nicsanchezr/awesome-cyber-skills-es

# awesome-cyber-skills-es [](LICENSE) [](https://awesome.re) [](CONTRIBUTING.md) Joe Shenouda 的 [awesome-cyber-skills](https://github.com/joe-shenouda/awesome-cyber-skills) 的西班牙语分支，于 2025 年进行了审查、更新和重新组织。 ## 📌 关于资源状态的说明 **状态图例：** - ✅ 已验证且活跃 - ⚠️ 不稳定或最近更改了 URL - 使用前请先检查 - 🗄️ 已归档 / 已弃用 - 因历史价值或存在 Docker/GitHub 替代方案而保留 ## 📋 目录 - [CTF 平台和 Wargames](#-plataformas-ctf-y-wargames) - [易受攻击的 Web 应用](#-aplicaciones-web-vulnerables) - [可下载的虚拟机和实验环境](#-máquinas-virtuales-y-labs-descargables) - [云安全](#-seguridad-en-la-nube) - [移动安全](#-seguridad-móvil) - [密码学和隐写术](#-criptografía-y-esteganografía) - [逆向工程和二进制漏洞利用](#-ingeniería-inversa-y-explotación-binaria) - [蓝队与防御](#-blue-team-y-defensa) - [免费课程与培训](#-cursos-y-formación-gratuita) - [Active Directory 资源](#-recursos-de-active-directory) - [数字取证](#-forense-digital) - [西班牙语资源](#-recursos-en-español) ## 🚩 CTF 平台和 Wargames | 站点 | 描述 | |---|---| | [Hack The Box](https://www.hackthebox.com/) | 领先的渗透测试平台，提供活跃的主机、引导式实验室 (HTB Academy) 和 ProLabs 竞赛。拥有庞大的活跃社区。 | | [TryHackMe](https://tryhackme.com) | 适合初学者和进阶者的平易近人的平台，提供引导式学习路径、主题房间和浏览器内实验室。非常适合结构化学习。 | | [OverTheWire](https://overthewire.org/wargames/) | 经典的分级 Wargames，用于学习安全概念：Bandit (Linux 基础)、Narnia、Leviathan、Natas (Web)、Krypton (Crypto) 等。 | | [Root Me](https://www.root-me.org/?lang=es) | 超过 500 项涵盖多个类别的挑战。部分支持西班牙语。包含用于每个挑战的虚拟环境。 | | [PicoCTF](https://picoctf.org/) | 由 Carnegie Mellon 主办的面向高中和大学生的教育性竞赛。往届挑战可在 `picogym` 中访问。 | | [pwn.college](https://pwn.college/) | 亚利桑那大学的学术平台，专注于二进制漏洞利用，拥有渐进式的 dojo 系统和高质量内容。 | | [W3Challs](https://w3challs.com) | 涵盖多个类别的渗透测试挑战平台：Web、网络、密码学、取证和编程。 | | ⚠️ [Hack This Site](https://www.hackthissite.org/) | 资深社区，提供黑客挑战、教程和论坛。据报道该网站自 2024 年以来频繁崩溃 - 使用前请检查可用性。它仍然是该领域的经典历史参考。 | | [HackThis!!](https://www.hackthis.co.uk/) | 超过 50 个级别，涵盖信息安全的各个方面。 | | [RingZero](https://ringzer0ctf.com/challenges) | 在多个安全类别中带有评分系统的挑战。 | | [Smash The Stack](http://smashthestack.org/) | 专注于软件漏洞利用的不同难度的 Wargames 网络。 | | [Pwnable.kr](https://pwnable.kr/) | 专注于系统漏洞利用和底层技能的非商业 Wargame。 | | [CTFtime](https://ctftime.org/) | 所有过去和现在活跃的 CTF 竞赛的全球目录。跟踪活动日程不可或缺的工具。 | | [Hacking-Lab](https://www.hacking-lab.com/) | 道德黑客、CTF 挑战和任务平台。用于欧洲网络安全挑战赛。包含 OWASP Top 10 实验室。 | | [Hackxor](https://hackxor.net/) | 具有叙事性和现实主义风格的 Web 黑客游戏。包括 XSS、CSRF、SQLi、命令注入等。 | | [Microcorruption CTF](https://microcorruption.com/login) | 嵌入式安全挑战：给定一个调试器和一个设备，找到能解锁它的输入。 | | [Ringzer0](https://ringzer0ctf.com/challenges) | 在多个安全类别中提供积分的挑战。 | | [Wechall](http://www.wechall.net/) | 汇总多个 CTF 平台的分数。包含自己的密码学、隐写术、逻辑和编程挑战。 | | [VulnHub](https://www.vulnhub.com/) | 海量的易受攻击虚拟机集合，附带社区提供的 writeup。 | ## 🕸️ 易受攻击的 Web 应用 | 站点 | 描述 | |---|---| | [PortSwigger Web Security Academy](https://portswigger.net/web-security) | 学习 Web 安全最全面的免费参考。+200 个交互式实验室，涵盖 OWASP Top 10、业务逻辑、OAuth、HTTP request smuggling、反序列化等。由 Burp Suite 的作者创建。 | | [OWASP WebGoat](https://github.com/WebGoat/WebGoat) | 由 OWASP 维护的故意设计为不安全的 Web 应用程序，通过引导式课程学习 Web 漏洞。可通过 Docker 使用。 | | [OWASP Juice Shop](https://github.com/juice-shop/juice-shop) | 用 Node.js/Angular 编写的现代化且故意不安全的 Web 应用程序。涵盖完整的 OWASP Top 10 及更多内容。可通过 Docker 在几秒钟内部署。 | | [OWASP Mutillidae II](https://owasp.org/www-project-mutillidae-ii/) | 包含 40 多个已记录漏洞的故意存在漏洞的 Web 应用程序。非常适合 Web 渗透测试练习。 | | [DVWA (Damn Vulnerable Web Application)](https://github.com/digininja/DVWA/) | 具有可调难度级别的经典 PHP/MySQL 应用程序。Web 安全课程的标准参考。 | | 🗄️ [bWAPP](https://github.com/raesene/bWAPP) | Buggy Web Application：超过 100 个 Web 漏洞，用于练习 OWASP Top 10 和 WASC。原域名 已失效。请使用 Docker 镜像：`docker pull raesene/bwapp` - 内容依然有效且适合教学。 | | ⚠️ [Vulnmachines](https://www.vulnmachines.com/) | 基于真实场景的免费易受攻击 Web 应用实验室。据报道不稳定 - 使用前请检查可用性。 | | [Hackazon](https://github.com/rapid7/hackazon) | 易受攻击的现代电子商务应用程序，模拟具有多个攻击向量的真实在线商店。 | | [XVWA](https://github.com/s4n7h0/xvwa) | 包含多个漏洞的 PHP/MySQL Web 应用程序，专为应用程序安全实践而设计。 | | [Google Gruyere](https://google-gruyere.appspot.com/) | Google 的实验室，通过分步指南涵盖 XSS、XSRF 和其他常见的 Web 漏洞。 | | [Altoro Mutual](https://demo.testfire.net/) | IBM 的具有经典漏洞的虚拟银行。用于演示 DAST 工具。 | | [Damn Vulnerable Web Services](https://github.com/snoopysecurity/dvws) | 包含多个易受攻击的 Web 服务组件的应用程序，用于学习 API/WebServices 中的真实漏洞。 | | [Damn Vulnerable Web Sockets](https://github.com/interference-security/DVWS) | 基于 WebSockets 用于客户端-服务器通信的易受攻击的 Web 应用程序。 | | [WackoPicko](https://github.com/adamdoupe/WackoPicko) | 用于测试漏洞扫描器的易受攻击的 Web 应用程序。 | | [Pentest-Ground](https://pentest-ground.com) | 包含故意易受攻击的 Web 应用程序和网络服务的免费演练场。无需注册。 | | [SQLI Labs](https://github.com/Audi-1/sqli-labs) | 用于练习 SQL 注入的实验室：error-based、blind boolean 和 time-based。 | | [BodgeIt Store](https://github.com/psiinon/bodgeit) | 面向渗透测试新手的易受攻击商店。 | | [Damn Small Vulnerable Web (DSVW)](https://github.com/stamparm/DSVW) | 用不到 100 行代码编写的易受攻击的 Web 应用程序。涵盖大多数流行的 Web 漏洞。 | | [Hackademic](https://github.com/Hackademic/hackademic) | 具有已知漏洞（尤其是 OWASP Top Ten）的真实场景。 | | [Vulnerable Node](https://github.com/cr0hn/vulnerable-node) | 用 Node.js 编写的极易受攻击的网站，用于探索现代技术栈中的多个漏洞。 | | [Commix Testbed](https://github.com/commixproject/commix-testbed) | 易受命令注入攻击的网页集合，用于使用 Commix 工具进行练习。 | | [XSS Game (Google)](https://xss-game.appspot.com/) | Google 的培训计划，通过 6 个级别学习如何查找和利用 XSS 漏洞。 | | [Hack Yourself First](https://hackyourselffirst.troyhunt.com/) | 由 Troy Hunt 设计的网站，旨在帮助 Web 开发人员识别其自己应用程序中的风险。 | ## 💻 可下载的虚拟机和实验环境 | 站点 | 描述 | |---|---| | [Metasploitable3](https://github.com/rapid7/metasploitable3) | 包含大量漏洞的虚拟机。使用 Metasploit 和其他工具进行练习的标准环境。提供 Ubuntu 和 Windows 版本。 | | [SEED Labs](https://seedsecuritylabs.org/) | 涵盖软件、网络、Web、移动、系统和密码学安全的学术实验室项目。广泛应用于大学。高质量材料。 | | [VulnHub](https://www.vulnhub.com/) | 由社区创建的易受攻击虚拟机仓库。每台机器都包含 writeup 和难度级别。 | | [Hack The Box - Starting Point](https://app.hackthebox.com/starting-point) | 为初学者设计的机器，包含分步指南。推荐的 HTB 入门点。 | | [Offensive Security Proving Grounds (PG)](https://www.offensive-security.com/labs/) | Offensive Security（Kali Linux 的创建者）的实验室。PG Practice 提供免费机器。 | | [Metasploit Unleashed](https://www.offensive-security.com/metasploit-unleashed/) | 由 Offensive Security 提供的关于 Metasploit 框架的免费官方课程。 | | [DVRF - Router Firmware](https://github.com/praetorian-inc/DVRF) | 通过易受攻击的路由器固件学习 x86_64 之外的 CPU 架构的项目。非常适合 IoT 安全。 | | [OWASP Broken Web Applications (BWA)](https://sourceforge.net/projects/owaspbwa/) | 发布在单个虚拟机中的易受攻击的 Web 应用程序集合。包括 DVWA、Mutillidae、WebGoat 等。 | | [Graceful's VulnVM](https://www.vulnhub.com/entry/seattle-v03,145/) | 包含故意易受攻击的电子商务 Web 应用程序的虚拟机。 | | [PwnOS](https://www.vulnhub.com/entry/pwnos-20-pre-release,34/) | 旨在以多种方式被攻破的操作系统。 | ## ☁️ 云安全 | 站点 | 描述 | |---|---| | [flaws.cloud](http://flaws.cloud/) | 具有递进级别的 AWS 挑战。教授 Amazon Web Services 中常见的配置错误。 | | [flaws2.cloud](http://flaws2.cloud/) | flaws.cloud 的第二个版本，提供 AWS 场景中攻击者和防御者的视角。 | | [CloudGoat (Rhino Security)](https://github.com/RhinoSecurityLabs/cloudgoat) | Rhino Security Labs 的工具，用于通过 Terraform 部署易受攻击的 AWS 环境。 | | [AzureGoat](https://github.com/ine-labs/AzureGoat) | 可通过 Terraform 部署的故意易受攻击的 Azure 基础设施。涵盖 OWASP Top 10 云版本。 | | [GCPGoat](https://github.com/ine-labs/GCPGoat) | 故意易受攻击的 Google Cloud Platform 基础设施。与 AzureGoat 团队相同。 | | [GOAD (Game Of Active Directory)](https://github.com/Orange-Cyberdefense/GOAD) | 易受攻击的 Active Directory 实验室，用于练习 Windows/AD 环境中的常见攻击技术。 | | [Sadcloud](https://github.com/nccgroup/sadcloud) | 不安全的 AWS 配置集合，用于使用云审计工具练习检测。 | ## 📱 移动安全 | 站点 | 描述 | |---|---| | [DIVA Android](https://github.com/payatu/diva-android) | Damn Insecure and Vulnerable App (Android)。包含 13 个故意的漏洞。 | | [OWASP GoatDroid](https://github.com/jackMannino/OWASP-GoatDroid-Project) | 完整且独立的 Android 安全培训环境。 | | [Damn Vulnerable iOS App (DVIA)](http://damnvulnerableiosapp.com/) | 故意易受攻击的 iOS 应用程序，用于学习 Apple iOS 安全。 | | [OWASP iGoat](https://github.com/OWASP/iGoat-Swift) | 供 iOS (iPhone, iPad) 开发人员使用的学习工具。 | | [Damn Vulnerable Hybrid Mobile App (DVHMA)](https://github.com/logicalhacking/DVHMA) | 包含故意的漏洞的 Android 混合移动应用程序。 | | [InsecureBankv2](https://github.com/dineshshetty/Android-InsecureBankv2) | 专为希望了解 Android 应用程序不安全性的安全爱好者设计的易受攻击的 应用程序。 | ## 🔐 密码学和隐写术 | 站点 | 描述 | |---|---| | [MysteryTwister C3](https://www.mysterytwisterc3.org/en/) | 从凯撒密码到现代 AES 的密码学挑战。适合各个级别的不同难度。 | | [CryptoHack](https://cryptohack.org/) | 极其推荐的现代化平台，通过 Python 实战挑战学习密码学。涵盖数学、RSA、椭圆曲线、AES 等。 | | [CryptOMG](https://github.com/SpiderLabs/CryptOMG) | 可配置的 CTF 环境，突出密码学实现中的常见缺陷。 | ## 🔧 逆向工程和二进制漏洞利用 | 站点 | 描述 | |---|---| | [pwn.college](https://pwn.college/) | 学术 Dojo，提供渐进式的二进制漏洞利用模块：汇编、内存、shellcoding、ROP、堆、内核。免费。 | | [Reversing.kr](http://reversing.kr) | 通过实战挑战评估你的破解和逆向工程技能的网站。 | | [RPISEC/MBE](https://github.com/RPISEC/MBE) | RPI 的“现代二进制漏洞利用”课程材料。被广泛用作学术参考。 | | [RPISEC/Malware](https://github.com/RPISEC/Malware) | RPI 的恶意软件分析课程材料。 | | [HackSys Extreme Vulnerable Driver (HEVD)](https://github.com/hacksysteam/HackSysExtremeVulnerableDriver/) | 故意易受攻击的 Windows 驱动程序，用于学习内核级别的漏洞利用。 | | [Exploit.Education](https://exploit.education/) | exploit-exercises.com 的继任者。具有不同难度级别的虚拟机，用于学习权限提升、漏洞分析等。 | ## 🛡️ 蓝队与防御 | 站点 | 描述 | |---|---| | [LetsDefend](https://letsdefend.io/) | SOC 模拟平台。在 SIEM 中调查真实的警报，分析恶意软件并响应事件。提供免费层级。 | | [Blue Team Labs Online (BTLO)](https://blueteamlabs.online/) | 用于练习防御技能的平台：取证分析、事件响应、威胁狩猎和检测工程。 | | [CyberDefenders](https://cyberdefenders.org/) | 免费的蓝队挑战平台，提供网络分析、取证、恶意软件分析和威胁狩猎实验室。非常活跃。 | | [DFIR.training](https://www.dfir.training/) | 事件响应和数字取证分析的工具、课程和资源目录。 | | [SentinelTestbed](https://github.com/dobin/SentinelTestbed) | 用于测试 Microsoft Sentinel 功能的易受攻击的网站。 | ## 📚 免费课程与培训 | 站点 | 描述 | |---|---| | [HTB Academy](https://academy.hackthebox.com/) | Hack The Box 的培训平台，提供结构化的学习路径。有许多免费模块。 | | [PortSwigger Web Security Academy](https://portswigger.net/web-security) | 最好的免费 Web 安全参考资料。+200 个交互式实验室和顶级的学习材料。 | | [Cybrary](https://www.cybrary.it/) | 提供免费和付费内容的网络安全课程平台。涵盖认证 (CISSP, CEH 等)。 | | [OpenSecurityTraining2](https://p.ost2.fyi/) | 大学级别的高级免费安全课程：恶意软件分析、逆向工程、内核等。OpenSecurityTraining.info 的更新版。 | | [SANS Cyber Aces](https://www.cyberaces.org/) | 从 SANS Institute 专业课程体系中挑选的免费课程。主题包括：操作系统、网络、安全。 | | 🗄️ [ENISA Training Material](https://www.enisa.europa.eu/topics/skills-and-competences/trainings-and-exercises) | 欧盟网络安全局的培训材料。**最初的可下载材料（手册和虚拟机）已于 2024 年存档**，不再可用。练习和方法论页面仍处于活跃状态，对培训师具有参考价值。 | | [Pentesterlab](https://pentesterlab.com/) | 带证书的 Web 渗透测试实战练习。基础级别免费；为学生提供免费徽章。 | | [TCM Security Academy](https://academy.tcm-sec.com/) | 价格实惠的实战渗透测试课程。一些入门课程在 YouTube 上免费提供。 | | [Hacksplaining](https://www.hacksplaining.com/) | 面向开发人员的安全培训。通过交互式演示解释常见的漏洞。 | | [Roppers Academy](https://www.roppers.org/) | 免费的计算机和安全基础课程，旨在帮助初学者为他们的第一次 CTF 做好准备。 | | [Cisco NetAcad - Cybersecurity](https://www.netacad.com/courses/security) | Cisco 的网络安全课程：网络安全入门、网络安全精要、CyberOps Associate。注册后免费。 | | [Google Cybersecurity Certificate](https://grow.google/certificates/cybersecurity/) | Coursera 上提供的 Google 网络安全证书。涵盖 SOC 基础、SIEM、脚本编写等。 | | [PentesterLab - From SQLi to Shell](https://pentesterlab.com/exercises/from_sqli_to_shell) | 经典的免费练习，解释了如何从 SQL 注入升级到命令执行。 | | [Metasploit Unleashed](https://www.offensive-security.com/metasploit-unleashed/) | 由 Offensive Security 发布的关于 Metasploit 框架的完整免费道德课程。 | | [SEED Labs](https://seedsecuritylabs.org/) | 拥有详尽文档的学术实验室。非常适合在大学课堂中使用。 | ## 🏰 Active Directory 资源 | 站点 | 描述 | |---|---| | [GOAD (Game Of Active Directory)](https://github.com/Orange-Cyberdefense/GOAD) | 即用型的易受攻击的 AD 实验室。允许练习经典攻击：Kerberoasting、AS-REP Roasting、Pass-the-Hash、DCSync 等。 | | [Detection Lab](https://github.com/clong/DetectionLab) | 用于快速构建带有预配置日志记录和检测工具（Splunk、osquery 等）的 Windows AD 环境的实验室。 | | [Purple Cloud](https://github.com/iknowjason/PurpleCloud) | Azure AD + 本地部署的混合环境，用于在现代环境中练习攻击和检测技术。 | ## 🔍 数字取证 | 站点 | 描述 | |---|---| | [CyberDefenders](https://cyberdefenders.org/) | 优秀的免费实验室，涵盖网络取证分析 (PCAP)、内存分析、恶意软件分析等。 | | [Blue Team Labs Online](https://blueteamlabs.online/) | 包含事件响应和数字取证分析场景的实验室。活跃的社区。 | | [Digital Forensics Discord](https://discordapp.com/invite/JUqe9Ek) | 活跃的数字取证社区，提供资源、挑战和讨论。 | ## 🌎 西班牙语和拉丁美洲资源 以下部分汇集了西班牙语网络安全生态系统中的会议、社区、公共机构和培训渠道，重点关注拉丁美洲。 ### 🇨🇱 智利 | 站点 | 描述 | |---|---| | [8.8 Computer Security Conference](https://www.8dot8.org/) | 智利唯一的 100% 技术型网络安全会议，也是该大陆最受认可的会议之一。成立于 2011 年，在其历史上汇集了超过 25,000 名参会者和 450 多名演讲者。全年举办主题版本（8.8 Gobierno、8.8 Unreal）并免费发布讲座视频。 | | [CiberVoluntarios DUOC UC](https://www.duoc.cl/escuela/informatica-telecomunicaciones/) | DUOC UC 信息与电信学院的学生社区，旨在通过教育、预防和服务社区来促进网络安全和负责任地使用技术。参加全国的 CTF 和安全意识活动。 | | [SummIT de Ciberseguridad DUOC UC](https://www.duoc.cl/escuela/informatica-telecomunicaciones/sobre-la-escuela/summit-ciberseguridad/) | DUOC UC 信息学院的年度学术活动，包括国内外专家讲座、研讨会和各校区之间的 CTF 竞赛。对学生和社区免费开放。 | | [ANCI - Agencia Nacional de Ciberseguridad](https://anci.gob.cl/) | 由《网络安全框架法》（第 21.663 号法律）创建的智利公共机构。发布指南、法规、威胁情报报告和公民安全意识资源。智利监管环境不可或缺的参考。 | | [CSIRT del Gobierno de Chile](https://csirt.gob.cl/) | 智利国家事件响应中心。发布警报、漏洞公告、威胁情报报告以及针对国家生态系统的最新技术信息。 | | [CLCERT](https://www.clcert.cl/) | 智利计算机应急响应小组，由智利大学运营。该国最老牌的学术 CSIRT 之一，提供技术出版物和警报历史记录。 | ### 🇦🇷 阿根廷 | 站点 | 描述 | |---|---| | [Ekoparty Security Conference](https://ekoparty.org/) | 拉丁美洲最大的计算机安全会议。自 2001 年以来每年在布宜诺斯艾利斯举行，汇集了超过 10,000 名参会者，提供 200 多场讲座、主题村、研讨会、CTF 和交流活动。许多讲座在其 YouTube 频道上免费提供。 | ### 🇲🇽 墨西哥 | 站点 | 描述 | |---|---| | [BugCON Security Conference](https://www.bugcon.org/) | 墨西哥城最重要的黑客会议，专注于技术并以社区为导向。涵盖 Bug Bounty、漏洞利用、逆向工程等。活动结束后讲座可在网上观看。 | ### 🇧🇷 巴西 | 站点 | 描述 | |---|---| | ⚠️ [H2HC - Hackers to Hackers Conference](https://www.h2hc.com.br/) | 南美洲历史最悠久的安全会议之一，在圣保罗举行。专注于高水平的技术研究。据报道该网站存在可用性问题 - 如果无法加载，其往年的回忆录和演讲资料可在其 [GitHub](https://github.com/h2hconference) 中找到。 | ### 🌐 通用西班牙语社区 | 站点 | 描述 | |---|---| | [S4vitar (YouTube)](https://www.youtube.com/@s4vitar) | 西班牙语界渗透测试和 CTF 的标杆频道。详细的 HTB/VulnHub 机器破解、exploit 开发和进攻性安全技术。拉丁美洲社区最受关注的资源之一。 | | [Hack4u](https://hack4u.io/) | 由 s4vitar 创立的西班牙语进攻性网络安全培训平台。Linux、Bash/Python 黑客脚本编程、OSCP 备考等课程。提供一些免费的入门模块。 | | [DragonJAR Security Conference](https://www.dragonjar.org/) | 总部位于哥伦比亚的西班牙语信息安全社区和会议。发布论文、工具和技术资源，并在拉丁美洲组织年度活动。 | | [Foro de elhacker.net](https://foro.elhacker.net/) | 西班牙语中最老牌且最活跃的道德黑客和信息安全论坛之一。非常适合解决技术疑问、分享 writeup 和向社区学习。 | | [RootedCON](https://www.rootedcon.com/) | 西班牙（马德里）标杆性的技术网络安全会议。其讲座在 YouTube 上免费提供，其中许多内容适用于拉丁美洲环境。 | | [INCIBE - Recursos formativos](https://www.incibe.es/empresas/formacion) | 西班牙国家网络安全研究所。发布技术指南、培训套件、意识材料和面向公民及企业的免费课程。 | | [OTW Bandit (walkthroughs en español)](https://overthewire.org/wargames/bandit/) | OverTheWire 的 Bandit wargame 是从头开始学习 Linux 的推荐起点。搜索 "Bandit walkthrough español" 即可找到拉丁美洲社区提供的数十篇详细指南。 | ## 🧰 支持工具和代码库 | 站点 | 描述 | |---|---| | [PayloadsAllTheThings](https://github.com/swisskyrepo/PayloadsAllTheThings) | 必不可少的代码库，包含针对各种 Web 和系统漏洞的 payload 和绕过方法。 | | [HackTricks](https://book.hacktricks.xyz/) | 渗透测试技术百科全书，包含按类别组织的方法论、命令和技巧。 | | [GTFOBins](https://gtfobins.github.io/) | 可被用于绕过安全限制或提升权限的 Unix 二进制文件参考资料。 | | [LOLBAS](https://lolbas-project.github.io/) | Windows 下等同于 GTFOBins 的项目：可被用于攻击目的的系统二进制文件、脚本和库。 | | [Exploit-DB](https://www.exploit-db.com/) | 由 Offensive Security 维护的公开 exploit 数据库。包括 Google Hacking Database (GHDB)。 | | [CVE Details](https://www.cvedetails.com/) | 带有统计信息、CVSS 分数和参考资料的 CVE 搜索和分析门户。 | ## ⚠️ 免责声明 此处列出的所有资源均旨在用于网络安全技能的**合法和道德实践**。请仅在授权的环境中使用。在未经授权的系统上滥用这些技术是**违法的**，并且违背职业道德。 ## 📝 致谢 基于 **[Joe Shenouda](https://github.com/joe-shenouda/awesome-cyber-skills)** 及其所有 [贡献者](https://github.com/joe-shenouda/awesome-cyber-skills/graphs/contributors) 的原创工作。 西班牙语分支维护 - 欢迎贡献。 *觉得这份清单有用吗？在 GitHub 上给它一个 ⭐ 吧。*

标签：Active Directory, CTF平台, DNS解析, meg, OPA, Plaso, Wargames, Web安全, 二进制漏洞利用, 云资产清单, 信息安全, 免费资源, 合法练习, 学习路径, 安全培训, 安全资源库, 实战练习, 密码学, 开源项目, 手动系统调用, 技能提升, 拉丁美洲, 数字取证, 渗透测试框架, 目录枚举, 移动安全, 网络安全, 网络安全实验环境, 网络安全教育, 自动化脚本, 蓝队分析, 西班牙语, 请求拦截, 逆向工程, 防御, 防御加固, 隐写术, 隐私保护, 靶场