黑客必刷的16个靶场（渗透基础、CTF、漏洞实战、内网渗透）

黑客必刷的16个靶场（渗透基础、CTF、漏洞实战、内网渗透）

网络安全领域中，靶场资源是提升技能、实践理论知识的重要平台。本文精选16个优质靶场，涵盖渗透基础、CTF、漏洞实战、内网渗透等多个方面，适合不同层次的学习者使用。

新手必练靶场

DVWA

DVWA（Damn Vulnerable Web Application）是一个用于演示网页应用安全漏洞的开源软件平台，旨在帮助安全专业人士、学生及开发者理解并学习常见安全漏洞。它模拟了多种漏洞场景，如SQL注入、XSS等，提供安全测试环境。

在线靶场： https://dvwa.bachang.org/

SQL注入实验室（sql-lib）

sql-libs是一个专门用于学习和测试SQL注入的开源平台，它提供了一系列的注入场景和关卡，帮助开发者和安全测试人员深入理解SQL注入的原理和防范方法。

在线靶场： https://sqli-labs.bachang.org/

文件上传实验室（upload-labs）

upload-labs 是一个使用 PHP 编写的开源靶场，专门用于学习和测试文件上传漏洞，特别是在渗透测试和 CTF（Capture The Flag）竞赛中常见的场景。

XSS漏洞实验室（xss-labs）

xss-labs是一个专注于跨站脚本攻击（XSS）学习和测试的开源靶场，提供多种XSS漏洞场景，帮助用户理解XSS攻击原理、掌握防御技巧，并通过实践提升安全意识和技能。

CTF选手必练靶场

CTFshow

CTF选手训练的天堂，包含各大赛事的CTF原题。

地址： https://www.ctf.show/challenges

类似的CTF网站还有南邮网络靶场、BUGKU、BUUCTF等。

XCTF_OJ攻防世界

XCTF_OJ是一个由XCTF组委会组织开发的免费在线网络安全平台，汇集国内外CTF网络安全竞赛的真题题库，支持题目交互环境的重现恢复，提供赛题重现复盘练习环境。

官网： https://adworld.xctf.org.cn/home/index

进阶选手靶场

WebGoat

WebGoat是一个由OWASP组织开发的Web应用程序安全漏洞实验平台，用于演示和教授Web应用中的典型安全漏洞。

在线靶场： https://webgoat-server.bachang.org/WebGoat/login

DSVW

DSVW基于Python 3.x构建，具有代码量少、易于理解和研究的特点。它支持跨站脚本(XSS)、XML外部实体注入(XXE)等多类常见Web漏洞，并可根据环境自动启用或禁用特定漏洞，灵活适应各种需求。

在线靶场： https://dsvw.bachang.org/

Pikachu

Pikachu 是一个集成了多种常见 Web 安全漏洞的练习平台，旨在为网络安全学习者和爱好者提供一个实际操作环境。它通过模拟真实的漏洞场景，帮助用户学习如何发现、利用以及修复这些漏洞，进而提升他们在渗透测试和安全评估中的技能。

高级进阶靶场

VulnHub靶机

VulnHub 是一个专门为网络安全学习者和渗透测试爱好者提供漏洞环境的靶场平台。它通过提供多种虚拟机（VM）镜像，帮助用户在安全、可控的环境中练习和提升渗透测试技能。

官网： https://www.vulnhub.com/

Vulhub

Vulhub是一个基于Docker和Docker-compose的漏洞环境集合，可以帮助用户很方便地搭建包含有各种漏洞的靶场环境，从而使得用户更加方便地研究各种漏洞，节省环境搭建的时间和精力。

官网： https://vulhub.org/

Vulnstack红日靶场

Vulnstack 是一个专注于网络安全教育和渗透测试训练的靶场平台，旨在通过提供逼真的网络环境，帮助用户提升网络攻防技能。它为用户提供了多个场景，涵盖了从基础到高级的安全挑战和漏洞利用技巧。

靶场目前已经更新到第9个了，内网渗透涉及域控、黄金票据、白银票据等等。

墨者靶场

墨者靶场是一个专注于网络安全人才培养的在线靶场平台，提供丰富的网络安全攻防技能实训靶场，涵盖主机、数据库、网络、应用等多方面的网络信息安全知识内容，帮助用户提升网络安全攻防实战操作技能。

官网： https://www.mozhe.cn/bug

Hack the Box

Hack the Box 是国外的一个网络安全在线靶场，靶场中被细分成若干种类，涵盖Web、病毒分析、密码学、逆向工程等领域。这些类别下各自拥有从基础到高阶的多个挑战项目，确保不同技能水平的用户都能找到匹配自身技术与知识水平的挑战进行尝试。

官网： https://www.hackthebox.com/

Vulfocus

Vulfocus是一个基于Docker镜像的漏洞集成平台，提供丰富的漏洞环境供用户学习和测试，支持一键启动、自动更新Flag、计分和考核功能，兼容多种漏洞镜像。

官网： https://vulfocus.cn/

推荐书籍

有人问网安人有什么书适合，市面上大多数网络安全的书都可以满足，如果非要推荐一本，以下两本书适合零基础、进阶同学更好的学习：

• 《Web安全攻防：渗透测试实战指南》 - 徐焱老师
• 《白帽子学安全》 - 吴瀚清

这两本书分别适合不同层次的读者，可以帮助读者系统地学习网络安全知识。