牛！渗透工程师必刷的30个国内外攻防靶场！（超全汇总）

建议将公众号点上星标✨，这样每次公众号更新文章，就会第一时间出现在你的订阅号列表~

俗话说百看不如一练，小编今天总结了30个国内外网络安全必刷的靶场，以供大家学习，早日成为高手！

一、基础类靶场

1. DVWA（Damn Vulnerable Web Application）

下载地址：https://github.com/digininja/DVWA（需自行搭建环境）

在线靶场：https://dvwa.bachang.org/

DVWA是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好地理解web应用安全防范的过程。DVWA包含了OWASP TOP 10的所有攻击漏洞的练习环境，一站式解决所有Web渗透的学习环境。

2. sql-libs（sql注入漏洞）

下载地址：https://github.com/Audi-1/sqli-labs

在线靶场：https://sqli-labs.bachang.org/

sql-libs是一个专门用于学习和测试SQL注入的开源平台，它提供了一系列的注入场景和关卡，帮助开发者和安全测试人员深入理解SQL注入的原理和防范方法。通过sql-libs，用户可以实践不同类型的SQL注入攻击，并学习如何编写安全的代码来避免这些漏洞。

3. upload-labs

下载地址：https://github.com/c0ny1/upload-labs

upload-labs是一个使用PHP编写的开源靶场，专门用于学习和测试文件上传漏洞，特别是在渗透测试和CTF（Capture The Flag）竞赛中常见的场景。

4. xss-labs

下载地址：https://github.com/do0dl3/xss-labs

xss-labs是一个专注于跨站脚本攻击（XSS）学习和测试的开源靶场，提供多种XSS漏洞场景，帮助用户理解XSS攻击原理、掌握防御技巧，并通过实践提升安全意识和技能。

5. DSVW（Damn Small Vulnerable Web）

下载地址：$ git clone [email protected]:stamparm/DSVW.git

DSVW（Damn Small Vulnerable Web）是一款轻量级Web漏洞教学演示系统，由sqlmap同一作者Miroslav Stampar开发。它支持大多数流行的Web漏洞环境与攻击EXPLOIT，同时各个漏洞环境还提供了相关说明与介绍的链接地址。DSVW使用Python语言开发，具有代码量少、易于理解和研究的特点。它支持跨站脚本（XSS）、XML外部实体注入（XXE）等多类常见Web漏洞，并可根据环境自动启用或禁用特定漏洞，灵活适应各种需求。

6. XVWA（Xtreme Vulnerable Web Application）

下载地址：https://github.com/s4n7h0/xvwa

XVWA是一个用PHP/MySQL编写的编码错误的Web应用程序，可帮助安全爱好者学习应用程序安全性。

7. Pikachu

下载地址：https://github.com/zhuifengshaonianhanlu/pikachu

Pikachu是一个集成了多种常见Web安全漏洞的练习平台，旨在为网络安全学习者和爱好者提供一个实际操作环境。它通过模拟真实的漏洞场景，帮助用户学习如何发现、利用以及修复这些漏洞，进而提升他们在渗透测试和安全评估中的技能。

8. WeBug

名称定义为“我们的漏洞”靶场环境，基础环境是基于PHP/MySQL制作搭建而成，中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于Windows操作系统的漏洞，所以将WeBug的web环境都装在了一个纯净版的Windows 2003的虚拟机中。

下载地址：https://github.com/wangai3176/webug4.0

9. Vulhub

Vulhub是一个基于Docker和Docker-compose的漏洞环境集合，可以帮助我们很方便地搭建包含各种漏洞的靶场环境，从而使得我们更加全面地研究各种漏洞，节省环境搭建的时间和精力。

官网地址：https://vulhub.org

10. bWAPP（Buggy Web Application）

这是一个集成了各种常见漏洞和最新漏洞的免费和开源的web应用程序安全项目。目的是帮助网络安全爱好者、开发人员和学生发现并防止网络漏洞。

官网地址：https://www.itsecgames.com

11. Mutillidae

Mutillidae是一个免费、开源的Web应用程序，提供专门被允许的安全测试和入侵的Web应用程序。其中包含了丰富的渗透测试项目，如SQL注入、跨站脚本、clickjacking、本地文件包含、远程代码执行等。可以让你了解黑客是如何进行非法入侵和数据窃取等行为的，并且教会你如何保护自己的网站免受黑客的入侵。所以也是一个学习黑客技术、了解安全新闻和技术文章的好地方。

项目地址：https://sourceforge.net/projects/mutillidae

二、CTF类靶场

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，CTF也成为了其历年来的重头戏。

CTF竞赛涉及的信息安全知识点涵盖范围广泛，从传统的网络安全（如XSS、SQL注入、文件上传漏洞等）到二进制分析、逆向工程、人工智能，再到密码学、区块链等均有涉及。CTF一般分为Jeopardy、Attack-Defense和Mix三种类型。

以下是部分CTF类靶场：

1. bugku

bugku是一个CTF在线训练平台，适合CTF选手练习，题目难易均有。该平台由山东安信安全技术有限公司自研，CTF/AWD一体化平台，部分赛题采用动态FLAG形式，平台有题库、赛事预告、工具库、Writeup库等模块。

平台网址：https://www.ctf.show/challenges

2. BUUCTF

BUUCTF是北京联合大学搭建的在线CTF靶场，难度中上，搜集了很多大赛原题。目前该靶场共分为几个部分：

• Basic（基础）
• Crypto（加密）
• DASBOOK（刷题书）
• Misc（杂项）
• N1BOOK（是Nu1L Team为方便读者打造的免费平台）
• Pwn（漏洞利用）
• Real（实际会遇到的漏洞）
• Reverse（逆向）
• Web（网络）
• 加固题（各个赛事的经典案例）

靶场网址：https://buuoj.cn/challenges

3. 南邮CTF

南邮CTF是南京邮电大学搭建的网络攻防训练平台。

靶场网址：https://ctf.njupt.edu.cn

4. XCTF

XCTF是XCTF联赛官方平台，该平台拥有众多赛题资源，包括国内外CTF大赛原题、原创实训题、在线编程题等，涵盖了网络安全领域的多个方面，如Web安全、逆向工程、密码学、二进制漏洞利用等。XCTF平台不仅提供了丰富的赛题资源，还定期组织各类CTF竞赛活动，吸引了众多网络安全爱好者和专业人士的参与。

平台网址：https://adworld.xctf.org.cn

5. i春秋

i春秋是一个网络安全在线学习平台，提供了丰富的CTF靶场资源。用户可以在平台上参与各种CTF竞赛，通过实战演练提升自己的网络安全技能。i春秋的CTF靶场涵盖了多个难度级别，适合不同水平的用户进行学习和挑战。

平台网址：https://www.ichunqiu.com

6. 黑客马拉松

黑客马拉松是一种编程竞赛活动，通常要求参赛者在限定时间内完成某个项目的开发。在网络安全领域，黑客马拉松经常涉及到CTF靶场的挑战和攻防演练。通过参与黑客马拉松，参赛者可以锻炼自己的编程能力、创新思维和团队合作精神，同时也能深入了解网络安全领域的最新技术和趋势。

7. Hack The Box（HTB）

Hack The Box是一个在线的、可交互的渗透测试实验室，它提供了一系列精心设计的虚拟机器，供安全研究人员、渗透测试人员和网络安全爱好者进行实战练习和学习。每个虚拟机都模拟了一个真实的网络环境，包含各种安全漏洞和挑战，用户需要通过渗透测试技术来发现并利用这些漏洞，最终获得机器的访问权限。

官网地址：https://www.hackthebox.eu

8. TryHackMe

TryHackMe是一个基于浏览器的网络安全学习平台，它提供了各种难度级别的CTF挑战和渗透测试实验室。用户可以通过完成这些挑战来学习网络安全知识、提升技能，并获得认证。TryHackMe还提供了一个活跃的社区，用户可以在其中与其他网络安全爱好者交流、分享经验和知识。

官网地址：https://tryhackme.com

9. Proving Grounds

Proving Grounds是由Offensive Security提供的一个在线渗透测试实验室，它包含了一系列精心设计的挑战和场景，旨在帮助用户提升渗透测试技能。这些挑战涵盖了网络安全的多个方面，如Web应用安全、系统安全、网络协议分析等。用户可以通过完成这些挑战来获得经验值、提升等级，并解锁更高级别的挑战。

官网地址：https://www.offensive-security.com/labs/proving-grounds

10. OverTheWire

OverTheWire是一个基于Linux的在线安全挑战平台，它提供了一系列由易到难的挑战，旨在帮助用户学习网络安全和系统安全知识。这些挑战涵盖了密码学、网络协议、系统安全等多个方面，用户需要通过渗透测试技术来破解密码、获取访问权限等。OverTheWire还提供了一个论坛，用户可以在其中与其他参与者交流心得、分享经验。

官网地址：https://overthewire.org/wargames

11. PicoCTF

PicoCTF是一个面向中小学生的CTF竞赛平台，旨在通过趣味性的方式培养他们对网络安全的兴趣和技能。该平台提供了多个难度级别的CTF挑战，涵盖了网络安全的多个方面，如密码学、Web安全、逆向工程等。PicoCTF还定期举办线上和线下的CTF竞赛活动，吸引了众多中小学生的参与。

官网地址：https://picoctf.org

三、实战类靶场

实战类靶场通常模拟真实的网络环境或应用程序，让安全测试人员或开发人员在实际环境中进行渗透测试或安全评估。这类靶场通常包含复杂的漏洞场景和防御机制，能够帮助测试人员更全面地了解网络安全的实际情况。

1. PentesterLab

PentesterLab是一个专注于渗透测试技能提升的在线平台。它提供了一系列实战化的课程和挑战，帮助用户学习如何识别、利用和修复网络系统中的漏洞。PentesterLab的课程涵盖了Web应用安全、系统安全、网络渗透等多个方面，适合不同水平的渗透测试人员学习和提升技能。

官网地址：https://www.pentesterlab.com

2. Hackademic Challenges

Hackademic Challenges是一个基于Web的在线安全挑战平台，它提供了一系列由易到难的挑战，旨在帮助用户学习网络安全知识并提升渗透测试技能。这些挑战涵盖了Web应用安全、系统安全、密码学等多个方面，用户需要通过渗透测试技术来破解密码、获取访问权限等。Hackademic Challenges还提供了一个论坛，用户可以在其中与其他参与者交流心得、分享经验。

官网地址：https://www.hackademic.ch

3. Root-Me

Root-Me是一个基于社区的在线安全挑战平台，它提供了一系列由社区成员创建的挑战和场景。这些挑战涵盖了网络安全的多个方面，如Web应用安全、系统安全、密码学等。用户可以通过完成这些挑战来学习网络安全知识、提升技能，并获得积分和排名。Root-Me还提供了一个论坛和Wiki，用户可以在其中与其他参与者交流心得、分享经验和学习资源。

官网地址：https://www.root-me.org

4. VulnHub

VulnHub是一个基于Docker的漏洞环境集合，它提供了一系列由社区成员创建的虚拟机镜像。这些虚拟机镜像模拟了真实的网络环境或应用程序，并包含了各种已知和未知的漏洞。用户可以通过下载这些镜像并在自己的环境中运行它们来进行渗透测试和安全评估。VulnHub还提供了一个论坛和Wiki，用户可以在其中与其他参与者交流心得、分享经验和学习资源。

官网地址：https://www.vulnhub.com

5. Cyber Range

Cyber Range是一种模拟真实网络环境的在线平台，它提供了一系列复杂的网络安全挑战和场景供用户进行实战演练。这些挑战和场景通常涵盖了网络安全的多个方面，如渗透测试、恶意软件分析、事件响应等。用户可以通过在Cyber Range中进行实战演练来提升自己的网络安全技能和应对能力。此外，一些Cyber Range还提供了培训和教育资源，帮助用户更深入地了解网络安全领域的知识和技能。

6. Hack The Box Academy

Hack The Box Academy是Hack The Box提供的一个面向初学者的网络安全学习平台。提供了一系列精心设计的课程和挑战，旨在帮助用户逐步掌握网络安全的基本概念、工具和技能。通过完成这些课程和挑战，用户可以逐步提升自己的网络安全水平，并为参与更高级别的CTF竞赛或实战演练做好准备。

官网地址：https://academy.hackthebox.eu

7. RangeForce

RangeForce是一个专注于提供实战化网络安全培训的在线平台。通过模拟真实的网络环境和攻击场景，帮助用户提升网络安全防御和响应能力。RangeForce提供了多种类型的培训课程和挑战，包括渗透测试、恶意软件分析、事件响应等，适用于不同水平的网络安全专业人员。

官网地址：https://www.rangeforce.com

8. Cybrary

Cybrary是一个综合性的网络安全学习平台，提供了包括靶场在内的多种学习资源。涵盖了网络安全的多个方面，如渗透测试、云安全、密码学等，并提供了丰富的在线课程、视频教程和实践练习。Cybrary还拥有一个活跃的社区，用户可以在其中与其他网络安全爱好者交流心得、分享经验和学习资源。

官网地址：https://www.cybrary.it

9. CyberSecurity Nexus

CyberSecurity Nexus是一个专注于提供实战化网络安全培训的在线平台。通过模拟真实的网络攻击和防御场景，帮助用户提升网络安全技能和应对能力。提供了多种类型的培训课程和挑战，包括渗透测试、恶意软件分析、事件响应等，并且可以根据用户的具体需求进行定制化的培训服务。

官网地址：https://www.cybersecuritynexus.com