从事网络安全界10余年总结了5大类23个网络靶场。5大类基础类、CTF类、漏洞演练、内网渗透、综合类这些不只是简单的网络靶场这是求职的敲门砖、这是安身立命的试金石、这是黑客成长通向理想殿堂的必经之路。包括渗透基础、CTF、漏洞实战、内网渗透。一、基础类1、DVWA新手必练、离线部署推荐新手首选靶场下载地址https://github.com/digininja/DVWA?tabreadme-ov-file在线靶场https://dvwa.bachang.org/DVWA包含了 OWASP TOP10 的所有攻击漏洞的练习环境一站式解决所有 Web 渗透的学习环境。Damn Vulnerable Web Application用来进行安全脆弱性鉴定的PHP/MySQL Web 应用旨在为安全专业人员测试自己的专业技能和工具提供合法的环境帮助web开发者更好的理解web应用安全防范的过程。十个攻击模块分别是1、Brute Force暴力破解、2、Command Injection命令行注入、3、CSRF跨站请求伪造、4、- File Inclusion文件包含、5、File Upload文件上传、6、Insecure CAPTCHA 不安全的验证码、7、SQL InjectionSQL注入、8、SQL InjectionBlindSQL盲注、9、XSSReflected反射型跨站脚本、10、XSSStored存储型跨站脚本。2、sql-libssql注入漏洞新手必练、离线部署下载地址https://github.com/Audi-1/sqli-labs在线靶场https://sqli-labs.bachang.org/sql-libs是一个专门用于学习和测试SQL注入的开源平台它提供了一系列的注入场景和关卡帮助开发者和安全测试人员深入理解SQL注入的原理和防范方法。通过sql-libs用户可以实践不同类型的SQL注入攻击并学习如何编写安全的代码来避免这些漏洞。详解过程https://blog.csdn.net/qq_70836100/article/details/1406182873、upload-labs文件上传漏洞新手必练。下载地址https://github.com/c0ny1/upload-labsupload-labs 是一个使用 PHP 编写的开源靶场专门用于学习和测试文件上传漏洞特别是在渗透测试和 CTFCapture The Flag竞赛中常见的场景。该平台通过一系列模拟的实验环境帮助用户深入理解文件上传漏洞的原理、不同类型的攻击方式以及如何有效防范这些漏洞。4、xss-labsxss漏洞新手必练。xss-labs下载地址https://github.com/do0dl3/xss-labsxss-labs是一个专注于跨站脚本攻击XSS学习和测试的开源靶场提供多种XSS漏洞场景帮助用户理解XSS攻击原理、掌握防御技巧并通过实践提升安全意识和技能。Less-1Less-2闭合Less-3onclick onfocus事件绕过Less-4onclick onfocus事件绕过闭合Less-5a href 标签绕过Less-6大小写绕过Less-7双写绕过Less-8unicode编码绕过Less-9注释http://绕过Less-10(隐藏的传参)Less-11Referer注入Less-12(User Agent注入)Less-13cookie注入Less-14这一关有问题直接十五关Less15ng-include文件包涵Less-16url编码Less-17embed标签Less-18embed标签Less-19-20flash技术已经全面停用了就不做了5、DSVW下载地址$ git clone gitgithub.com:stamparm/DSVW.gitsqlmap同一个作者.一款轻量级Web漏洞教学演示系统DSVW其作者是 Miroslav Stampar, sqlmap同一个作者, 它支持大多数流行的Web漏洞环境与攻击EXPLOIT, 同时各个漏洞环境还提供了相关说明与介绍的链接地址。Damn Small Vulnerable Web (DSVW) 是使用 Python 语言开发的 Web应用漏洞 的演练系统。DSVW基于Python 3.x构建具有代码量少、易于理解和研究的特点。它支持跨站脚本(XSS)、XML外部实体注入(XXE)等多类常见Web漏洞并可根据环境自动启用或禁用特定漏洞灵活适应各种需求。6、XVWA下载地址https://github.com/s4n7h0/xvwaXVWA 是一个用 PHP/MySQL 编写的编码错误的 Web 应用程序可帮助安全爱好者学习应用程序安全性。不建议在线托管此应用程序因为它被设计为“极其脆弱”。教程https://blog.csdn.net/weixin_43623271/article/details/1216914327、pikachu下载地址https://github.com/zhuifengshaonianhanlu/pikachuPikachu 是一个集成了多种常见 Web 安全漏洞的练习平台旨在为网络安全学习者和爱好者提供一个实际操作环境。它通过模拟真实的漏洞场景帮助用户学习如何发现、利用以及修复这些漏洞进而提升他们在渗透测试和安全评估中的技能。二、CTF类8、bugkuCTF选手必练难易均有地址山东安信安全技术有限公司”自研CTF/AWD一体化平台部分赛题采用动态FLAG形式平台有题库、赛事预告、工具库、Writeup库等模块。平台CTF很适合练习提高。2024年有省份省直单位公务员招录计算机岗位加试的就是计算机基础和CTF类型题目。还有渗透测试题目9、CTFshowCTF选手必练。地址https://www.ctf.show/challengesCTF选手训练的天堂包含各大赛事的CTF原题,好几千道题目部分题目需要充值会员。10、BUUCTF在线CTF靶场https://buuoj.cn/challenges北京联合大学BUUCTF新靶场难度中上搜集了很多大赛原题目前该靶场共分为几个部分Basic基础、Crypto加密、DASBOOK刷题书、Misc杂项、N1BOOK是Nu1L Team为方便读者打造的免费平台)、Pwn(漏洞利用)、Real实际会遇到的漏洞、Reverse逆向、Web网络、加固题各个赛事的经典案利。11、南邮CTF南京邮电大学网络攻防训练平台http://ctf.nuptzj.cn/challenges其他的还有实验吧、网络攻防实验室等等其他CTFhub靶场含历年赛题 https://www.ctfhub.com/#/index网络攻防世界挺好的网站不过老是维护 https://adworld.xctf.org.cn/CTFwiki含CTF各项知识点扫盲专用https://ctf-wiki.org/misc/recon/三、漏洞演练类主要是模拟实战漏洞12、vulnhub靶机高手进阶必练官网https://www.vulnhub.com/官网下载镜像虚拟机本地VM打开然后开始渗透测试。VulnHub 是一个专门为网络安全学习者和渗透测试爱好者提供漏洞环境的靶场平台。它通过提供多种虚拟机VM镜像帮助用户在安全、可控的环境中练习和提升渗透测试技能。13、vulhub高手进阶必练官网https://vulhub.org/Vulhub是一个开源的漏洞靶场项目简化了漏洞复现的过程。用户在Centos7环境下通过安装Docker和Docker-Compose可以快速部署和运行各种漏洞环境。文章详细介绍了在Windows10主机上的Centos7虚拟机中配置Docker安装Vulhub以及如何启动、关闭靶场环境并通过物理机访问容器内的漏洞环境。此外还提供了处理常见问题的方法和学习网络安全的资源。14、WeBug下载地址https://github.com/wangai3176/webug4.0教程https://blog.csdn.net/liver100day/article/details/115857058WeBug 名称定义为”我们的漏洞”靶场环境 基础环境是基于 PHP/mysql 制作搭建而成中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于Windows操作系统的漏洞所以将WeBug的web环境都装在了一个纯净版的Windows 2003的虚拟机中。在 webug3.0 发布后的四百多天 226安全团队终于在大年初二发布了 webug 的 4.0 版本知识点15、RootMeRootme CTF all the day下载地址https://www.root-me.org/en/Capture-The-Flag/CTF-all-the-day/16、WeGoat在线靶场https://webgoat-server.bachang.org/WebGoat/login下载地址https://github.com/WebGoat/WebGoat/releasesWebGoat 是 OWASP 组织研制出的用于进行 web 漏洞实验的应用平台用来说明 web 应用中存在的安全漏洞。WebGoat 运行在带有 java 虚拟机的平台之上当前提供的训练课程有 30 多个其中包括跨站点脚本攻击XSS、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话 cookie、SQL 盲注、数字型 SQL 注入、字符串型 SQL 注入、web 服务、Open Authentication 失效、危险的 HTML 注释等等。WebGoat 提供了一系列 web 安全学习的教程某些课程也给出了视频演示指导用户利用这些漏洞进行攻击。17、vulfocus官网https://vulfocus.cn/#/login?redirect%2Fdashboard下载地址https://github.com/fofapro/vulfocusVulfocus 是一个漏洞集成平台将漏洞环境 docker 镜像放入即可使用开箱即用。教程https://blog.csdn.net/kangwei_liu/article/details/12475473818、hack the box官网https://www.hackthebox.com/是国外的一个网络安全在线靶场靶场中被细分成若干种类涵盖Web、病毒分析、密码学、逆向工程等领域。这些类别下各自拥有从基础到高阶的多个挑战项目确保不同技能水平的用户都能找到匹配自身技术与知识水平的挑战进行尝试。四、内网渗透19、vulnstack红日靶场地址http://vulnstack.qiyuanxuetang.net/vuln/必练高手进阶综合性强内网渗透-综合靶场开源靶场VulnStack主要由红日安全团队倾力打造一个靶场知识平台主要涵盖漏洞列表、资源分享、帮助文档、漏洞博客Vulnstack 是一个专注于网络安全教育和渗透测试训练的靶场平台旨在通过提供逼真的网络环境帮助用户提升网络攻防技能。它为用户提供了多个场景涵盖了从基础到高级的安全挑战和漏洞利用技巧。以下是 Vulnstack 的主要特点。靶场目前已经更新到第9个了内网渗透涉及域控、黄金票据、白银票据等等。网上可以百度道教程官网下载镜像本地VM搭建靶场。包括3层、4层内网。20、暗月靶场参考地址https://www.aliyue.net/19713.html暗月老师的付费教程总共几十个靶场包含内网比较全面五、综合类21、墨者学院官网https://www.mozhe.cn/bug墨者靶场是一个专注于网络安全人才培养的在线靶场平台提供丰富的网络安全攻防技能实训靶场涵盖主机、数据库、网络、应用等多方面的网络信息安全知识内容帮助用户提升网络安全攻防实战操作技能。22、攻防世界高手进阶官网https://adworld.xctf.org.cn/home/indexXCTF_OJ是一个由XCTF组委会组织开发的免费在线网络安全平台汇集国内外CTF网络安全竞赛的真题题库支持题目交互环境的重现恢复提供赛题重现复盘练习环境是网络安全技术对抗赛练习的重要资源23、i春秋地址https://www.ichunqiu.com/i春秋(www.ichunqiu.com)专注网络安全、信息安全、白帽子技术的在线学习,实训平台。CISP持续教育培训平台,致力于为网络安全、信息安全、白帽子技术爱好者提供便捷,优质的视频教程。号主总结以上23个靶场欢迎补充加入。题外话根据腾讯安全发布的《互联网安全报告》目前中国网络安全人才供应严重匮乏每年高校安全专业培养人才仅有3万余人而网络安全岗位缺口已达70万缺口高达95%。我们到招聘网站上搜索【网络安全】【Web安全工程师】【渗透测试】等职位名称可以看到安全岗位薪酬待遇好随着工龄和薪酬增长呈现「越老越吃香」的情况。我们看一看招聘网站技术向网络工程师的招聘要求平均薪资水平相当可观黑客/网络安全学习路线今天只要你给我的文章点赞我私藏的网安学习资料一样免费共享给你们来看看有哪些东西。网络安全学习资源分享:下面给大家分享一份2025最新版的网络安全学习路线资料帮助新人小白更系统、更快速的学习黑客技术一、2025最新网络安全学习路线一个明确的学习路线可以帮助新人了解从哪里开始按照什么顺序学习以及需要掌握哪些知识点。对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图学习规划。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。**读者福利 |**CSDN大礼包《网络安全入门进阶学习资源包》免费分享**安全链接放心点击**我们把学习路线分成L1到L4四个阶段一步步带你从入门到进阶从理论到实战。L1级别:网络安全的基础入门L1阶段我们会去了解计算机网络的基础知识以及网络安全在行业的应用和分析学习理解安全基础的核心原理关键技术以及PHP编程基础通过证书考试可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。L2级别网络安全的技术进阶L2阶段我们会去学习渗透测试包括情报收集、弱口令与口令爆破以及各大类型漏洞还有漏洞挖掘和安全检查项目可参加CISP-PTE证书考试。L3级别网络安全的高阶提升L3阶段我们会去学习反序列漏洞、RCE漏洞也会学习到内网渗透实战、靶场实战和技术提取技术系统学习Python编程和实战。参加CISP-PTE考试。L4级别网络安全的项目实战L4阶段我们会更加深入进行实战训练包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握而L3 L4更多的是通过项目实战来掌握核心技术针对以上网安的学习路线我们也整理了对应的学习视频教程和配套的学习资料。二、技术文档和经典PDF书籍书籍和学习文档资料是学习网络安全过程中必不可少的我自己整理技术文档包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点电子书也有200多本书籍含电子版PDF三、网络安全视频教程对于很多自学或者没有基础的同学来说书籍这些纯文字类的学习教材会觉得比较晦涩难以理解因此我们提供了丰富的网安视频教程以动态、形象的方式展示技术概念帮助你更快、更轻松地掌握核心知识。网上虽然也有很多的学习资源但基本上都残缺不全的这是我自己录的网安视频教程上面路线图的每一个知识点我都有配套的视频讲解。四、网络安全护网行动/CTF比赛学以致用当你的理论知识积累到一定程度就需要通过项目实战在实际操作中检验和巩固你所学到的知识同时为你找工作和职业发展打下坚实的基础。五、网络安全工具包、面试题和源码“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等感兴趣的同学不容错过。面试不仅是技术的较量更需要充分的准备。在你已经掌握了技术之后就需要开始准备面试我们将提供精心整理的网安面试题库涵盖当前面试中可能遇到的各种技术问题让你在面试中游刃有余。如果你是要找网安方面的工作它们绝对能帮你大忙。这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的如果大家有好的题目或者好的见解欢迎分享。参考解析深信服官网、奇安信官网、Freebuf、csdn等内容特点条理清晰含图像化表示更加易懂。内容概要包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
