DVWA
推荐新手首选靶场,配置简单,需下载 phpstudy 和靶场文件包,简单部署之后即可访问。
包含了常见的web漏洞(php的),每个漏洞分为四个等级,每个等级都有源码查看,最高等级的源码是最安全的。
DVWA靶场源码下载:http://www.dvwa.co.uk/index.php
phpstudy官方下载:https://m.xp.cn/
网络安全实验室
做题的靶场,也是一个基础靶场,是一个在线的靶场。
sqli-labs
sqli-labs 包含了大多数的 sql 注入类型,以一种闯关模式,对于 sql 注入进行漏洞利用。
sql 注入练习首选,同样需要 phpstudy (或者 amp 环境)加靶场源码包部署。
sqli-labs 靶场源码下载:https://github.com/Audi-1/sqli-labs
upload-labs
upload-labs 包含了大多数文件上传类型,一个包含几乎所有类型上传漏洞的靶场。
目前更新到 20 关。
靶场源码下载地址:https://github.com/c0ny1/upload-labs
xss challenges
xsschallenges 是一个专对于 XSS 漏洞练习的的靶场,包含了各种绕过,各种姿势的 XSS 利用。
在线靶场地址:http://xss-quiz.int21h.jp/
必火网络安全-必火靶机三
这个在线靶场涵盖了大多数的 Web 漏洞,跟 DVWA 的机制差不多,还有 CTF 题可做,个人认为是一个比较全的一个 Web 漏洞靶场。
在线靶场地址:https://www.bihuoedu.com/
OWASP Broken Web Applications Project
靶场由 OWASP 专门为 Web 安全研究者和初学者开发的一个靶场,包含了大量存在已知安全漏洞的训练实验环境和真实 Web 应用程序。
靶场在官网下载后是一个集成虚拟机,可以直接在 vm 中打开,物理机访问 ip 即可访问到 web 平台,使用 root/owaspbwa 登入就会返回靶场地址,直接可以访问靶场。
DVWA 适合了解漏洞和简单的漏洞利用,owaspbwa 则就更贴近实际的复杂的业务环境。
靶场虚拟机下载地址:https://sourceforge.net/projects/owaspbwa/
VulHub
这是一个开源的漏洞环境项目,包含了很多不同的环境,是继 owaspbwa 以后,漏洞种类多,环境丰富的一个靶场,并且收集的漏洞也比较新,适合作为一个长期的学习、实战靶场。
Vulhub 是一个基于 docker 和 docker-compose 的漏洞环境集合,需要在 linux 下安装 docker,有 docker 环境之后,即可一条语句启动一个漏洞环境。
vulhub 指导安装地址:https://vulhub.org/
vulnhub
Vulnhub 是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用 VMware 或者 VirtualBox 运行。
每个镜像会有破解的目标,大多是 Boot2root,从启动虚机到获取操作系统的 root 权限和查看 flag。
相比于 vulhub,这是采用的虚拟机镜像,前者是采用 docker。
webug4.0
基础环境是基于 PHP/mysql 制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。
部分漏洞是基于 Windows 操作系统的漏洞所以将 WeBug 的 Web 环境都装在了一个纯净版的 Windows 虚拟机中。
虚拟机下载地址:https://pan.baidu.com/s/128ftyRIdCibJu6FJfEKltg
提取码: 5er7
vulnstack
红蓝对抗,内网、域渗透最新靶场:
地址:http://vulnstack.qiyuanxuetang.net/vuln/
