网站首页 包含标签 CTF 的所有文章

  • 值得珍藏|红队资源

    现如今,网络安全是近几年非常火热的一个行业,对于打算从事或入门网络安全不久的朋友来说,一直处于求学无门、无从下手的状态。为此小编将贝塔安全实验室成员分享的一些靶场环境、红队资源等个大家进行了总结,希望大家能好好利用,快速提升自己的技术水平! 01 红队资源 1.红队资料集锦:https://www.lshack.cn/772/2.AD攻击防御:https://github.com/infosecn1nja/AD-Attack-Defense3.优秀红队资源:https://github.com/yeyintminthuhtut/Awesome-Red-Teaming4.零租资料库:https://wiki.0-sec.org/#/md5.Micro8高级攻防:https://github.com/Micropoor/Micro86.红队常用命令:https://github.com/foobarto/redteam-notebook 7.APT笔记:https://github.com/kbandla/APTnotes8.渗透测试笔记:https://github.com/Techlord-RCE/Penetration-Testing9.web渗透笔记:https://github.com/qazbnm456/awesome-web-security 01 蓝队资源 1.蓝队资源集锦:https://github.com/fabacab/awesome-cybersecurity-blueteam2.攻防思维导图:https://github.com/SecWiki/sec-chart3.AWS安全检测:https://github.com/stuhirst/awssecurity/blob/master/arsenal.md4.AWS安全工具:https://github.com/toniblyx/my-arsenal-of-aws-security-tools5.GitHub监控工具:https://github.com/0xbug/Hawkeye6. github信息监测:https://github.com/Hell0W0rld0/Github-Hunter7.服务器安全管理平台:https://github.com/chaitin/cloudwalker8.评估工具:https://github.com/guardicore/monkey9.企业安全管理平台:https://github.com/zhaoweiho/SecurityManageFramwork 01 开源漏洞库 1.乌云漏洞详情文章:https://wooyun.kieran.top2.同程安全公开漏洞:https://sec.ly.com/bugs 3.中国国家工控漏洞库:http://ics.cnvd.org.cn 4.美国国家工控漏洞库:https://ics-cert.us-cert.gov/advisories 5.绿盟漏洞库:http://www.nsfocus.net/index.php?act=sec_bug 6.威努特工控漏洞库:http://ivd.winicssec.com/ 7.CVE中文工控漏洞库:http://cve.scap.org.cn/view/ics 8.美国Offensive Security的漏洞库:https://www.exploit-db.com 9.美国国家信息安全漏洞库:https://nvd.nist.gov/vuln/search 01 练习靶场 1.124个Hacking技术的网站:https://www.blackmoreops.com/2018/11/06/124-legal-hacking-websites-to-practice-and-learn/2.vulnhub: https://www.vulnhub.com3.世界知名ctf交流网站: https://www.wechall.net4.谷歌XSS挑战:https://www.xssgame.com5.在线靶场挑战:https://www.hackthebox.eu6.vulstudy:https://github.com/c0ny1/vulstudy7.多种漏洞复现系统:https://github.com/bkimminich/juice-shop8.sql注入:https://github.com/Audi-1/sqli-labs9.红日靶场:http://vulnstack.qiyuanxuetang.net/vuln/ ...

    2020-11-14 642
  • 干货|漏洞利用、实战练习平台、CTF比赛资源库

    一、漏洞利用、实战练习平台 1、WebGoat漏洞练习环境  https://github.com/WebGoat/WebGoat https://github.com/WebGoat/WebGoat-Legacy https://github.com/RandomStorm/DVWA 2、DoraBox,多拉盒 - 掌握常见漏洞攻防  https://github.com/gh0stkey/DoraBox 3、一个功能很全的CTF平台  https://github.com/zjlywjh001/PhrackCTF-Platform-Team 4、针对Pentest或者CTF的一个fuzz payload项目。  https://github.com/zer0yu/Berserker 5、Web安全实战:日安全-Web安全攻防小组关于Web安全的系列文章分享和HTB靶场  https://github.com/hongriSec/Web-Security-Attack 6、upload-labs很全的上传上传漏洞的靶场  https://github.com/c0ny1/upload-labs 7、跟踪真实漏洞相关靶场环境搭建  https://github.com/yaofeifly/Vub_ENV 8、数据库注入练习平台  https://github.com/Audi-1/sqli-labs 9、用node编写的漏洞练习平台,like OWASP Node Goat  https://github.com/cr0hn/vulnerable-node 10、基于https://www.exploit-db.com/的漏洞场景还原  https://github.com/havysec/vulnerable-scene 11、Ruby编写的一款工具,生成含漏洞的虚拟机  https://github.com/cliffe/secgen 12、metasploitable3  https://github.com/rapid7/metasploitable3/ 13、pentesterlab渗透测试在线练习  https://pentesterlab.com/exercises/ 14、轻量web漏洞演示平台  https://github.com/stamparm/DSVW 15、docker搭建的漏洞练习环境  https://github.com/MyKings/docker-vulnerability-environment 16、黑客技术训练环境  https://github.com/joe-shenouda/awesome-cyber-skills 17、web及app渗透训练平台  https://github.com/OWASP/SecurityShepherd 18、DevSecOps技能训练营  https://github.com/devsecops/bootcamp 19、injectify 生成一个便捷的高级中间人攻击Web站点  https://github.com/samdenty99/injectify 20、针对ctf线下赛流量抓取(php)、真实环境流量抓取分析的工具  https://github.com/wupco/weblogger 21、permeate:一个用于渗透透测试演练的WEB系统,用于提升寻找网站能力,也可以用于web安全教学  https://github.com/78778443/permeate 二、安全竞赛 (CTF夺标大赛) 1、Google2019CTF web 解题思路  https://xz.aliyun.com/t/5503 2、2018 第一届安洵杯 题目环境/源码  https://github.com/D0g3-Lab/AXB-CTF 3、google-ctf 包括2017和2018全部试题和答案  https://github.com/google/google-ctf/ 4、HCTF2017题目及解析  https://github.com/vidar-team/HCTF2017 5、CTF挑战平台  https://github.com/CTFTraining 6、灰帽子资源集,包括CTF、密码学、Linux攻击、USB攻击、漏洞等  https://github.com/bt3gl/Gray-Hacker-Resources 7、CTF和安全工具大合集  https://github.com/zardus/ctf-tools 8、近年CTF writeup大全  https://github.com/ctfs/write-ups-2016 9、HITB CTF 2017 Pwn题研究  http://0x48.pw/2017/08/29/0x49 10、脸谱CTF竞赛平台Demo  https://github.com/facebook/fbctf 11、CTF框架、类库、资源、软件和教程列表  https://github.com/apsdehal/awesome-ctf 12、CTF的题集  https://github.com/Hcamael/CTF_repo 13、CTF资源  https://github.com/ctfs/resources 14、CTF从入门到了解各种工具  https://github.com/SandySekharan/CTF-tool 15、p4团队的CTF解决方案  https://p4.team https://github.com/p4-team/ctf 16、ctftools 在线CTF信息网站,包括资源下载、在线工具、信息blog等  https://www.ctftools.com https://github.com/bollwarm/SecToolSet/blob/master/All.md ...

    2020-10-19 2150
  • 红蓝演练之攻击溯源手段

    攻击溯源的技术手段,主要包括ip定位、ID定位与攻击者定位。 通过ip可定位攻击者所在位置,以及通过ip反查域名等手段,查询域名的注册信息,域名注册人及邮箱等信息。 通过ID定位可获取攻击者常用的网络ID,查询攻击者使用同类ID注册过的微博或者博客、论坛等网站,通过对网络ID注册以及使用情况的查询,定位攻击者所在公司、手机号、邮箱、QQ等信息。 或通过其他手段定位攻击者,如反制攻击者vps,获取攻击者vps中的敏感信息、反钓鱼、恶意程序分析溯源等手段。 一、ip定位技术 通过安全设备或其他技术手段抓取攻击者的IP,对IP进行定位,查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP,通过IP反查可能会查询到攻击者使用的web域名、注册人、邮箱等信息。一般常用的IP查询工具有: 高精度IP定位:https://www.opengps.cn/Data/IP/LocHighAcc.aspx rtbasia(IP查询):https://ip.rtbasia.com/ ipplus360(IP查询):http://www.ipplus360.com/ip/ IP信息查询:https://www.ipip.net/ip.html/ IP地址查询在线工具:https://tool.lu/ip/ 当发现某些IP的攻击后,可以尝试通过此IP去溯源攻击者,具体实现过程如下: 首先通过ipip.net网站或者其他接口,查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP。 如果IP反查到域名就可以去站长之家或者whois.domaintools.com等网站去查询域名的注册信息。 通过收集到的这些信息,就比较容易定位到人。 在通过IP定位技术溯源过程,应注意以下情况: 假如IP反查到的域名过多,考虑就是CDN了,就没必要继续去查了。 假如是普通运营商的出口IP只能使用一些高精度IP定位工具粗略估计攻击者的地址,如果需要具体定位到人,则需要更多的信息。 二、ID追踪技术 在通过IP定位后技术追踪攻击者,可通过指纹库、社工库等或其他技术手段抓取到攻击者的微博账号、百度ID等信息,一般通过以下技术手段实现: 进行QQ等同名方式去搜索、进行论坛等同名方式搜索、社工库匹配等。 如ID是邮箱,则通过社工库匹配密码、以往注册信息等。 如ID是手机号,则通过手机号搜索相关注册信息,以及手机号使用者姓名等。 例如,当通过ID追踪技术手段定位到某攻击者的QQ号、QQ网名等信息,通过专业社工库可以进一步追踪攻击者使用的QQ号注册过的其它网络ID,从而获取更多攻击者信息,从而确定攻击者的真实身份。 三、攻击程序分析 攻击者如果在攻击过程中对攻击目标上传攻击程序(如钓鱼软件),可通过对攻击者上传的恶意程序进行分析,并结合IP定位、ID追踪等技术手段对攻击进行分析溯源,常用的恶意程序分析网站有: Ø  微步在线云沙箱:https://s.threatbook.cn/ Ø  Virustotal:https://www.virustotal.com/gui/home/upload Ø  火眼(https://fireeye.ijinshan.com) Ø  Anubis(http://anubis.iseclab.org) Ø  joe(http://www.joesecurity.org) 例如,当发现某攻击者利用263邮箱系统0DAY(xss漏洞)进行钓鱼攻击,通过以下方式可追踪攻击者身份: 1)对恶意程序分析 通过上传文件到https://s.threatbook.cn进行代码分析,可得到以下信息,攻击者在攻击过程使用了以下三个域名: wvwvw.aaaa.com  用来接收cookies baidu-jaaaa.com 用来存放js恶意代码,伪造图片 flashaaaa.cn 用来存放木马病毒 然后对域名进行反查 ...

    2020-09-28 532
  • 怎么样才能拥有一个打CTF的男朋友?

    妹子不要被网剧骗了...CTFer才不是电视上那样..1.头像基本是这个画风 2.讲话基本是这个画风3.书包这个画风4.表情包这个画风5.比赛真实画风(脸都 了 给品品还是不是你韩的类型 (大师傅见侵删 6.CTFer为女朋友准备的惊喜 A.一大桶星球杯(?)B.土掉渣的刻有1314字样的水杯(?)就是这个C.你死也看不懂的浪?漫?惊?喜? 就是一大堆代码截图 然后说我有了他计算机的最高权限之类的 我是真的emmmmm?? 还有给你一堆加密的文字 说里面藏了一个秘密 (呵 好像基本全是母胎单身.... 但似乎脱单了的基本都是很粘人的好男朋友.. 单纯的角色.. 7.平时跟你线下聊天的画风 哈哈哈 这个A1B2C3D4竟然”)/了我的$&;我他妈分分钟就’_~>€ 然后他的&@就不能—#^我的***了 。笑死我了。你在没在听啊?你咋不理我。哼!(撅嘴。8.日常生活 A.到一个地方不允许连Wi-Fi B.电脑上贴一堆软件图标(? C.无论多热 无论多重 约会必带包 书包里必有一到两台电脑 无论吃饭排队等人 随时打开看两行代码 D.要以拍照片的形式记住自己一些信息 必须斜着拍 反正不能正经拍 说会泄漏被盗用 E.“B站源码泄漏 你快改密码”“XX平台有漏洞 你最近别用了” F.VX QQ全是各种技术群置顶 .... 然后闲下来把没看的消息从头看到尾 ...并配上一张表情包➕tql G.复读鸡 等等等等等等....... 总之画风大抵就是一瓶5L农夫山泉(不盖盖子)在电脑桌旁➕一件皱巴巴的衬衫➕齁背➕内心脆弱➕脸上油腻腻➕运动无能的感觉..... 但是真的很贴心 (虽然很蠢 虽然我说了一大堆 但是CTFer无论如何也是人类中的一员 还是各有特色(?)... 所以妹子不需要限定男朋友的范围... 就.. 随缘吧。(嘻 嘻) (反正我这辈子是栽进去了) (溜走) ...

    2019-08-04 817

联系我们

在线咨询:点击这里给我发消息

QQ交流群:KirinBlog

工作日:9:00-23:00,节假日休息

扫码关注