是在ctf上可以快速提高自己的能力��,督促自己去學(xué)習(xí) 網(wǎng)絡(luò)安全的ctf很重要 競(jìng)賽含金量很高����。CTF高手在畢業(yè)后,很受互聯(lián)網(wǎng)公司歡迎����。一般來(lái)說(shuō)���,世界互聯(lián)網(wǎng)企業(yè)巨頭,也是網(wǎng)絡(luò)安全領(lǐng)域的巨頭�。像阿里、騰訊�����、華為這些世界級(jí)的IT公司����,網(wǎng)絡(luò)安全方面出了問(wèn)題是無(wú)法想象的��。
這些公司都有專門(mén)的網(wǎng)絡(luò)安全部門(mén)���、實(shí)驗(yàn)室�����,在那里工作的人員�����,多數(shù)有過(guò)CTF的參賽經(jīng)歷�。
在我們這個(gè)互聯(lián)網(wǎng)時(shí)代,網(wǎng)絡(luò)安全顯得尤為重要�。無(wú)論是對(duì)一個(gè)國(guó)家,還是一家互聯(lián)網(wǎng)公司�,這樣的網(wǎng)絡(luò)安全對(duì)抗在現(xiàn)實(shí)中無(wú)時(shí)無(wú)刻都在發(fā)生。 分享一下�,本號(hào) 主去年寫(xiě)的一篇CTF學(xué)習(xí)文章。 ?0x01 CTF賽事發(fā)布網(wǎng)站 ?0x02 CTF在線靶場(chǎng) ?0x03 漏洞靶場(chǎng)(本地搭建) ?0x04 滲透實(shí)戰(zhàn)靶場(chǎng) ?0x05 CTF滲透工具包 i春秋和XCTF社區(qū)經(jīng)常會(huì)發(fā)布各類CTF賽事 i春秋: https://www./competition XCTF社區(qū):https://time. CTFwiki(入門(mén)必看wiki): https://ctf-wiki./ctf-wiki/#/introduction CTFrank: https:/// CTFtime(基本都是國(guó)外的): https:// 1��、BugkuCTF(經(jīng)典靶場(chǎng)�,難度適中,適合入門(mén)刷題�����,題量大) https://ctf./ 2�����、北京聯(lián)合大學(xué)BUUCTF(新靶場(chǎng)��,難度中上�����,搜集了很多大賽原題) https:/// 3、CTFSHOW:(新靶場(chǎng)����,題量大,很多大賽會(huì)從中抽原題) https://ctf.show/challenges 4�、XCTF攻防世界:https://adworld./task 上面4個(gè)靶場(chǎng)是我常去的,BugkuCTF很久以前就刷了一遍�,BUUCTF刷了有70%,CTFSHOW最近一直在刷���,XCTF攻防世界以前有內(nèi)網(wǎng)滲透實(shí)驗(yàn)����,現(xiàn)在主要上去刷CTF���。 5、實(shí)驗(yàn)吧: http://www.(2017年刷過(guò)一遍�,目前站一直更新) 6、安恒周周練:https://www./home 7�、XSS專練:https://xss./tools/xss-encode/ 8、南京郵電大學(xué)CTF網(wǎng)絡(luò)攻防訓(xùn)練平臺(tái): http://ctf./ 9�、網(wǎng)絡(luò)信息安全實(shí)驗(yàn)平臺(tái) http:///index.php
1. DVWA(必練):Web安全入門(mén)必刷的靶場(chǎng),包含了最常見(jiàn)的web漏洞�����,界面簡(jiǎn)單易用,通過(guò)設(shè)置不同的難度��,可更好地理解漏洞的原理及對(duì)應(yīng)的代碼防護(hù) http://www. 2. Sqli-Labs(必練):一個(gè)印度大神程序員寫(xiě)的,用來(lái)學(xué)習(xí)sql注入的一個(gè)游戲教程��,目前65關(guān)�����,沖關(guān)過(guò)程中學(xué)注入����。 https://github.com/Audi-1/sqli-labs 3. Upload-labs(必練):一個(gè)和sqli-labs類似的靶場(chǎng)平臺(tái),專門(mén)學(xué)習(xí)文件上傳的,目前21關(guān)�。 https://github.com/c0ny1/upload-labs 4. BWVS(老版本bugku的離線版): https://github.com/bugku/BWVS 5. BWAPP: https:///projects/bwapp 6. WAVSEP: https://github.com/sectooladdict/wavsep 7. VulnStack: http://vulnstack./vuln 8. Webug 3.0: https://pan.baidu.com/s/1eRIB3Se 9. Metasploitable: https://github.com/rapid7/metasploitable3 10. DVWA-WooYun: https:///projects/dvwa-wooyun 11. OWASP Mutillidae: https:///projects/mutillidae 12. Web for Pentester: https://www./exercises/web_for_pentester 0x04 滲透實(shí)戰(zhàn)靶場(chǎng)
1、Vulhub: (各種漏洞環(huán)境集合�����,一鍵搭建漏洞測(cè)試靶場(chǎng)) https:///(在線版) https://github.com/vulhub/vulhub(離線版) 2�、vulnhub:(國(guó)外實(shí)戰(zhàn)靶場(chǎng),適合入門(mén)提高) https://www./ 3��、vulnstack(紅隊(duì)實(shí)戰(zhàn)靶場(chǎng)�,域、橫向滲透、多層網(wǎng)絡(luò)�,強(qiáng)烈推薦,目前共7個(gè)靶場(chǎng)�,網(wǎng)上writeup齊全) http://vulnstack./vuln/# 4、WebGoat:(WEB漏洞測(cè)試和練習(xí)) https://github.com/WebGoat/WebGoat 5�、Web For Pentester(web漏洞檢測(cè)技術(shù)。) https://www. 6��、VulApps(快速搭建各種漏洞環(huán)境與安全工具環(huán)境) http://vulapps./ 7��、bWAPP(集成了各種常見(jiàn)漏洞和最新漏洞的開(kāi)源Web應(yīng)用程序) http://www./ 8�����、btslab(不同類型的Web應(yīng)用程序漏洞) https://github.com/CSPF-Founder/btslab/ 9�����、pikachu(一個(gè)好玩的Web安全-漏洞測(cè)試平臺(tái)) https://github.com/zhuifengshaonianhanlu/pikachu CTF大賽��, 俗話說(shuō)“兵馬未動(dòng)�,糧草先行”�����。打CTF手里的武器工具少不了,CTF比賽有些線下賽�����,不提供互聯(lián)網(wǎng)環(huán)境��,這就更需要開(kāi)戰(zhàn)前把工具包準(zhǔn)備好了���。
工具包目錄如下文���,文末有云盤(pán)下載鏈接(部分工具版本稍早,但都比較穩(wěn)定)�。 CTF工具包大合集目錄如下: 工具包目錄: 綜合利用工具(包含菜鳥(niǎo)教程、w3cschool�、各種API) 抓包工具 注入工具 隱寫(xiě)工具 提權(quán)工具 數(shù)據(jù)庫(kù)工具 掃描工具 逆向工具(包含反編譯工具) 內(nèi)網(wǎng)工具 二進(jìn)制工具 代理轉(zhuǎn)發(fā)類工具 暴力破解工具 安裝環(huán)境包(Java、python��、php) XSS webshell
工具包目錄 
分類具體目錄
隱寫(xiě)工具目錄:
注入攻擊目錄:
掃描工具:
逆向工具:
內(nèi)網(wǎng)工具:
回復(fù)“CTF總結(jié)”獲取CTF總結(jié)資料包回復(fù)“CTF思維導(dǎo)圖”獲取CTF思維導(dǎo)圖回復(fù)“CTF工具”可免費(fèi)獲取CTF工具包大合集(此工具包經(jīng)常會(huì)被封�����,我會(huì)定時(shí)更新)
|
