国内CTF
此处推荐三个ctf靶场:
ctfhub(https://www.ctfhub.com/);
ctfshow(https://ctf.show/);
buuctf(https://buuoj.cn/)。
当然还有很多很好的平台,比如:
攻防世界(https://adworld.xctf.org.c/),
BugkuCTF(https://ctf.bugku.com/),新平台开放了awd模式
看雪(https://www.kanxue.com/)等等。
ctfhub平台
https://www.ctfhub.com/#/index
图1 ctfhub平台首页
新手首推ctfhub,拥有web等技能树模块,web技能树包含信息泄露,密码口令,SQL注入,xss,文件上传,RCE,SSRF等常见ctf题型内容,可以给予一个清晰的学习路线,并全程免费,只需花费开启环境的一点点金币(签到做题都可获得),简单实惠,入门的不二之选,希望可以早点出Reverse与Pwn技能树的内容。
图2 ctfhub文件上传技能树
ctfshow
https://ctf.show/
图3 ctfshow平台首页
图4 ctfshow题目详情
Buuctf
https://buuoj.cn/
图5 buuctf平台首页
buuctf拥有多个方向(web,reverse)等大赛原题,适合刷题服用,特别是pwn与reverse类型的题目较其他平台会比较多。
图6 buuctf题目列表
专项靶场
此处推荐三个常用类型的必刷靶场:sql注入,xss,文件上传。都可使用github进行下载配置到本地或使用docker进行搭建(推荐使用docker进行坏境搭建,自己下载配置到本地可能会因为各种版本问题踩坑)。
sqli-labs
https://github.com/Audi-1/sqli-labs
一个印度大神程序员写的,用来学习sql注入的一个游戏教程。
图7 sqli-labs目录
前面关卡使用黑盒进行练习,后面关卡可配合防护代码配合服用(主要是太菜了,30关之后不看防护代码就过不去了)。如果想进行绕waf练习的师傅,也可加上防护后进行练习。
xss-lab
https://github.com/Re13orn/xss-lab
20道XSS通关题目,构造xss攻击语句,可通过闭合标签,事件标签等方法进行,在学习xss时值得一试。
图8 xss-lab目录
upload-labs
https://github.com/c0ny1/upload-labs
一个和sqli-labs类似的靶场平台,专门学习文件上传的靶场,现在共有21关,包括条件竞争,内容检测,数组绕过,配合解析漏洞绕过等内容。
图9 upload-labs目录
监制:船长、铁子 策划:格纸 文案:ly2333 美工:青柠
原文始发于微信公众号(我是安服):安服笔记:花式玩转ctf的几个靶场
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论