【2025最新】20个渗透CTF练习平台资源

持续学习和实践，是每位安全从业者，尤其是红队成员，保持竞争力的关键。CTF (Capture The Flag，夺旗赛) 和渗透测试练习平台，为我们提供了磨练技能的绝佳环境。

为大家搜集一批免费渗透测试/CTF 练习平台，本次的练习资源有部分倾向于初学者（如：专为linux命令行设计的，入门级的 CTF 挑战的等）。

• 1.Academy Hackaflag BR (https://hackaflag.com.br) - 巴西的 CTF 平台，提供各种 CTF 挑战和练习，但内容以葡萄牙语为主。

• 理念: 推广网络安全知识，提升安全技能。

• 优势: 题目类型丰富，难度适中。

• **缺点：**语言障碍，社区活跃度不高。

• 是否免费: 免费

• 2.Attack-Defense: (https://attackdefense.com) - 攻防对抗练习平台， 模拟真实攻防场景。

• 理念: 实战演练，提升攻防对抗能力。

• 优势: 高度模拟真实环境，更贴近实战。

• 缺点: 需要一定的技术基础，部分高级功能可能需要付费。

• 是否免费: 部分免费

• 3.CTF Komodo: (https://ctf.komodosec.com) - CTF 比赛平台， 定期举办 CTF 比赛。

• **理念：**以比赛形式提升技能，发现安全人才。

• 优势: 题目质量高，比赛氛围浓厚。

• 缺点: 比赛时间不固定，需要提前注册。

• 是否免费: 免费

• 4.CMD Challenge: (https://cmdchallenge.com) - 命令行挑战网站， 主要考察 Linux 命令行操作技能。

• **理念：**通过挑战提升 Linux 命令行技能。

• **优势：**题目设计精巧，趣味性强，适合入门学习。

• **缺点：**只关注 Linux 命令行，内容较为单一。

• 是否免费: 免费

• 5.Exploit Education: (https://exploit.education) - 漏洞利用学习平台， 提供各种漏洞利用教程和练习。

• 理念： 系统化学习漏洞利用技术。

• 优势: 教程详细，循序渐进，适合系统学习。

• 缺点： 部分高级内容需要付费。

• 是否免费: 部分免费

• 6.Google CTF：(https://capturetheflag.withgoogle.com) - Google 举办的 CTF 比赛，题目质量高，难度大。

• 理念： 发现和培养安全人才， 提升 Google 产品的安全性。

• 优势： 题目质量高，挑战性强，奖品丰厚。

• 缺点： 比赛时间不固定，竞争激烈。

• 是否免费: 免费

• 7.HackTheBox: (https://hackthebox.com) - 知名的渗透测试练习平台， 提供各种虚拟靶机，模拟真实攻击场景。

• 理念: 实战练习，提升渗透测试技能。

• 优势: 靶机环境真实，题目设计精良，社区活跃。

• **缺点：**需要邀请码才能注册，部分靶机需要 VIP 权限才能访问。

• 是否免费: 部分免费

• 8.Hackthis：(https://hackthis.co.uk) - Web安全挑战网站，提供各种 Web 安全挑战题目。

• **理念：**通过挑战提升 Web 安全技能。

• 优势: 题目类型丰富，难度梯度合理。

• 缺点: 部分挑战题目可能过时。

• **是否免费：**免费

• 9.Hacksplaining: (https://hacksplaining.com/lessons) - Web 安全学习平台，提供各种 Web 安全漏洞的讲解和演示。

• 理念: 以通俗易懂的方式讲解 Web 安全知识。

• 优势： 内容简洁明了，易于理解，适合入门学习。

• 缺点: 内容深度有限，缺乏实战练习。

• 是否免费: 部分免费

• 10.Hacker101: (https://hacker101.com) - Web 安全学习平台， 由 HackerOne 提供，包含视频教程、文章和 CTF 挑战。

• **理念：**普及 Web 安全知识，培养安全人才。

• 优势: 内容全面，形式多样，结合实战练习。

• **缺点：**部分高级内容需要 HackerOne 账号才能访问。

• 是否免费： 部分免费

• 11.Hacking-Lab: (https://hacking-lab.com) - Web 安全练习平台， 提供各种 Web 安全挑战题目。

• **理念：**通过实战练习提升 Web 安全技能。

• 优势: 题目难度适中，适合进阶学习。

• 缺点: 网站界面设计较为简单。

• 是否免费: 免费

• 12.HSTRIKE: (https://hstrike.com) - 网络安全学习和练习平台，提供各种安全工具和挑战。

• **理念：**提供一个集成的安全学习和练习环境。

• 优势: 资源丰富，工具齐全。

• **缺点：**部分内容需要付费。

• **是否免费：**部分免费

• 13.ImmersiveLabs: (https://immersivelabs.com) - 网络安全培训平台，提供各种网络安全挑战，以游戏化的方式进行学习。

• **理念：**以趣味性提升学习效果，寓教于乐。

• 优势: 内容生动有趣，互动性强。

• **缺点：**部分高级内容需要付费。

• **是否免费：**部分免费

• 14.NewbieContest: (https://newbiecontest.org) - CTF 比赛平台， 面向初学者，提供入门级的 CTF 挑战。

• **理念：**为 CTF 初学者提供一个友好的入门环境。

• **优势：**题目难度低， 适合入门学习。

• **缺点：**挑战类型有限， 深度不足。

• **是否免费：**免费

• 15.OverTheWire: (http://overthewire.org) - 战争游戏网站，提供一系列 Linux 安全挑战，需要通过 SSH 连接到服务器完成挑战。

• **理念：**通过挑战逐步提升 Linux 安全技能。

• **优势：**挑战设计精良，循序渐进涵盖了Linux 安全的各个方面。

• **缺点：**需要一定的 Linux 基础知识。

• **是否免费：**免费

• 16.Practical Pentest Labs: (https://practicalpentestlabs.com) - 渗透测试练习平台， 提供各种虚拟靶机和挑战。

• 理念： 以实践为导向， 提升渗透测试技能。

• 优势: 靶机环境真实， 题目设计贴近实战。

• 缺点： 部分内容需要付费。

• 是否免费： 部分免费

• 17.PenetrationTestingPracticeLabs - (https://amanhardikar.com/mindmaps/Practice.html) - 渗透测试练习平台，提供各种虚拟靶机和挑战。

• **理念：**以实践为导向，提升渗透测试技能。

• **优势：**靶机环境真实，题目设计贴近实战。

• **缺点：**部分内容需要付费。

• **是否免费：**免费

• 18.PentesterLab: (https://pentesterlab.com) - Web 安全学习和练习平台，提供各种 Web 安全挑战题目。

• 理念： 通过实战练习提升 Web 安全技能。

• 优势： 题目设计精良，内容丰富涵盖了 Web 安全的各个方面。

• 缺点： 部分高级内容需要付费。

• 是否免费： 部分免费

• 19.PicocTF: (https://picoctf.org) - 由卡内基梅隆大学主办的 CTF 比赛，面向中学生和大学生，旨在培养网络安全人才。

• 理念: 培养下一代网络安全人才。

• 优势: 题目设计合理，难度适中，适合学生入门学习。

• **缺点：**主要面向学生，对于有经验的红队成员来说，挑战性可能不足。

• 是否免费： 免费

• 20.PWnable: (https://pwnable.kr/play.php) - Pwn 题练习平台， 提供各种 Pwn 题挑战， 考察二进制漏洞利用技能。

• 理念: 提供一个练习 Pwn 题的平台， 提升二进制漏洞利用技能。

• 优势: 题目设计精良，难度逐渐递增，适合进阶学习。

• **缺点：**只关注 Pwn 题，内容较为单一。

• **是否免费：**免费

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习； 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统； 熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

网络安全学习路线&学习资源

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失！！！