WEB 渗透靶场整合


DVWA

推荐新手首选靶场,配置简单,需下载 phpstudy 和靶场文件包,简单部署之后即可访问。

包含了常见的web漏洞(php的),每个漏洞分为四个等级,每个等级都有源码查看,最高等级的源码是最安全的。

网络安全实验室

做题的靶场,也是一个基础靶场,是一个在线的靶场。

sqli-labs

sqli-labs 包含了大多数的 sql 注入类型,以一种闯关模式,对于 sql 注入进行漏洞利用。

sql 注入练习首选,同样需要 phpstudy (或者 amp 环境)加靶场源码包部署。

upload-labs

upload-labs 包含了大多数文件上传类型,一个包含几乎所有类型上传漏洞的靶场。

目前更新到 20 关。

xss challenges

xsschallenges 是一个专对于 XSS 漏洞练习的的靶场,包含了各种绕过,各种姿势的 XSS 利用。

必火网络安全-必火靶机三

这个在线靶场涵盖了大多数的 Web 漏洞,跟 DVWA 的机制差不多,还有 CTF 题可做,个人认为是一个比较全的一个 Web 漏洞靶场。

OWASP Broken Web Applications Project

靶场由 OWASP 专门为 Web 安全研究者和初学者开发的一个靶场,包含了大量存在已知安全漏洞的训练实验环境和真实 Web 应用程序。

靶场在官网下载后是一个集成虚拟机,可以直接在 vm 中打开,物理机访问 ip 即可访问到 web 平台,使用 root/owaspbwa 登入就会返回靶场地址,直接可以访问靶场。

DVWA 适合了解漏洞和简单的漏洞利用,owaspbwa 则就更贴近实际的复杂的业务环境。

VulHub

这是一个开源的漏洞环境项目,包含了很多不同的环境,是继 owaspbwa 以后,漏洞种类多,环境丰富的一个靶场,并且收集的漏洞也比较新,适合作为一个长期的学习、实战靶场。

Vulhub 是一个基于 docker 和 docker-compose 的漏洞环境集合,需要在 linux 下安装 docker,有 docker 环境之后,即可一条语句启动一个漏洞环境。

vulnhub

Vulnhub 是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用 VMware 或者 VirtualBox 运行。

每个镜像会有破解的目标,大多是 Boot2root,从启动虚机到获取操作系统的 root 权限和查看 flag。

相比于 vulhub,这是采用的虚拟机镜像,前者是采用 docker。

webug4.0

基础环境是基于 PHP/mysql 制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。

部分漏洞是基于 Windows 操作系统的漏洞所以将 WeBug 的 Web 环境都装在了一个纯净版的 Windows 虚拟机中。

vulnstack

红蓝对抗,内网、域渗透最新靶场:


文章作者: EXP
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 EXP !
 上一篇
Android APP 反编译入门学习笔记 Android APP 反编译入门学习笔记
参考资料 内容 资料/链接 说明 ApkTool + dex2jar + JD-GUI 《(Mac)反编译Android APK详细操作指南》 Apk 反编译工具(入门级,较繁琐) Jadx Github 源码 Apk 反编译
2019-11-21
下一篇 
CTF 解题报告 CTF 解题报告
Root Me、 XSS Game、 prompt(1) to win、 alert(1) to win、 RedTiger's Hackit、 sqli-labs、 CG-CTF、 xss-quiz、 upload-labs、 BugkuCTF
2019-02-10
  目录