学习渗透测试期间,大家都会接触一些常用的靶场环境,这篇文件就来介绍一下各种靶场环境,附下载链接。
DVWA
![图片[1]-白帽子黑客在线学习与交流社区学习网络安全常见的靶场环境(附下载链接)](http://www.4x45.com/wp-content/uploads/2023/04/DVWA.png)
DVWA靶场是新手入门必练的靶场之一,包含注入、文件包含File Inclusion、跨站请求伪造CSRF、命令注入Command Injection、暴力破解Brute Force、不安全的验证码Insecure CAPTCHA、SQL注入SQL Injection、SQL盲注SQL Injection Blind、反射型跨站脚本攻击XSS Reflected、存储型跨站脚本攻击XSS Stored。
下载链接:https://github.com/digininja/DVWA
OWASP
![图片[2]-白帽子黑客在线学习与交流社区学习网络安全常见的靶场环境(附下载链接)](http://www.4x45.com/wp-content/uploads/2023/04/owasp.png)
OWASP靶场包含了大量存在已知安全漏洞的训练实验环境和真实Web应用程序,所包含的环境非常多,相对DVWA来说更贴近实战,靶场不仅有专门设计的web漏洞应用场景 ,还包含了部分常见的开源web应用程序,相对dvwa不仅有PHP,也还有Jsp、Asp、Python等动态脚本语言环境,而且包含的漏洞种类也非常的丰富,除了常见的web漏洞外,还包含了访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、web服务、Open Authentication失效、危险的HTML注释等,非常适合学习和实践。
地址: https://sourceforge.net/projects/owaspbwa/
SQL-Labs(SQL注入)
![图片[3]-白帽子黑客在线学习与交流社区学习网络安全常见的靶场环境(附下载链接)](http://www.4x45.com/wp-content/uploads/2023/04/SQLlabab靶场-1-1024x355.png)
sqli-labs包含了多数的SQL注入类型,闯关模式,靶场漏洞类型单一,针对SQL注入的漏洞较为全面,安装简单。学习SQL注入的时候可以玩玩,安装教程啥的网上一大堆,就不赘述,过关教程一样烂大街,可以百度搜一下,学员会带大家进行实战了解SQL注入的利用。
地址: https://github.com/Audi-1/sqli-labs
VulHub
![图片[4]-白帽子黑客在线学习与交流社区学习网络安全常见的靶场环境(附下载链接)](http://www.4x45.com/wp-content/uploads/2023/04/vulhub-1024x360.png)
Vulhub是基于docker和docker-compose的漏洞环境集合.
Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。旨在让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。
安装
# If you don't have a docker installed, you'll need to install docker
curl -s https://get.docker.com/ | sh
# Use pip to install docker-compose
pip install docker-compose
# Entry vulnerability directory
cd /path/to/vuln/
# Compile (optional)
docker-compose build
# Run
docker-compose up -d
更多安装说明与使用方法请阅读详细文档。
Vulhub使用的完整演示,从纯净版Ubuntu Linux到安装docker、pip、docker-compose,到启动漏洞环境到最后漏洞的复现:官网入口
地址: https://www.vulnhub.com/
Pikachu
![图片[5]-白帽子黑客在线学习与交流社区学习网络安全常见的靶场环境(附下载链接)](http://www.4x45.com/wp-content/uploads/2023/04/pikachu-1024x520.png)
Pikachu靶场也是一个比较综合性的靶场,Pikachu带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。 如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。
Pikachu上的漏洞类型列表如下:
- Burt Force(暴力破解漏洞)
- XSS(跨站脚本漏洞)
- CSRF(跨站请求伪造)
- SQL-Inject(SQL注入漏洞)
- RCE(远程命令/代码执行)
- Files Inclusion(文件包含漏洞)
- Unsafe file downloads(不安全的文件下载)
- Unsafe file uploads(不安全的文件上传)
- Over Permisson(越权漏洞)
- ../../../(目录遍历)
- I can see your ABC(敏感信息泄露)
- PHP反序列化漏洞
- XXE(XML External Entity attack)
- 不安全的URL重定向
- SSRF(Server-Side Request Forgery)
- More…(找找看?..有彩蛋!)
- 管理工具里面提供了一个简易的xss管理后台,供你测试钓鱼和捞cookie~
GitHub地址:https://github.com/zhuifengshaonianhanlu/pikachu
百度网盘:https://pan.baidu.com/s/1Oy_hRT3VBsYVM3Ko6S1p9w 提取码:2dzg
Upload-labs
![图片[6]-白帽子黑客在线学习与交流社区学习网络安全常见的靶场环境(附下载链接)](http://www.4x45.com/wp-content/uploads/2023/04/Upload-labs.png)
upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。
地址:https://github.com/c0ny1/upload-labs
链接:https://pan.baidu.com/s/1-f0xtkzHdXmpCsRw74tayw
提取码:jwyg
07xss-labs
![图片[7]-白帽子黑客在线学习与交流社区学习网络安全常见的靶场环境(附下载链接)](http://www.4x45.com/wp-content/uploads/2023/04/xss-labs-1024x411.png)
基于跨站脚本攻击的一个在线漏洞靶场,无需下载,直接可以在线使用。
使用地址: http://test.xss.tv
本站永久网址:https://www.4×45.com , 本文内容仅为技术科普,请勿用于非法用途 ,本文内容未隐讳任何个人、群体、公司。非文学作品,请勿用于阅读理解的练习 , 根据《计算机软件保护条例》第十七条,本站所有软件请仅用于学习研究用途 , 本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责 —版权声明
暂无评论内容