• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

Capture The Flag (CTF) 框架 拥有多个攻防练习场景


Recommended Posts

Capture The Flag (CTF) 框架、库、资源、软件和教程的精选列表。此列表旨在帮助初学者和经验丰富的 CTF 玩家在一个地方找到与 CTF 相关的所有内容。

贡献

请先快速查看贡献指南

如果您知道此处不存在的工具,请随时打开拉取请求。

为什么?

建立 CTF 中使用的工具集并记住它们需要时间。这个 repo 有助于将所有这些分散的工具保存在一个地方。

内容

创造

用于创建 CTF 挑战的工具

取证

用于创建取证挑战的工具

平台

可用于举办 CTF 的项目

  • CTFd - 托管来自 ISISLab,NYU Tandon 的危险风格 CTF 的平台。
  • echoCTF.RED - 开发、部署和维护您自己的 CTF 基础架构。
  • FBCTF - 举办 Facebook 夺旗比赛的平台。
  • Haaukins - 用于安全教育的高度可访问和自动化的虚拟化平台。
  • HackTheArch - CTF 评分平台。
  • Mellivora - 用 PHP 编写的 CTF 引擎。
  • MotherFucking-CTF - 托管 CTF 的 Badass 轻量级平台. 不涉及 JS。
  • NightShade - 一个简单的安全 CTF 框架。
  • OpenCTF - 盒子中的 CTF。需要最少的设置。
  • PicoCTF - 用于运行 picoCTF 的平台。一个伟大的框架来托管任何 CTF。
  • PyChallFactory - 创建/管理/打包危险 CTF 挑战的小框架。
  • RootTheBox - 黑客游戏(CTF 记分牌和游戏管理器)。
  • Scorebot - Legitbs (Defcon) 的 CTF 平台。
  • SecGen - 安全场景生成器。创建随机易受攻击的虚拟机。

隐写术

用于创建隐秘挑战的工具

检查隐写术的解决部分。

网络

用于创建网络挑战的工具

JavaScript 混淆器

解决

用于解决 CTF 挑战的工具

攻击

用于执行各种攻击的工具

  • Bettercap - 执行 MITM(中间人)攻击的框架。
  • Yersinia - 攻击第 2 层的各种协议。

加密货币

用于解决加密挑战的工具

  • CyberChef - 用于分析和解码数据的 Web 应用程序。
  • FeatherDuster - 一种自动化的模块化密码分析工具。
  • Hash Extender - 用于执行哈希长度扩展攻击的实用工具。
  • padding-oracle-attacker - 一个执行 padding oracle 攻击的 CLI 工具。
  • PkCrack - 破解 PkZip 加密的工具。
  • QuipQuip - 用于破解替换密码或 vigenere 密码(无密钥)的在线工具。
  • RSACTFTool - 用于通过各种攻击恢复 RSA 私钥的工具。
  • RSATool - 生成具有 p 和 q 知识的私钥。
  • XORTool - 分析多字节异或密码的工具。

蛮力者

用于各种暴力破解的工具(密码等)

  • Hashcat - 密码破解器
  • Hydra - 支持多种协议攻击的并行登录破解程序
  • John The Jumbo - John the Ripper 的社区增强版.
  • John The Ripper - 密码破解者。
  • Nozzlr - Nozzlr 是一个蛮力框架,真正的模块化和脚本友好。
  • Ophcrack - 基于彩虹表的 Windows 密码破解程序。
  • Patator - Patator 是一个多用途的暴力破解工具,采用模块化设计。
  • Turbo Intruder - 用于发送大量 HTTP 请求的 Burp Suite 扩展

漏洞利用

用于解决漏洞利用挑战的工具

  • DLLInjector - 在进程中注入 dll。
  • libformatstr - 简化格式字符串利用。
  • Metasploit - 渗透测试软件。
  • one_gadget - 一种查找单个小工具execve('/bin/sh', NULL, NULL)调用的工具。
    • gem install one_gadget
  • Pwntools - 用于编写漏洞利用的 CTF 框架。
  • Qira - QEMU 交互式运行时分析器。
  • ROP Gadget - ROP 开发框架。
  • V0lt - 安全 CTF 工具包。

取证

用于解决取证挑战的工具

  • Aircrack-Ng - 破解 802.11 WEP 和 WPA-PSK 密钥。
    • apt-get install aircrack-ng
  • Audacity - 分析声音文件(mp3、m4a 等)。
    • apt-get install audacity
  • Bkhive 和 Samdump2 - 转储 SYSTEM 和 SAM 文件。
    • apt-get install samdump2 bkhive
  • CFF Explorer - PE 编辑器。
  • Creddump - 转储 Windows 凭据。
  • DVCS Ripper - 撕裂 Web 可访问(分布式)版本控制系统。
  • Exif 工具- 读取、写入和编辑文件元数据。
  • Extundelete - 用于从可挂载映像中恢复丢失的数据。
  • Fibratus - 用于探索和跟踪 Windows 内核的工具。
  • 最重要的 - 使用标题提取特定类型的文件。
    • apt-get install foremost
  • Fsck.ext4 - 用于修复损坏的文件系统。
  • Malzilla - 恶意软件搜索工具。
  • NetworkMiner - 网络取证分析工具。
  • PDF Streams Inflater - 查找并提取压缩在 PDF 文件中的 zlib 文件。
  • Pngcheck - 验证 PNG 的完整性并以人类可读的形式转储所有块级信息。
    • apt-get install pngcheck
  • ResourcesExtract - 从 exes 中提取各种文件类型。
  • Shellbags - 调查 NT_USER.dat 文件。
  • Snow - 一个空白隐写工具。
  • USBRip - 简单的 CLI 取证工具,用于在 GNU/Linux 上跟踪 USB 设备工件(USB 事件的历史)。
  • Volatility - 调查内存转储。
  • Wireshark - 用于分析 pcap 或 pcapng 文件

注册表查看器

  • OfflineRegistryView - 适用于 Windows 的简单工具,可让您从外部驱动器读取脱机注册表文件并以 .reg 文件格式查看所需的注册表项。
  • Registry Viewer® - 用于查看 Windows 注册表。

联网

用于解决网络挑战的工具

  • Masscan - 海量 IP 端口扫描器,TCP 端口扫描器。
  • Monit - 检查网络上的主机(和其他非网络活动)的 linux 工具。
  • Nipe -Nipe 是一个脚本,可让 Tor 网络成为您的默认网关。
  • Nmap - 用于网络发现和安全审计的开源实用程序。
  • Wireshark - 分析网络转储。
    • apt-get install wireshark
  • Zeek - 一个开源网络安全监视器。
  • Zmap - 一个开源网络扫描仪。

倒车

用于解决逆转挑战的工具

  • Androguard - 对 Android 应用程序进行逆向工程。
  • Angr - 平台无关的二进制分析框架。
  • Apk2Gold - 又一个 Android 反编译器。
  • ApkTool - Android 反编译器。
  • Barf - 二进制分析和逆向工程框架。
  • Binary Ninja - 二进制分析框架。
  • BinUtils - 二进制工具的集合。
  • BinWalk - 分析、逆向工程和提取固件映像。
  • Boomerang - 将 x86/SPARC/PowerPC/ST-20 二进制文件反编译为 C.
  • ctf_import – 从剥离的二进制文件跨平台运行基本功能。
  • cwe_checker - cwe_checker 在二进制可执行文件中发现易受攻击的模式。
  • demovfuscator - 用于 movfuscated 二进制文件的正在进行中的反混淆器。
  • Frida - 动态代码注入。
  • GDB - GNU 项目调试器。
  • GEF - GDB 插件。
  • Ghidra - 逆向工程工具的开源套件。类似于 IDA Pro。
  • Hopper - 适用于 OSX 和 Linux 的逆向工程工具(反汇编程序)。
  • IDA Pro - 最常用的倒车软件。
  • Jadx - 反编译 Android 文件。
  • Java Decompilers - 适用于 Java 和 Android APK 的在线反编译器。
  • Krakatau - Java 反编译器和反汇编器。
  • 异议- 运行时移动探索。
  • PEDA - GDB 插件(仅限 python2.7)。
  • Pin - Intel 的动态二进制工具。
  • PINCE - GDB 前端/逆向工程工具,专注于游戏黑客和自动化。
  • PinCTF - 使用 intel pin 进行侧信道分析的工具。
  • Plasma - x86/ARM/MIPS 的交互式反汇编程序,可以生成带有彩色语法的缩进伪代码。
  • Pwndbg - 一个 GDB 插件,它提供了一套实用程序来轻松破解 GDB。
  • radare2 - 一个便携式倒车框架。
  • Triton - 动态二进制分析(DBA)框架。
  • Uncompyle - 反编译 Python 2.7 二进制文件 (.pyc).
  • WinDbg - Microsoft 分发的 Windows 调试器。
  • Xocopy - 可以复制可执行文件的程序,但没有读取权限。
  • Z3 - 来自 Microsoft Research 的定理证明器。

JavaScript 反混淆器

  • Detox - 一种 Javascript 恶意软件分析工具。
  • Revelo - 分析混淆的 Javascript 代码。

SWF 分析器

  • RABCDAsm - 实用程序集合,包括 ActionScript 3 汇编器/反汇编器。
  • Swftools - 用于处理 SWF 文件的实用程序集合。
  • Xxxswf - 用于分析 Flash 文件的 Python 脚本。

服务

互联网上提供的各种有用的服务

  • CSWSH - 跨站点 WebSocket 劫持测试器。
  • Request Bin - 让您检查对特定 url 的 http 请求。

隐写术

用于解决隐写术挑战的工具

  • AperiSolve -Aperi'Solve 是一个对图像执行图层分析的平台(开源)。
  • 转换- 转换图像黑白格式并应用过滤器。
  • Exif - 显示 JPEG 文件中的 EXIF 信息。
  • Exiftool - 在文件中读取和写入元信息。
  • Exiv2 - 图像元数据操作工具。
  • 图像隐写术- 使用可选加密将文本和文件嵌入图像中。易于使用的用户界面。
  • Image Steganography Online - 这是一个客户端 Javascript 工具,用于以隐写方式将图像隐藏在其他图像的较低“位”内
  • ImageMagick - 处理图像的工具。
  • Outguess - 通用的隐写工具。
  • Pngtools - 用于与 PNG 相关的各种分析。
    • apt-get install pngtools
  • SmartDeblur - 用于去模糊和修复散焦图像。
  • Steganabara - 用 Java 编写的隐写分析工具。
  • SteganographyOnline - 在线隐写编码器和解码器。
  • Stegbreak - 对 JPG 图像发起暴力字典攻击。
  • StegCracker - 隐写术蛮力实用程序,用于发现文件中的隐藏数据。
  • stegextract - 检测图像中的隐藏文件和文本。
  • Steghide - 隐藏各种图像中的数据。
  • StegOnline - 进行广泛的图像隐写操作,例如隐藏/显示隐藏在位中的文件(开源)。
  • Stegsolve - 将各种隐写技术应用于图像。
  • Zsteg -PNG /BMP 分析。

网络

用于解决 Web 挑战的工具

  • BurpSuite - 用于测试网站安全性的图形工具。
  • Commix - 自动化的一体化操作系统命令注入和利用工具。
  • Hackbar - Firefox 插件,便于 Web 开发。
  • OWASP ZAP - 拦截代理以重放、调试和模糊 HTTP 请求和响应
  • Postman - 为 chrome 添加用于调试网络请求。
  • Raccoon - 用于侦察和漏洞扫描的高性能攻击性安全工具。
  • SQLMap - 自动 SQL 注入和数据库接管工具。 pip install sqlmap
  • W3af - Web 应用程序攻击和审计框架。
  • XSSer - 自动 XSS 测试器。

资源

在哪里发现有关 CTF 的信息

操作系统

渗透测试和安全实验室操作系统

恶意软件分析师和逆向工程

入门包

安装程序脚本的集合,有用的工具

  • CTF 工具- 用于安装各种安全研究工具的设置脚本集合。
  • LazyKali -LazyKali的 2016 年更新,简化了工具的安装和配置。

教程

学习如何玩 CTF 的教程

战争游戏

始终在线 CTF

  • Backdoor - SDSLabs 的安全平台。
  • Crackmes - 逆向工程挑战。
  • CryptoHack - 有趣的密码学挑战。
  • echoCTF.RED - 具有各种攻击目标的在线 CTF。
  • 漏洞利用练习- 各种 VM 以了解各种计算机安全问题。
  • Exploit.Education - 各种虚拟机来学习各种计算机安全问题。
  • Gracker - 学习曲线缓慢的二元挑战,每个级别都有记录。
  • Hack The Box - 适用于所有类型安全爱好者的每周 CTF。
  • Hack This Site - 黑客训练场。
  • Hacker101 -来自 HackerOne 的 CTF
  • Hacking-Lab - 道德黑客、计算机网络和安全挑战平台。
  • 磨练你的忍者技能- 从基本挑战开始的网络挑战。
  • IO - 二进制挑战的战争游戏。
  • 微腐败- 嵌入式安全 CTF。
  • Over The Wire - 由 OvertheWire 社区维护的战争游戏。
  • PentesterLab - 各种 VM 和在线挑战(付费)。
  • PicoCTF - 全年无休的 ctf 游戏。来自年度 picoCTF 比赛的问题。
  • PWN 挑战- 二进制开发兵棋。
  • Pwnable.kr - Pwn 游戏。
  • Pwnable.tw - 二进制战争游戏。
  • Pwnable.xyz - 二进制开发战争游戏。
  • Reversin.kr - 逆转挑战。
  • Ringzer0Team -Ringzer0 团队在线 CTF.
  • Root-Me - 黑客和信息安全学习平台。
  • ROP 战争游戏- ROP 战争游戏。
  • SANS HHC - 每年发布并由 SANS 维护的节日主题挑战。
  • SmashTheStack - 由 SmashTheStack 社区维护的各种战争游戏。
  • Viblo CTF - 许多不同类别的各种惊人的 CTF 挑战。具有练习模式和竞赛模式。
  • VulnHub - 基于 VM 的数字安全、计算机应用程序和网络管理中的实用程序。
  • W3Challs - 一个渗透测试培训平台,提供各种类别的各种计算机挑战。
  • WebHacking - 网络黑客挑战。

自托管 CTF

网站

关于 CTF 的各种通用网站

维基

可用于学习 CTF 的各种 Wiki

写作收藏

CTF 论文集

  • 0e85dc6eaf - 0e85dc6eaf 为 CTF 挑战撰写的文章
  • Captf - psifertex 倾倒了 CTF 挑战和材料。
  • CTF write-ups (community) - CTF 挑战 + 由社区维护的文章存档。
  • CTFTime Scrapper - 从 CTF Time 中删除所有文章并组织首先阅读的内容。
  • HackThisSite - 由 HackThisSite 团队维护的 CTF 写作回购。
  • Mzfr - mzfr 撰写的 CTF 比赛记录
  • pwntools writeups - 全部使用 pwntools 的 CTF 文章集合。
  • SababaSec - SababaSec 团队的 CTF 文章集
  • Shell Storm - 由 Jonathan Salwan 维护的 CTF 挑战档案。
  • Smoke Leet Everyday - 由 SmokeLeetEveryday 团队维护的 CTF 撰写回购。

执照

CC0 🙂

https://github.com/apsdehal/awesome-ctf

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now