滲透測試靶場
sqli-labs
sqli-labs包含了大多數的sql注入類型,以一種闖關模式,對於sql注入進行漏洞利用
下載地址:https://github.com/Audi-1/sqli-labs
xss challenges
xsschallenges是一個專對於XSS漏洞練習的在線靶場,包含了各種繞過,各種姿勢的XSS利用
下載地址:http://xss-quiz.int21h.jp/
xss-labs
基於跨站腳本攻擊一個漏洞靶機,也是一款基於通關形式的靶機
在線地址:http://test.xss.tv
upload-labs
一個幫你總結所有類型的上傳漏洞的靶場,推薦windows(除了Pass-19必須在linux下,其余Pass都可以在windows上運行)
下載地址:https://github.com/c0ny1/upload-labs/releases
DVWA
推薦新手首選靶場,DVWA的目的是通過簡單易用的界面來實踐一些最常見的Web漏洞,這些漏洞具有不同的難度,是一個涵蓋了多種漏洞一個綜合的靶機
下載地址:https://github.com/ethicalhack3r/DVWA
pikachu
Pikachu是一個帶有漏洞的Web應用系統,在這里包含了常見的web安全漏洞
下載地址:https://github.com/zhuifengshaonianhanlu/pikachu
網絡安全實驗室
做題的靶場,也是一個基礎靶場,是一個在線的靶場。
在線地址:http://hackinglab.cn/
必火網絡安全-必火靶機三
這個在線靶場涵蓋了大多數的web漏洞,跟DVWA的機制差不多,還有ctf題可做,個人認為是一個比較全的一個web漏洞靶場。不過也是一個在線靶機。
在線地址:https://www.bihuoedu.com/
OWASP Broken Web Applications Project
靶場由OWASP專門為Web安全研究者和初學者開發的一個靶場,包含了大量存在已知安全漏洞的訓練實驗環境和真實Web應用程序;
靶場在官網下載后是一個集成虛擬機,可以直接在vm中打開,物理機訪問ip即可訪問到web平台,使用root owaspbwa 登入就會返回靶場地址,直接可以訪問靶場。
dvwa適合了解漏洞和簡單的漏洞利用,owaspbwa則就更貼近實際的復雜的業務環境
下載地址:https://sourceforge.net/projects/owaspbwa/
VulHub
這是一個開源的漏洞環境項目,包含了很多不同的環境,是owaspbwa以后,漏洞種類多,環境豐富的一個靶場,並且收集的漏洞也比較新,適合作為一個長期的學習、實戰靶場。
Vulhub是一個基於docker和docker-compose的漏洞環境集合,需要在linux下安裝docker,有docker環境之后,即可一條語句啟動一個漏洞環境。
vulhub指導安裝地址:https://vulhub.org/
webug4.0
基礎環境是基於PHP/mysql制作搭建而成,中級環境與高級環境分別都是由互聯網漏洞事件而收集的漏洞存在的操作環境。部分漏洞是基於Windows操作系統的漏洞所以將WeBug的web環境都裝在了一個純凈版的Windows 虛擬機中
虛擬機下載地址:https://pan.baidu.com/s/1CyXwOmK5SqQzMCqjrI74Ow
提取碼: tvu1
vulnstack
紅藍對抗,內網、域滲透最新靶場:
地址:http://vulnstack.qiyuanxuetang.net/vuln/