??

對于想學(xué)習(xí)或者參加CTF比賽的朋友來說，CTF工具、練習(xí)靶場必不可少，今天給大家分享自己收藏的CTF資源，希望能對各位有所幫助。

CTF在線工具

首先給大家推薦我自己常用的3個CTF在線工具網(wǎng)站，內(nèi)容齊全，收藏備用。

1、CTF在線工具箱：http://ctf.ssleye.com/? ??包含CTF比賽中常用的編碼、加解密、算法。

2、CTF加解密工具箱：http://www.atoolbox.net/Category.php?Id=27

3、ctfhub在線工具：https://www.ctfhub.com/#/tools

4、還有一些常用的網(wǎng)站

字符串2進(jìn)制互轉(zhuǎn)：http://www.5ixuexiwang.com/str/from-binary.php

柵欄密碼：http://www.practicalcryptography.com/ciphers/classical-era/rail-fence/

語言加密(將明文加密為各種語言)：https://www.qqxiuzi.cn/bianma/wenbenjiami.php

與佛論禪：https://www.keyfc.net/bbs/tools/tudoucode.aspx

維吉尼亞解密：https://www.guballa.de/vigenere-solver

培根密碼：https://mothereff.in/bacon

摩爾斯電碼：http://www.zhongguosou.com/zonghe/moErSiCodeConverter.aspx

盲文在線解密：https://www.dcode.fr/braille-alphabet

凱撒密碼：https://www.dcode.fr/caesar-cipher

進(jìn)制轉(zhuǎn)換：https://tool.oschina.net/hexconvert/

詞頻分析：https://quipqiup.com/

草料二維碼：https://cli.im/

UUencode：http://web.chacuo.net/charsetuuencode

URL編碼解碼：https://meyerweb.com/eric/tools/dencoder/

Serpent加密解密：http://serpent.online-domain-tools.com/

ROT編碼(5 13 18 47)：https://www.qqxiuzi.cn/bianma/ROT5-13-18-47.php

MIME編碼：https://dogmamix.com/MimeHeadersDecoder/

MD5：https://www.cmd5.com/

JS加密：https://tool.lu/js/

JSfuck：https://utf-8.jp/public/jsfuck.html

JJencode：https://www.120muban.com/tools/jjencode/

CRC32：https://crc32generator.de/

代碼在線運行：https://tool.lu/coderunner/

Base編碼解碼：http://ctf.ssleye.com/

AES解密：http://tool.chacuo.net/cryptaes

ADFGVX密碼：http://www.atoolbox.net/Tool.php?Id=917

AAencode：https://utf-8.jp/public/aaencode.html

CTF賽事篇

i春秋和XCTF社區(qū)經(jīng)常會發(fā)布各類CTF賽事

i春秋: https://www.ichunqiu.com/competition

XCTF社區(qū)：https://time.xctf.org.cn

CTFwiki（入門必看wiki）:

https://ctf-wiki.github.io/ctf-wiki/#/introduction

CTFrank: https://ctfrank.org/

CTFtime（基本都是國外的）: https://ctftime.org

公眾號：網(wǎng)絡(luò)安全研究所，國內(nèi)外CTF比賽時間發(fā)布，各種CTF常用工具

靶場篇

1、在線靶場

BugKu（簡單，推薦新手入門，還有在線工具）https://ctf.bugku.com/index.html

北京聯(lián)合大學(xué)BUUCTF（新靶場，難度中上，搜集了很多大賽原題）
https://buuoj.cn/

CTFhub靶場（含歷年賽題）? https://www.ctfhub.com/#/index

CTFshow靶場（題較多）? https://ctf.show/challenges

網(wǎng)絡(luò)攻防世界（挺好的網(wǎng)站，不過老是維護(hù)）? https://adworld.xctf.org.cn/

CTFwiki（含CTF各項知識點，掃盲專用）https://ctf-wiki.org/misc/recon/

BUUCTF（推薦，但不適合新手）https://buuoj.cn/

i春秋（推薦，還有漏洞復(fù)現(xiàn)環(huán)境）https://www.ichunqiu.com/competition

xctf（知名）https://adworld.xctf.org.cn/

浙大OJ（pwn手入門推薦）https://www.jarvisoj.com/

2、自己搭建靶場

• SQLI-LABS專有靶場

包含了大多數(shù)的sql注入類型，以一種闖關(guān)模式，對于sql注入進(jìn)行漏洞利用? ?下載地址 https://github.com/Audi-1/sqli-labs

• DVWA專有靶場

推薦新手首選靶場，DVWA的目的是通過簡單易用的界面來實踐一些最常見的Web漏洞，這些漏洞具有不同的難度，是一個涵蓋了多種漏洞一個綜合的靶機 https://github.com/ethicalhack3r/DVWA

• OWASP靶場

靶場由OWASP專門為Web安全研究者和初學(xué)者開發(fā)的一個靶場，包含了大量存在已知安全漏洞的訓(xùn)練實驗環(huán)境和真實Web應(yīng)用程序；

靶場在官網(wǎng)下載后是一個集成虛擬機，可以直接在vm中打開，物理機訪問ip即可訪問到web平臺，使用root owaspbwa 登入就會返回靶場地址，直接可以訪問靶場。dvwa適合了解漏洞和簡單的漏洞利用，owaspbwa則就更貼近實際的復(fù)雜的業(yè)務(wù)環(huán)境。下載地址：https://sourceforge.net/projects/

• DSVW靶場

Damn Small Vulnerable Web (DSVW) 是使用 Python 語言開發(fā)的 Web應(yīng)用漏洞 的演練系統(tǒng)。其系統(tǒng)只有一個 python 的腳本文件組成, 當(dāng)中涵蓋了 26 種 Web應(yīng)用漏洞環(huán)境, 并且腳本代碼行數(shù)控制在了100行以內(nèi), 當(dāng)前版本v0.1m。需要python (2.6.x 或 2.7)并且得安裝lxml庫。下載地址：git clone https://github.com/stamparm/DSVW.git

• WebGoat靶場

WebGoat是OWASP組織研制出的用于進(jìn)行web漏洞實驗的Java靶場程序，用來說明web應(yīng)用中存在的安全漏洞。WebGoat運行在帶有java虛擬機的平臺之上，當(dāng)前提供的訓(xùn)練課程有30多個，其中包括：跨站點腳本攻擊（XSS）、訪問控制、線程安全、操作隱藏字段、操縱參數(shù)、弱會話cookie、SQL盲注、數(shù)字型SQL注入、字符串型SQL注入、web服務(wù)、Open Authentication失效、危險的HTML注釋等等。WebGoat提供了一系列web安全學(xué)習(xí)的教程，某些課程也給出了視頻演示，指導(dǎo)用戶利用這些漏洞進(jìn)行攻擊。

GitHub地址為：https://github.com/WebGoat/WebGoat

• XVWA靶場

Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL編寫的靶場，可以幫助初學(xué)者快速學(xué)習(xí)安全姿勢。https://github.com/s4n7h0/xvwa

• Pikachu靶場

一個好玩的 Web 安全漏洞測試平臺，跟 DVWA 類似，不過看上去比前者清晰（中文的），有簡單的漏洞頁面，不那么單調(diào)。

項目地址：github.com/zhuifengshao

• Vulnhub靶場

Vulnhub是一個提供各種漏洞環(huán)境的靶場平臺，供安全愛好者學(xué)習(xí)滲透使用，大部分環(huán)境是做好的虛擬機鏡像文件，鏡像預(yù)先設(shè)計了多種漏洞，需要使用VMware或者VirtualBox運行。每個鏡像會有破解的目標(biāo)，大多是Boot2root，從啟動虛機到獲取操作系統(tǒng)的root權(quán)限和查看flag。

下載鏈接https://download.vulnhub.com/breach/Breach-1.0.zip

• mutillidaemutillidae

mutillidaemutillidae是一個免費，開源的Web應(yīng)用程序，提供專門被允許的安全測試和入侵的Web應(yīng)用程序。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.開發(fā)的一款自由和開放源碼的Web應(yīng)用程序。其中包含了豐富的滲透測試項目，如SQL注入、跨站腳本、clickjacking、本地文件包含、遠(yuǎn)程代碼執(zhí)行等.

鏈接地址：http://sourceforge.net/projects/mutillidae

• SQLol

SQLol是一個可配置得SQL注入測試平臺，它包含了一系列的挑戰(zhàn)任務(wù)，讓你在挑戰(zhàn)中測試和學(xué)習(xí)SQL注入語句。此程序在Austin黑客會議上由Spider Labs發(fā)布。

鏈接地址：https://github.com/SpiderLabs/SQLol

• hackxor

hackxor是由albino開發(fā)的一個online黑客游戲,亦可以下載安裝完整版進(jìn)行部署,包括常見的WEB漏洞演練。包含常見的漏洞XSS、CSRF、SQL注入、RCE等。

鏈接地址：http://sourceforge.net/projects/hackxor

• BodgeIt

BodgeIt是一個Java編寫的脆弱性WEB程序。他包含了XSS、SQL注入、調(diào)試代碼、CSRF、不安全的對象應(yīng)用以及程序邏輯上面的一些問題。Exploit KB
該程序包含了各種存在漏洞的WEB應(yīng)用，可以測試各種SQL注入漏洞。此應(yīng)用程序還包含在BT5里

鏈接地址：http://exploit.co.il/projects/vuln-web-app

• WackoPicko

WackoPicko是由Adam Doupé.發(fā)布的一個脆弱的Web應(yīng)用程序，用于測試Web應(yīng)用程序漏洞掃描工具。它包含了命令行注射、sessionid問題、文件包含、參數(shù)篡改、sql注入、xss、flash form反射性xss、弱口令掃描等。

鏈接地址：https://github.com/adamdoupe/WackoPicko

• XSSeducation

XSSeducation是由AJ00200開發(fā)的一套專門測試跨站的程序。里面包含了各種場景的測試。

鏈接地址：http://wiki.aj00200.org/wiki/XSSeducation

• Google XSS 游戲

Google推出的XSS小游戲

鏈接地址：https://xss-game.appspot.com/

• Metasploitable

著名的滲透框架 Metasploit 出品方 rapid7 還提供了配置好的環(huán)境 Metasploitable，是一個打包好的操作系統(tǒng)虛擬機鏡像，使用 VMWare 的格式?？梢允褂?VMWare Workstation（也可以用免費精簡版的 VMWare Player ）“開機”運行。

鏈接地址：https://information.rapid7.com/metasploitable-download.html

下載地址：

http://downloads.metasploit.com/data/metasploitable/metasploitable-linux-2.0.0.zip

• OWASP Broken Web Applications Project

跟 Metasploitable 類似，這也是打包好的虛擬機鏡像，預(yù)裝了許多帶有漏洞的 Web 應(yīng)用，有真實世界里的流行網(wǎng)站應(yīng)用如 Joomla, WordPress 等的歷史版本（帶公開漏洞），也有 WebGoat, DVWA 等專門用于漏洞測試的模擬環(huán)境。

鏈接地址：https://code.google.com/p/owaspbwa/

• XCTF_OJ

XCTF-OJ （X Capture The Flag Online Judge）是由 XCTF 組委會組織開發(fā)并面向 XCTF 聯(lián)賽參賽者提供的網(wǎng)絡(luò)安全技術(shù)對抗賽練習(xí)平臺。XCTF-OJ 平臺將匯集國內(nèi)外 CTF 網(wǎng)絡(luò)安全競賽的真題題庫，并支持對部分可獲取在線題目交互環(huán)境的重現(xiàn)恢復(fù)，XCTF 聯(lián)賽后續(xù)賽事在賽后也會把賽題離線文件和在線交互環(huán)境匯總至 XCTF-OJ 平臺，形成目前全球 CTF 社區(qū)唯一一個提供賽題重現(xiàn)復(fù)盤練習(xí)環(huán)境的站點資源。

鏈接地址:http://oj.xctf.org.cn/

• PWNABLE.KR

以上都是網(wǎng)頁服務(wù)器安全相關(guān)的靶場，再推薦一個練習(xí)二進(jìn)制 pwn 的網(wǎng)站：Pwnable.kr。pwnable 這類題目在國外 CTF 較為多見，通常會搭建一個有漏洞（如緩沖區(qū)溢出等）的 telnet 服務(wù)，給出這個服務(wù)后端的二進(jìn)制可執(zhí)行文件讓答題者逆向，簡單一點的會直接給源代碼，找出漏洞并編寫利用程序后直接攻下目標(biāo)服務(wù)獲得答案。這個網(wǎng)站里由簡到難列出了許多關(guān)卡，現(xiàn)在就上手試試吧。

鏈接地址：http://pwnable.kr/%3Fp%3Dprobs

CTF學(xué)習(xí)路線圖

最詳細(xì)CTF各個方向?qū)W習(xí)路線+解題思維導(dǎo)圖。

CTF部落

高質(zhì)量CTF社區(qū)，致力于國內(nèi)網(wǎng)CTF比賽研究，每日分享行業(yè)最新資訊，交流解答各類技術(shù)問題。星球中可以獲取各類CTF比賽信息、解題工具、技巧、書籍、各種資源，發(fā)布政府機關(guān)、企業(yè)、廠商網(wǎng)絡(luò)安全招聘信息，及內(nèi)類內(nèi)推資格。所有發(fā)布的內(nèi)容均精心挑選、成體系化，讓你遠(yuǎn)離無用信息及零碎的知識點。

加入星球后獲得：

• 各類CTF比賽信息、解題工具、技巧、書籍、靶場資源；

• CTF學(xué)習(xí)思維導(dǎo)圖，0基礎(chǔ)開啟CTF之路；

• 遇到任何技術(shù)題都快速提問與討論交流的思路；

• 組織隊伍參與各類CTF比賽；

• 面試大廠心得及內(nèi)推資格；

加入星球后，可以跟我 1 對 1 免費提問交流、幫你確定安全學(xué)習(xí)方向和路線、和大家一起交流學(xué)習(xí)，從而激勵你持續(xù)學(xué)習(xí)！

隨著加入的星友越多，壓力就越大，所以保證質(zhì)量的同時，會適當(dāng)提高門檻。現(xiàn)在限時限量掃碼搶購500張￥100優(yōu)惠券體驗三天，如果不滿意三天可以免費全額退款，盡早體驗、以優(yōu)惠價加入肯定是不虧的。

如果覺得有用，記得關(guān)注公眾號、收藏文章哦！

關(guān)注公眾號，回復(fù)“CTF”，領(lǐng)取CTF各方向?qū)W習(xí)/解題思維導(dǎo)圖。回復(fù)“面試”，領(lǐng)取網(wǎng)安面試必考題及面試經(jīng)驗。

往期招聘

---

奇安信安全崗位招聘

天融信安全崗位招聘

深信服安全崗位招聘，有校招

安恒信息崗位招聘，高薪，可實習(xí)

綠盟科技安全崗位招聘，高薪

山石網(wǎng)科崗位招聘，高薪，可實習(xí)，大專可報

永安在線安全崗位招聘，高薪，大?？蓤?/p>

迪普科技安全崗位招聘，高薪，大?？蓤?/p>

亞信安全崗位招聘，高薪，大專可報

啟明星辰安全崗位招聘，百萬年薪，大?？蓤?/p>

中孚信息安全崗位招聘，高薪，學(xué)歷不限

安天移動安全崗位招聘，高薪，學(xué)歷不限

北京萬里紅安全崗位招聘，高薪，學(xué)歷不限

上海觀安信息安全崗位招聘，高薪

吉大正元安全崗位招聘，百萬年薪

北信源安全崗位招聘，高薪

北京神州泰岳安全崗位招聘，高薪

任子行安全崗位招聘，高薪

北京明朝萬達(dá)安全崗位招聘

聯(lián)通數(shù)科安全崗位招聘

杭州美創(chuàng)科技安全崗位招聘，高薪

北京長亭科技安全崗位招聘，百萬年薪

網(wǎng)宿科技安全崗位招聘

梆梆安全崗位招聘，高薪

北京億賽通安全崗位招聘，百萬年薪

東方通安全崗位招聘，高薪

竹云科技安全崗位招聘，高薪

上海派拉軟件安全崗位招聘，高薪

青藤云安全崗位招聘，高薪

恒安嘉新（北京）安全崗位招聘，高薪

北京芯盾時代安全崗位招聘，高薪

北京指掌易科技安全崗位招聘，高薪

北京飛天誠信安全崗位招聘，高薪，大?？蓤?/p>

深信服安全崗位招聘，百萬年薪專場招聘

北京亞鴻世紀(jì)安全崗位招聘，高薪

綠盟科技安全崗位招聘，高薪

奇安信安全崗位招聘，高薪

博智安全崗位招聘，高薪

海泰方圓安全崗位招聘，百萬年薪，大專可報

中國電子云安全崗位招聘

閃捷信息安全崗位招聘

北京珞安科技安全崗位招聘，高薪，大?？蓤螅蓪嵙?xí)

上海愛數(shù)信息安全崗位招聘，高薪

杭州天寬安全崗位招聘

阿里巴巴集團(tuán)安全崗位招聘，百萬年薪

默安科技安全崗位招聘

通付盾安全崗位招聘

北京長揚科技安全崗位招聘，高薪

天融信安全崗位招聘，高薪，大?？蓤?br>

山石網(wǎng)科安全崗位招聘，高薪

上海瑞數(shù)信息安全崗位招聘，高薪

想進(jìn)安全大廠么！快來看面試題及經(jīng)驗

往期CTF

---

CTF之misc雜項解題技巧總結(jié)（六）——視頻、音頻文件

CTF之misc雜項解題技巧總結(jié)（五）——圖片文件

CTF入門必備之題型介紹

CTF之misc雜項解題技巧總結(jié)（四）——SWF游戲和取證分析

CTF之misc雜項解題技巧總結(jié)（三）——壓縮文件

CTF之misc雜項解題技巧總結(jié)（二）——隱寫術(shù)

CTF之misc雜項解題技巧總結(jié)（一）——編碼與加密

干貨|CTF工具資源庫

11月全球CTF比賽時間匯總來了！

新手如何入門CTF？ctf比賽/學(xué)習(xí)資源整理，記得收藏！

CTF之web常見題型及解題技巧總結(jié)

CTF學(xué)習(xí)之CRYPTO（密碼學(xué)）總結(jié)

CTF pwn 中最通俗易懂的堆入坑指南

CTF之misc雜項解題技巧總結(jié)（七）——流量分析、搜索引擎及

12月全球CTF比賽時間匯總來了！

ctf比賽/學(xué)習(xí)資源整理，記得收藏！文末有CTF群

CTF-REVERSE練習(xí)之逆向初探

CTF學(xué)習(xí)路線推薦，建議收藏

CTF解題基本思路步驟（misc和web）

Linux PWN從入門到熟練

Linux PWN從入門到熟練（二）

CTF apk 安卓逆向考點、例題及三款移動應(yīng)用安全分析平臺

CTF 六大方向基礎(chǔ)工具合集

CTF-MISC基礎(chǔ)-壓縮包隱寫總結(jié)及常見套路

建議收藏，CTF網(wǎng)絡(luò)安全各方向入門知識匯總

超詳細(xì)，手把手教你打造CTF動態(tài)靶場

移動安全入門教程--Xposed篇

基于Ubuntu搭建CTFd平臺（全網(wǎng)最全）

年度總結(jié)，2022年CTF精華文章匯總

1月全球CTF比賽時間匯總來了！

CTF指南--隱寫術(shù)總結(jié)

ctf雜項misc之文件修復(fù)，含文件結(jié)構(gòu)修復(fù)、高度修復(fù)、標(biāo)識修復(fù)

ctf雜項misc之音頻隱寫總結(jié)

CTF之web安全賽題解析

一道簡單Chacha20_RC4算法CTF題目

CTF學(xué)習(xí)、項目、工具知識倉庫

網(wǎng)絡(luò)安全個人技能發(fā)展路線圖

CTF-綜合測試(高難度)【超詳細(xì)】

CTFHUB--技能樹--SSRF全解（上篇）

CTFHUB--技能樹--SSRF全解（下篇）

網(wǎng)絡(luò)安全初、中、高階學(xué)習(xí)路線圖，建議收藏！

2023年網(wǎng)絡(luò)安全技術(shù)自學(xué)路線圖及職業(yè)選擇方向

逆向分析學(xué)習(xí)入門教程

CTF PWN新手入門篇，PWN學(xué)習(xí)總結(jié)

網(wǎng)絡(luò)安全ctf比賽/學(xué)習(xí)資源整理，解題工具、思路、靶場、學(xué)習(xí)路線，推薦收藏！

網(wǎng)絡(luò)安全思維導(dǎo)圖

網(wǎng)絡(luò)安全 CTF(加密, 解密)全過程解析

CTF網(wǎng)絡(luò)安全之Misc-zip壓縮包分析

CTF無線網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)

2月國內(nèi)外CTF比賽時間匯總來了！

網(wǎng)絡(luò)安全面試題（含答案）

網(wǎng)絡(luò)安全思維導(dǎo)圖

Kali linux無線網(wǎng)絡(luò)滲透詳解筆記

數(shù)據(jù)庫語法整理及WAF繞過方式

干貨|網(wǎng)絡(luò)安全滲透測試面試問題匯總，持續(xù)更新 建議收藏

幾道ctf的密碼入門題目

CTFer成長之路之CTF中的SQL注入

CTFer成長之路之命令執(zhí)行漏洞

Jetty 內(nèi)存馬注入分析

區(qū)塊鏈常見漏洞列表

3月國內(nèi)外CTF比賽時間匯總來了！

2023年3月網(wǎng)絡(luò)安全行業(yè)活動一覽

端口漏洞總結(jié)

CTF逆向——Flutter 逆向初探

藍(lán)橋杯第十四屆藍(lán)橋杯模擬賽第三期考場應(yīng)對攻略（C/C++）

web和pwn題的簡單動態(tài)flag實現(xiàn)

kalmarCTF 部分WP

0ctfbabyheap WP——堆溢出fastbin attack初探

從CTF中學(xué)習(xí)文件包含漏洞

BugKu CTF

---

BugKu CTF(雜項篇MISC)—想要種子嗎

BugKu CTF(雜項篇MISC)—社工-進(jìn)階收集

BugKu CTF(雜項篇MISC)—善用工具

BugKu CTF(雜項篇MISC)—隱寫2

BugKu CTF(雜項篇MISC)—只有黑棋的棋盤

BugKu CTF(雜項篇MISC)—隱寫

BugKu CTF(雜項篇MISC)—1和0的故事

BugKu CTF(雜項篇MISC)—放松一下吧

BugKu CTF(雜項篇MISC)—白哥的鴿子

更多CTF比賽信息、writeup請點擊公眾號菜單欄CTF

END

掃碼關(guān)注

網(wǎng)絡(luò)安全研究所

更多精彩等著你文章來源地址http://www.zghlxwxcb.cn/news/detail-424113.html