web渗透漏洞靶场收集
最近将自己遇到过或者知道的web靶场链接奉上
0X01 DVWA
推荐新手首选靶场,配置简单,需下载phpstudy和靶场文件包,简单部署之后即可访问。
包含了常见的web漏洞(php的),每个漏洞分为四个等级,每个等级都有源码查看,最高等级的源码是最安全的。
DVWA靶场源码下载:http://www.dvwa.co.uk/index.php
phpstudy官方下载:https://m.xp.cn/
0x02 网络安全实验室
做题的靶场,也是一个基础靶场,是一个在线的靶场。
0x03 sqli-labs
sqli-labs包含了大多数的sql注入类型,以一种闯关模式,对于sql注入进行漏洞利用。
sql注入练习首选,同样需要phpstudy(或者amp环境)加靶场源码包部署。
sqli-labs靶场源码下载:https://github.com/Audi-1/sqli-labs
0x04 upload-labs
upload-labs包含了大多数文件上传类型,一个包含几乎所有类型上传漏洞的靶场。目前更新到20关。
靶场源码下载地址:https://github.com/c0ny1/upload-labs
0x05 xss challenges
xsschallenges是一个专对于XSS漏洞练习的的靶场,包含了各种绕过,各种姿势的XSS利用。
在线靶场地址:http://xss-quiz.int21h.jp/
0x06 必火网络安全-必火靶机三
这个在线靶场涵盖了大多数的web漏洞,跟DVWA的机制差不多,还有ctf题可做,个人认为是一个比较全的一个web漏洞靶场。
在线靶场地址:https://www.bihuoedu.com/
0x07 OWASP Broken Web Applications Project
靶场由OWASP专门为Web安全研究者和初学者开发的一个靶场,包含了大量存在已知安全漏洞的训练实验环境和真实Web应用程序;
靶场在官网下载后是一个集成虚拟机,可以直接在vm中打开,物理机访问ip即可访问到web平台,使用root owaspbwa 登入就会返回靶场地址,直接可以访问靶场。
dvwa适合了解漏洞和简单的漏洞利用,owaspbwa则就更贴近实际的复杂的业务环境。
靶场虚拟机下载地址:https://sourceforge.net/projects/owaspbwa/
0x08 VulHub
这是一个开源的漏洞环境项目,包含了很多不同的环境,是owaspbwa以后,漏洞种类多,环境丰富的一个靶场,并且收集的漏洞也比较新,适合作为一个长期的学习、实战靶场。
Vulhub是一个基于docker
和docker-compose
的漏洞环境集合,需要在linux下安装docker,有docker环境之后,即可一条语句启动一个漏洞环境。
vulhub指导安装地址:https://vulhub.org/
0x09 vulnhub
Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行。每个镜像会有破解的目标,大多是Boot2root,从启动虚机到获取操作系统的root权限和查看flag。相比于vulhub,这是采用的虚拟机镜像,前者是采用docker。
0x10 webug4.0
基础环境是基于PHP/mysql制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于Windows操作系统的漏洞所以将WeBug的web环境都装在了一个纯净版的Windows 虚拟机中。
虚拟机下载地址:https://pan.baidu.com/s/1CyXwOmK5SqQzMCqjrI74Ow
提取码: tvu1
0x11 vulnstack
红蓝对抗,内网、域渗透最新靶场:
地址:http://vulnstack.qiyuanxuetang.net/vuln/
结:可在安全圈info了解更多的靶场:https://www.anquanquan.info/
最新文章
- JavaScript高级程序设计--表单脚本
- erlang 虚机crash
- Android只能动态注册的广播Action
- 不注册Tomcat服务,运行Tomcat不弹出JAVA控制台窗口
- 有关tp里搜索框的实现方法
- Mybatis的缺陷
- 从源码角度理清memcache缓存服务
- [word]2010中插入公式自动编号并且公式不自动缩小/变小
- MyEclipse简单设置
- logback日志项目使用方法 - 150205交易模块添加日志信息logback,orderNo订单号为log主键便于跟踪,数字常量化,解决取消支付BUG,弱网络环境原因
- 利用HTML5开发Android(3)---Android中的调试
- Python os模块--路径、文件、系统命令等操作
- cms内容模型标签
- ubuntu常用命令操作
- fixed 和 absolute 定位的区别
- 跨域两种解决方案CORS以及JSONP
- 一篇文章,教你学会Git
- 百度开放平台连接MySQL数据库
- java基础-day15
- latex 安装和使用
热门文章
- Go语言实现:【剑指offer】丑数
- Go语言实现:【剑指offer】栈的压入、弹出序列
- java.lang.ClassNotFoundException: org.springframework.web.context.ContextLoaderListener,环境Spring+Maven
- 2020-02-19Linux学习日记,第一天
- 如何使用Xcode调试Shader代码Bug导致的渲染问题
- mongoose报错:DeprecationWarning: collection.ensureIndex is deprecated. Use createIndexes instead.
- vscode安装使用
- ES[7.6.x]学习笔记(一)Elasticsearch的安装与启动
- JS推箱子游戏
- 你一定看得懂的 DDD+CQRS+EDA+ES 核心思想与极简可运行代码示例