从事网络安全界10余年总结了5大类23个网络靶场。5大类基础类、CTF类、漏洞演练、内网渗透、综合类这些不只是简单的网络靶场这是求职的敲门砖、这是安身立命的试金石、这是黑客成长通向理想殿堂的必经之路。包括渗透基础、CTF、漏洞实战、内网渗透。一、基础类1、DVWA新手必练、离线部署推荐新手首选靶场下载地址https://github.com/digininja/DVWA?tabreadme-ov-file在线靶场https://dvwa.bachang.org/DVWA包含了 OWASP TOP10 的所有攻击漏洞的练习环境一站式解决所有 Web 渗透的学习环境。Damn Vulnerable Web Application用来进行安全脆弱性鉴定的PHP/MySQL Web 应用旨在为安全专业人员测试自己的专业技能和工具提供合法的环境帮助web开发者更好的理解web应用安全防范的过程。十个攻击模块分别是1、Brute Force暴力破解、2、Command Injection命令行注入、3、CSRF跨站请求伪造、4、- File Inclusion文件包含、5、File Upload文件上传、6、Insecure CAPTCHA 不安全的验证码、7、SQL InjectionSQL注入、8、SQL InjectionBlindSQL盲注、9、XSSReflected反射型跨站脚本、10、XSSStored存储型跨站脚本。2、sql-libssql注入漏洞新手必练、离线部署下载地址https://github.com/Audi-1/sqli-labs在线靶场https://sqli-labs.bachang.org/sql-libs是一个专门用于学习和测试SQL注入的开源平台它提供了一系列的注入场景和关卡帮助开发者和安全测试人员深入理解SQL注入的原理和防范方法。通过sql-libs用户可以实践不同类型的SQL注入攻击并学习如何编写安全的代码来避免这些漏洞。详解过程https://blog.csdn.net/qq_70836100/article/details/1406182873、upload-labs文件上传漏洞新手必练。下载地址https://github.com/c0ny1/upload-labsupload-labs 是一个使用 PHP 编写的开源靶场专门用于学习和测试文件上传漏洞特别是在渗透测试和 CTFCapture The Flag竞赛中常见的场景。该平台通过一系列模拟的实验环境帮助用户深入理解文件上传漏洞的原理、不同类型的攻击方式以及如何有效防范这些漏洞。4、xss-labsxss漏洞新手必练。xss-labs下载地址https://github.com/do0dl3/xss-labsxss-labs是一个专注于跨站脚本攻击XSS学习和测试的开源靶场提供多种XSS漏洞场景帮助用户理解XSS攻击原理、掌握防御技巧并通过实践提升安全意识和技能。Less-1Less-2闭合Less-3onclick onfocus事件绕过Less-4onclick onfocus事件绕过闭合Less-5a href 标签绕过Less-6大小写绕过Less-7双写绕过Less-8unicode编码绕过Less-9注释http://绕过Less-10(隐藏的传参)Less-11Referer注入Less-12(User Agent注入)Less-13cookie注入Less-14这一关有问题直接十五关Less15ng-include文件包涵Less-16url编码Less-17embed标签Less-18embed标签Less-19-20flash技术已经全面停用了就不做了5、DSVW下载地址$ git clone gitgithub.com:stamparm/DSVW.gitsqlmap同一个作者.一款轻量级Web漏洞教学演示系统DSVW其作者是 Miroslav Stampar, sqlmap同一个作者, 它支持大多数流行的Web漏洞环境与攻击EXPLOIT, 同时各个漏洞环境还提供了相关说明与介绍的链接地址。Damn Small Vulnerable Web (DSVW) 是使用 Python 语言开发的 Web应用漏洞 的演练系统。DSVW基于Python 3.x构建具有代码量少、易于理解和研究的特点。它支持跨站脚本(XSS)、XML外部实体注入(XXE)等多类常见Web漏洞并可根据环境自动启用或禁用特定漏洞灵活适应各种需求。6、XVWA下载地址https://github.com/s4n7h0/xvwaXVWA 是一个用 PHP/MySQL 编写的编码错误的 Web 应用程序可帮助安全爱好者学习应用程序安全性。不建议在线托管此应用程序因为它被设计为“极其脆弱”。教程https://blog.csdn.net/weixin_43623271/article/details/1216914327、pikachu下载地址https://github.com/zhuifengshaonianhanlu/pikachuPikachu 是一个集成了多种常见 Web 安全漏洞的练习平台旨在为网络安全学习者和爱好者提供一个实际操作环境。它通过模拟真实的漏洞场景帮助用户学习如何发现、利用以及修复这些漏洞进而提升他们在渗透测试和安全评估中的技能。二、CTF类8、bugkuCTF选手必练难易均有地址山东安信安全技术有限公司”自研CTF/AWD一体化平台部分赛题采用动态FLAG形式平台有题库、赛事预告、工具库、Writeup库等模块。平台CTF很适合练习提高。2024年有省份省直单位公务员招录计算机岗位加试的就是计算机基础和CTF类型题目。还有渗透测试题目9、CTFshowCTF选手必练。地址https://www.ctf.show/challengesCTF选手训练的天堂包含各大赛事的CTF原题,好几千道题目部分题目需要充值会员。10、BUUCTF在线CTF靶场https://buuoj.cn/challenges北京联合大学BUUCTF新靶场难度中上搜集了很多大赛原题目前该靶场共分为几个部分Basic基础、Crypto加密、DASBOOK刷题书、Misc杂项、N1BOOK是Nu1L Team为方便读者打造的免费平台)、Pwn(漏洞利用)、Real实际会遇到的漏洞、Reverse逆向、Web网络、加固题各个赛事的经典案利。11、南邮CTF南京邮电大学网络攻防训练平台http://ctf.nuptzj.cn/challenges其他的还有实验吧、网络攻防实验室等等其他CTFhub靶场含历年赛题 https://www.ctfhub.com/#/index网络攻防世界挺好的网站不过老是维护 https://adworld.xctf.org.cn/CTFwiki含CTF各项知识点扫盲专用https://ctf-wiki.org/misc/recon/三、漏洞演练类主要是模拟实战漏洞12、vulnhub靶机高手进阶必练官网https://www.vulnhub.com/官网下载镜像虚拟机本地VM打开然后开始渗透测试。VulnHub 是一个专门为网络安全学习者和渗透测试爱好者提供漏洞环境的靶场平台。它通过提供多种虚拟机VM镜像帮助用户在安全、可控的环境中练习和提升渗透测试技能。13、vulhub高手进阶必练官网https://vulhub.org/Vulhub是一个开源的漏洞靶场项目简化了漏洞复现的过程。用户在Centos7环境下通过安装Docker和Docker-Compose可以快速部署和运行各种漏洞环境。文章详细介绍了在Windows10主机上的Centos7虚拟机中配置Docker安装Vulhub以及如何启动、关闭靶场环境并通过物理机访问容器内的漏洞环境。此外还提供了处理常见问题的方法和学习网络安全的资源。14、WeBug下载地址https://github.com/wangai3176/webug4.0教程https://blog.csdn.net/liver100day/article/details/115857058WeBug 名称定义为”我们的漏洞”靶场环境 基础环境是基于 PHP/mysql 制作搭建而成中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于Windows操作系统的漏洞所以将WeBug的web环境都装在了一个纯净版的Windows 2003的虚拟机中。在 webug3.0 发布后的四百多天 226安全团队终于在大年初二发布了 webug 的 4.0 版本知识点15、RootMeRootme CTF all the day下载地址https://www.root-me.org/en/Capture-The-Flag/CTF-all-the-day/16、WeGoat在线靶场https://webgoat-server.bachang.org/WebGoat/login下载地址https://github.com/WebGoat/WebGoat/releasesWebGoat 是 OWASP 组织研制出的用于进行 web 漏洞实验的应用平台用来说明 web 应用中存在的安全漏洞。WebGoat 运行在带有 java 虚拟机的平台之上当前提供的训练课程有 30 多个其中包括跨站点脚本攻击XSS、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话 cookie、SQL 盲注、数字型 SQL 注入、字符串型 SQL 注入、web 服务、Open Authentication 失效、危险的 HTML 注释等等。WebGoat 提供了一系列 web 安全学习的教程某些课程也给出了视频演示指导用户利用这些漏洞进行攻击。17、vulfocus官网https://vulfocus.cn/#/login?redirect%2Fdashboard下载地址https://github.com/fofapro/vulfocusVulfocus 是一个漏洞集成平台将漏洞环境 docker 镜像放入即可使用开箱即用。教程https://blog.csdn.net/kangwei_liu/article/details/12475473818、hack the box官网https://www.hackthebox.com/是国外的一个网络安全在线靶场靶场中被细分成若干种类涵盖Web、病毒分析、密码学、逆向工程等领域。这些类别下各自拥有从基础到高阶的多个挑战项目确保不同技能水平的用户都能找到匹配自身技术与知识水平的挑战进行尝试。四、内网渗透19、vulnstack红日靶场地址http://vulnstack.qiyuanxuetang.net/vuln/必练高手进阶综合性强内网渗透-综合靶场开源靶场VulnStack主要由红日安全团队倾力打造一个靶场知识平台主要涵盖漏洞列表、资源分享、帮助文档、漏洞博客Vulnstack 是一个专注于网络安全教育和渗透测试训练的靶场平台旨在通过提供逼真的网络环境帮助用户提升网络攻防技能。它为用户提供了多个场景涵盖了从基础到高级的安全挑战和漏洞利用技巧。以下是 Vulnstack 的主要特点。靶场目前已经更新到第9个了内网渗透涉及域控、黄金票据、白银票据等等。网上可以百度道教程官网下载镜像本地VM搭建靶场。包括3层、4层内网。20、暗月靶场参考地址https://www.aliyue.net/19713.html暗月老师的付费教程总共几十个靶场包含内网比较全面五、综合类21、墨者学院官网https://www.mozhe.cn/bug墨者靶场是一个专注于网络安全人才培养的在线靶场平台提供丰富的网络安全攻防技能实训靶场涵盖主机、数据库、网络、应用等多方面的网络信息安全知识内容帮助用户提升网络安全攻防实战操作技能。22、攻防世界高手进阶官网https://adworld.xctf.org.cn/home/indexXCTF_OJ是一个由XCTF组委会组织开发的免费在线网络安全平台汇集国内外CTF网络安全竞赛的真题题库支持题目交互环境的重现恢复提供赛题重现复盘练习环境是网络安全技术对抗赛练习的重要资源23、i春秋地址https://www.ichunqiu.com/i春秋(www.ichunqiu.com)专注网络安全、信息安全、白帽子技术的在线学习,实训平台。CISP持续教育培训平台,致力于为网络安全、信息安全、白帽子技术爱好者提供便捷,优质的视频教程。号主总结以上23个靶场欢迎补充加入。题外话根据腾讯安全发布的《互联网安全报告》目前中国网络安全人才供应严重匮乏每年高校安全专业培养人才仅有3万余人而网络安全岗位缺口已达70万缺口高达95%。我们到招聘网站上搜索【网络安全】【Web安全工程师】【渗透测试】等职位名称可以看到安全岗位薪酬待遇好随着工龄和薪酬增长呈现「越老越吃香」的情况。我们看一看招聘网站技术向网络工程师的招聘要求平均薪资水平相当可观如何系统学习网络安全/黑客网络安全不是「速成黑客」而是守护数字世界的骑士修行。当你第一次用自己写的脚本检测出漏洞时那种创造的快乐远胜于电影里的炫技。装上虚拟机从配置第一个Linux环境开始脚踏实地从基础命令学起相信你一定能成为一名合格的黑客。如果你还不知道从何开始我自己整理的282G的网络安全教程可以分享我也是一路自学走过来的很清楚小白前期学习的痛楚你要是没有方向还没有好的资源根本学不到东西下面是我整理的网安资源希望能帮到你。需要的话可以V扫描下方二维码联系领取~如果二维码失效可以点击下方链接去拿一样的哦【CSDN大礼包】最新网络安全/网安技术资料包~282G无偿分享1.从0到进阶主流攻防技术视频教程包含红蓝对抗、CTF、HW等技术点2.入门必看攻防技术书籍pdf书面上的技术书籍确实太多了这些是我精选出来的还有很多不在图里3.安装包/源码主要攻防会涉及到的工具安装包和项目源码防止你看到这连基础的工具都还没有4.面试试题/经验网络安全岗位面试经验总结谁学技术不是为了赚$呢找个好的岗位很重要需要的话可以V扫描下方二维码联系领取~因篇幅有限资料较为敏感仅展示部分资料添加上方即可获取如果二维码失效可以点击下方链接去拿一样的哦【CSDN大礼包】最新网络安全/网安技术资料包~282G无偿分享