web渗透漏洞靶场收集
最近将自己遇到过或者知道的web靶场链接奉上
0X01 DVWA
推荐新手首选靶场,配置简单,需下载phpstudy和靶场文件包,简单部署之后即可访问。
包含了常见的web漏洞(php的),每个漏洞分为四个等级,每个等级都有源码查看,最高等级的源码是最安全的。
DVWA靶场源码下载:http://www.dvwa.co.uk/index.php
phpstudy官方下载:https://m.xp.cn/
0x02 网络安全实验室
做题的靶场,也是一个基础靶场,是一个在线的靶场。
0x03 sqli-labs
sqli-labs包含了大多数的sql注入类型,以一种闯关模式,对于sql注入进行漏洞利用。
sql注入练习首选,同样需要phpstudy(或者amp环境)加靶场源码包部署。
sqli-labs靶场源码下载:https://github.com/Audi-1/sqli-labs
0x04 upload-labs
upload-labs包含了大多数文件上传类型,一个包含几乎所有类型上传漏洞的靶场。目前更新到20关。
靶场源码下载地址:https://github.com/c0ny1/upload-labs
0x05 xss challenges
xsschallenges是一个专对于XSS漏洞练习的的靶场,包含了各种绕过,各种姿势的XSS利用。
在线靶场地址:http://xss-quiz.int21h.jp/
0x06 必火网络安全-必火靶机三
这个在线靶场涵盖了大多数的web漏洞,跟DVWA的机制差不多,还有ctf题可做,个人认为是一个比较全的一个web漏洞靶场。
在线靶场地址:https://www.bihuoedu.com/
0x07 OWASP Broken Web Applications Project
靶场由OWASP专门为Web安全研究者和初学者开发的一个靶场,包含了大量存在已知安全漏洞的训练实验环境和真实Web应用程序;
靶场在官网下载后是一个集成虚拟机,可以直接在vm中打开,物理机访问ip即可访问到web平台,使用root owaspbwa 登入就会返回靶场地址,直接可以访问靶场。
dvwa适合了解漏洞和简单的漏洞利用,owaspbwa则就更贴近实际的复杂的业务环境。
靶场虚拟机下载地址:https://sourceforge.net/projects/owaspbwa/
0x08 VulHub
这是一个开源的漏洞环境项目,包含了很多不同的环境,是owaspbwa以后,漏洞种类多,环境丰富的一个靶场,并且收集的漏洞也比较新,适合作为一个长期的学习、实战靶场。
Vulhub是一个基于docker
和docker-compose
的漏洞环境集合,需要在linux下安装docker,有docker环境之后,即可一条语句启动一个漏洞环境。
vulhub指导安装地址:https://vulhub.org/
0x09 vulnhub
Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行。每个镜像会有破解的目标,大多是Boot2root,从启动虚机到获取操作系统的root权限和查看flag。相比于vulhub,这是采用的虚拟机镜像,前者是采用docker。
0x10 webug4.0
基础环境是基于PHP/mysql制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于Windows操作系统的漏洞所以将WeBug的web环境都装在了一个纯净版的Windows 虚拟机中。
虚拟机下载地址:https://pan.baidu.com/s/1CyXwOmK5SqQzMCqjrI74Ow
提取码: tvu1
0x11 vulnstack
红蓝对抗,内网、域渗透最新靶场:
地址:http://vulnstack.qiyuanxuetang.net/vuln/
结:可在安全圈info了解更多的靶场:https://www.anquanquan.info/
web渗透漏洞靶场收集的更多相关文章
- web渗透系列--信息收集
信息收集对于渗透测试前期来说是非常重要的,因为只有我们掌握了目标网站或目标主机足够多的信息之后,我们才能更好地对其进行漏洞检测.正所谓,知己知彼百战百胜! 信息收集的方式可以分为两种:主动和被动. 主 ...
- 搭建DVWA Web渗透测试靶场
文章更新于:2020-04-13 按照惯例,需要的文件附上链接放在文首. 文件名:DVWA-1.9-2020.zip 文件大小:1.3 M 文件说明:这个是新版 v1.9 (其实是 v1.10开发版) ...
- 《WEB渗透一.信息收集》
一.操作系统 Windows服务器 和 Linux服务器. 1.大小写敏感 Windows大小写不敏感 , Linux大小写敏感 如 www.xxxx.com/index.php 和 w ...
- 转载过来的参考内容---常规36个WEB渗透测试漏洞描述及修复方法----很详细
常规WEB渗透测试漏洞描述及修复 --转自:http://www.51testing.com/html/92/n-3723692.html (1). Apache样例文件泄漏 漏洞描述 apa ...
- 安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗
1 基础知识1.1 网络熟悉常见网络协议:https://www.ietf.org/standards/rfcs/1.2 操作系统1.3 编程2 恶意软件分析2.1 分类2.1.1 木马2.1.2 B ...
- Web渗透测试漏洞手册及修复建议
Web渗透测试漏洞手册及修复建议 0x0 配置管理 0x01 HTTP方法测试 漏洞介绍: 目标服务器启用了不安全的传输方法,如PUT.DELETE等,这些方法表示可能在服务器上使用了 WebDAV, ...
- web渗透学习目录
一,基础学习 01.基础学习 [[编码总结]] [[JSON三种数据解析方法]] [[js加密,解密]] [[Internet保留地址和非保留地址.内网和公网.VNC和UltraVN]] 代理 [[S ...
- Kali Linux 秘籍/Web渗透秘籍/无线渗透入门
Kali Linux 秘籍 原书:Kali Linux Cookbook 译者:飞龙 在线阅读 PDF格式 EPUB格式 MOBI格式 Github Git@OSC 目录: 第一章 安装和启动Kali ...
- 反向代理在Web渗透测试中的运用
在一次Web渗透测试中,目标是M国的一个Win+Apache+PHP+MYSQL的网站,独立服务器,对外仅开80端口,网站前端的业务系统比较简单,经过几天的测试也没有找到漏洞,甚至连XSS都没有发现, ...
随机推荐
- WebAPI 微信小程序的授权登录以及实现
这个星期最开始 ,老大扔了2个任务过来,这个是其中之一.下面直接说步骤: 1. 查阅微信开发文档 https://developers.weixin.qq.com/miniprogram/dev/ ...
- 提升命令行效率的Bash快捷键
转自:http://linuxtoy.org/archives/bash-shortcuts.html 生活在 Bash shell 中,熟记以下快捷键,将极大的提高你的命令行操作效率. 大部分对其他 ...
- 构建ROP链实现远程栈溢出
通常情况下栈溢出可能造成的后果有两种,一类是本地提权另一类则是远程执行任意命令,通常C/C++并没有提供智能化检查用户输入是否合法的功能,同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出,这 ...
- Python3(四) 分支、循环、条件与枚举
表达式 表达式(Expression)是运算符(operator)和操作数(operand)所构成的序列 >>> 1 + 1 2 >>> a = [1 ...
- 【python-leetcode206-翻转链表】反转链表
问题描述: 反转一个单链表. 示例: 输入: 1->2->3->4->5->NULL输出: 5->4->3->2->1->NULL进阶:你可 ...
- 用原生JS&PHP简单的AJAX实例
功能介绍: 1)file.html 使用 xmlhttp 请求服务器端文件 text ,并更新 file.html 的部分内容 2)update.html 使用 xmlhttp 通过 filewrit ...
- Shiro -- (四) 数据库支持
主要就是JdbcRealm这个类 先看一下部分源码: 先建表:users(用户名 / 密码).user_roles(用户 / 角色).roles_permissions(角色 / 权限),并且往use ...
- Uncaught TypeError: Cannot set property 'onclick' of null解决办法
如果把js内容直接放在这个head标签以内,button按钮不能正常点击更换body的背景颜色,报错提示:demo6.html:16 Uncaught TypeError: Cannot set pr ...
- openlayers6结合geoserver利用WFS服务实现图层新增功能(附源码下载)
内容概览 1.openlayers6结合geoserver利用WFS服务实现图层新增功能2.源代码demo下载 效果图如下: 本篇主要是openlayers6通过调用geoserver发布的地图服务W ...
- 「Kafka」Kafka中offset偏移量提交
在消费Kafka中分区的数据时,我们需要跟踪哪些消息是读取过的.哪些是没有读取过的.这是读取消息不丢失的关键所在. Kafka是通过offset顺序读取事件的.如果一个消费者退出,再重启的时候,它知道 ...