文章目录
前言
俗话说百看不如一练。
小编今天总结了2024年11个网络安全必练的靶场,以供学习,早日成高手
11个靶场
- DVWA
- XVWA
- WeBug
- DSVW
- Pikachu
- upload-labs
- SQLi-Labs
- Vulhub漏洞靶场
- Root Me
- VulnStack综合实战靶场
- vulnhub
一、DVWA
号称Web 渗透学习神器 —— DVWA。
下载地址:
https://github.com/digininja/DVWA/archive/master.zip
教程
https://blog.youkuaiyun.com/qq_42620328/article/details/127313806
DVWA是一款基于PHP和mysql开发的web靶场练习平台,集成了常见的web漏洞如sql注入,xss,密码破解等常见漏洞。本教程将以DVWA为例,演示常见的web漏洞的利用和攻击。
DVWA 一共包含了十个攻击模块,分别是:Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、- File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站脚本)、XSS(Stored)(存储型跨站脚本)。包含了 OWASP TOP10 的所有攻击漏洞的练习环境,一站式解决所有 Web 渗透的学习环境
二、XVWA
XVWA 是一个用 PHP/MySQL 编写的编码错误的 Web 应用程序,可帮助安全爱好者学习应用程序安全性。不建议在线托管此应用程序,因为它被设计为“极其脆弱”。
下载地址:
https://github.com/s4n7h0/xvwa
教程:
https://blog.youkuaiyun.com/weixin_43623271/article/details/121691432
三、WeBug
WeBug 名称定义为”我们的漏洞”靶场环境 ,基础环境是基于 PHP/mysql 制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于Windows操作系统的漏洞所以将WeBug的web环境都装在了一个纯净版的Windows 2003的虚拟机中。在 webug3.0 发布后的四百多天 226安全团队终于在大年初二发布了 webug 的 4.0 版本
下载地址:
https://github.com/wangai3176/webug4.0
教程:
https://blog.youkuaiyun.com/liver100day/article/details/115857058
四、DSVW
一款轻量级Web漏洞教学演示系统(DSVW)
其作者是 Miroslav Stampar, 对! 就是sqlmap同一个作者, 它支持大多数(流行的)Web漏洞环境与攻击EXPLOIT, 同时各个漏洞环境还提供了相关说明与介绍的链接地址。
Damn Small Vulnerable Web (DSVW) 是使用 Python 语言开发的 Web应用漏洞 的演练系统。
下载地址:
$ git clone git@github.com:stamparm/DSVW.git
教程:
https://blog.youkuaiyun.com/qq_43266093/article/details/121686039
五、Pikachu
pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么pikachu可能正合你意。
下载地址:
https://github.com/zhuifengshaonianhanlu/pikachu
教程:
https://blog.youkuaiyun.com/xhy18634297976/article/details/116278388
六、upload-labs
upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。
下载地址:
https://github.com/c0ny1/upload-labs/releases
教程:
https://blog.youkuaiyun.com/gankjk/article/details/121080053
第一关 js检查
第二关 Content-Type
第三关 黑名单验证
第四关 黑名单验证(.htaccess绕过)
第五关 黑名单验证(.user.ini)
第六关 空格绕过
第七关 点绕过
第八关 ::$DATA绕过
第九关 .空格.绕过
第十一关 文件路径%00截断
第十二关 文件路径0x00截断
第十三关 文件头检测
七、SQLi-Labs
Sqli-labs是一个帮你总结大部分SQL注入漏洞类型的靶场,学习SQL注入漏洞原理,复现SQL注入漏洞必备靶场环境。
下载地址:
https://github.com/Audi-1/sqli-labs
教程:
https://blog.youkuaiyun.com/hxhxhxhxx/article/details/107643024
八、Vulhub漏洞靶场
Vulhub是一个基于Docker和Docker-compose的漏洞环境集合,可以帮助我们很方便的搭建包含有各种漏洞的靶场环境,从而使得我们更加方面的研究各种漏洞,从而节省环境搭建的时间和精力**。**
官网地址:
https://vulhub.org/
九、Root Me
Rootme CTF all the day
漏洞地址:
https://www.root-me.org/en/Capture-The-Flag/CTF-all-the-day/
教程
https://www.cnblogs.com/yzai/p/13956672.html
十、VulnStack综合实战靶场
八大综合内网靶场,重要的是完全免费
地址
http://vulnstack.qiyuanxuetang.net/vuln/
十一、 vulnhub
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。
下载地址:
https://www.vulnhub.com/
零基础入门网络安全/信息安全
【----帮助网安学习,以下所有学习资料文末免费领取!----】
> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)
大纲
首先要找一份详细的大纲。
学习教程
第一阶段:零基础入门系列教程
该阶段学完即可年薪15w+
第二阶段:技术入门
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
面试刷题
最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。
但是,我觉得很多人拿到了却并不会去学习。
大部分人的问题看似是“如何行动”,其实是“无法开始”。
几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要。
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
