如果说你没听说过“网鼎杯”,那么可以说作为网络安全人员至少 你还没有入圈。
网络安全界的“奥运会”,应该 算是国内影响最大、规模最大的网络安全 赛事了!
看看大赛的指导、支持单位就了解了
本号的很多读者都是学生,而且是自己凭着兴趣 在摸索着学习网络 安全的学生,今天就来介绍一下,对于 学习网络安全来说 ,参加CTF比赛的意义!
很多第一次参加ctf,大多为学生,周围也没有那么多的技术人员,但是在ctf上可以快速提高自己的能力,督促自己去学习
网络安全的ctf很重要 竞赛含金量很高。CTF高手在毕业后,很受互联网公司欢迎。一般来说,世界互联网企业巨头,也是网络安全领域的巨头。像阿里、腾讯、华为这些世界级的IT公司,网络安全方面出了问题是无法想象的。
这些公司都有专门的网络安全部门、实验室,在那里工作的人员,多数有过CTF的参赛经历。
在我们这个互联网时代,网络安全显得尤为重要。无论是对一个国家,还是一家互联网公司,这样的网络安全对抗在现实中无时无刻都在发生。
分享一下,本号 主去年写的一篇CTF学习文章。
▶0x01 CTF赛事发布网站
▶0x02 CTF在线靶场
▶0x03 漏洞靶场(本地搭建)
▶0x04 渗透实战靶场
▶0x05 CTF渗透工具包
i春秋和XCTF社区经常会发布各类CTF赛事
i春秋: https://www.ichunqiu.com/competition
XCTF社区:https://time.xctf.org.cn
CTFwiki(入门必看wiki):
https://ctf-wiki.github.io/ctf-wiki/#/introduction
CTFrank: https://ctfrank.org/
CTFtime(基本都是国外的): https://ctftime.org
1、BugkuCTF(经典靶场,难度适中,适合入门刷题,题量大)
https://ctf.bugku.com/
2、北京联合大学BUUCTF(新靶场,难度中上,搜集了很多大赛原题)
https://buuoj.cn/
3、CTFSHOW:(新靶场,题量大,很多大赛会从中抽原题)
https://ctf.show/challenges
4、XCTF攻防世界:https://adworld.xctf.org.cn/task
上面4个靶场是我常去的,BugkuCTF很久以前就刷了一遍,BUUCTF刷了有70%,CTFSHOW最近一直在刷,XCTF攻防世界以前有内网渗透实验,现在主要上去刷CTF。
5、实验吧:
http://www.shiyanbar.com(2017年刷过一遍,目前站一直更新)
6、安恒周周练:https://www.linkedbyx.com/home
7、XSS专练:https://xss.haozi.me/tools/xss-encode/
8、南京邮电大学CTF网络攻防训练平台: http://ctf.nuptzj.cn/
9、网络信息安全实验平台 http://hackinglab.cn/index.php
1. DVWA(必练):Web安全入门必刷的靶场,包含了最常见的web漏洞,界面简单易用,通过设置不同的难度,可更好地理解漏洞的原理及对应的代码防护
http://www.dvwa.co.uk
2. Sqli-Labs(必练):一个印度大神程序员写的,用来学习sql注入的一个游戏教程,目前65关,冲关过程中学注入。
https://github.com/Audi-1/sqli-labs
3. Upload-labs(必练):一个和sqli-labs类似的靶场平台,专门学习文件上传的,目前21关。
https://github.com/c0ny1/upload-labs
4. BWVS(老版本bugku的离线版):
https://github.com/bugku/BWVS
5. BWAPP:
https://sourceforge.net/projects/bwapp
6. WAVSEP:
https://github.com/sectooladdict/wavsep
7. VulnStack:
http://vulnstack.qiyuanxuetang.net/vuln
8. Webug 3.0:
https://pan.baidu.com/s/1eRIB3Se
9. Metasploitable:
https://github.com/rapid7/metasploitable3
10. DVWA-WooYun:
https://sourceforge.net/projects/dvwa-wooyun
11. OWASP Mutillidae:
https://sourceforge.net/projects/mutillidae
12. Web for Pentester:
https://www.pentesterlab.com/exercises/web_for_pentester
1、Vulhub: (各种漏洞环境集合,一键搭建漏洞测试靶场)
https://vulhub.org/(在线版)
https://github.com/vulhub/vulhub(离线版)
2、vulnhub:(国外实战靶场,适合入门提高)
https://www.vulnhub.com/
3、vulnstack(红队实战靶场,域、横向渗透、多层网络,强烈推荐,目前共7个靶场,网上writeup齐全)
http://vulnstack.qiyuanxuetang.net/vuln/#
4、WebGoat:(WEB漏洞测试和练习)
https://github.com/WebGoat/WebGoat
5、Web For Pentester(web漏洞检测技术。)
https://www.pentesterlab.com
6、VulApps(快速搭建各种漏洞环境与安全工具环境)
http://vulapps.evalbug.com/
7、bWAPP(集成了各种常见漏洞和最新漏洞的开源Web应用程序)
http://www.itsecgames.com/
8、btslab(不同类型的Web应用程序漏洞)
https://github.com/CSPF-Founder/btslab/
9、pikachu(一个好玩的Web安全-漏洞测试平台)
https://github.com/zhuifengshaonianhanlu/pikachu
CTF大赛, 俗话说“兵马未动,粮草先行”。打CTF手里的武器工具少不了,CTF比赛有些线下赛,不提供互联网环境,这就更需要开战前把工具包准备好了。
工具包目录如下文,文末有云盘下载链接(部分工具版本稍早,但都比较稳定)。
CTF工具包大合集目录如下:
工具包目录:
-
综合利用工具(包含菜鸟教程、w3cschool、各种API)
-
抓包工具
-
注入工具
-
隐写工具
-
提权工具
-
数据库工具
-
扫描工具
-
逆向工具(包含反编译工具)
-
内网工具
-
二进制工具
-
代理转发类工具
-
暴力破解工具
-
安装环境包(Java、python、php)
-
XSS
-
webshell
工具包目录
分类具体目录
隐写工具目录:
注入攻击目录:
扫描工具:
逆向工具:
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论