echoCTF/echoCTF.RED

GitHub: echoCTF/echoCTF.RED

一个用于开发、运行和管理网络安全夺旗赛竞赛的全栈平台,支持真实基础设施上的攻防训练与安全演习。

Stars: 148 | Forks: 28

![echoCTF RED logo](https://echoctf.red/images/logo-red-small.png) [![ci-tests](https://static.pigsec.cn/wp-content/uploads/repos/cas/06/066ce09d11eb1d3e7d4a8331520381c854bf647394675baedaead64e32fb0d86.svg)](https://github.com/echoCTF/echoCTF.RED/actions/workflows/ci-tests.yml) [![Dependabot Updates](https://static.pigsec.cn/wp-content/uploads/repos/cas/ab/ab0fb91c230209c3d027fa03649b629f10ebbab45d690ad212e1b8e38f31f910.svg)](https://github.com/echoCTF/echoCTF.RED/actions/workflows/dependabot/dependabot-updates) [![Documentation Status](https://readthedocs.org/projects/echoctfred/badge/?version=latest)](http://echoctfred.readthedocs.org/) echoCTF 是一个先驱性的计算机安全框架,由 Echothrust Solutions 开发,用于运行网络安全演习和夺旗赛等竞赛。 echoCTF 允许构建和运行夺旗赛竞赛,以在真实的 IT 基础设施上进行网络渗透测试和安全审计。它也被企业和教育机构用于安全意识培训和训练目的。 # 什么是 echoCTF.RED echoCTF.RED (代号 Mycenae), 是我们长期运行的在线 CTF 服务的第一个迭代版本,基于本存储库中的应用程序构建。 它是一个免费的在线服务,提供了一个基于真实系统和服务的受控环境,用于训练和提升你的攻防安全技能。扫描、暴力破解,采取一切必要的手段攻击系统,并解决真实的安全场景以获取积分。 有关我们比赛的更多信息,请访问 [https://echoCTF.com/](https://echoCTF.com/),或者如果你想查看我们平台的实际演示,欢迎访问 [https://echoCTF.RED/](https://echoCTF.RED/) 我们对 echoCTF 的主要目标包括: * **完整性** - 提供一套完整的工具和应用程序,用于开发、部署和维护网络安全及夺旗赛(CTF)竞赛 * **模块化** - 每个组件都有独特且明确的角色 * **可扩展性** - echoCTF 的组件设计允许进行扩展 ## 快速开始 以下说明将帮助你快速启动并运行用于开发和测试的环境。Docker compose 方法不包含非容器系统所具备的许多自动防火墙功能,因此不适用于生产环境。 ``` git clone https://github.com/echoCTF/echoCTF.RED.git cd echoCTF.RED docker-compose pull docker-compose up ``` _注意_:以下端口将在本地绑定 `1194/udp`、`8080/tcp`、`8082/tcp`、`3306/tcp`、`11211/tcp`。如果这些端口中的任何一个已被占用,应用程序将无法启动。 请注意,这些 Docker 镜像仅用于开发和测试。对于生产环境,我们建议使用提供的 playbook(位于 `ansible/runonce` 下)来设置系统。 有关更多详细信息,请查阅 [echoCTF.RED@ReadTheDocs](https://echoctfred.rtfd.io) :notebook_with_decorative_cover: ## 截图 :eyes::candy:
Admin page target update
Guest player target view
Admin page target solving stats
## 功能特性 该平台支持的功能列表非常庞大,其中最有趣的特性如下: * 系统设置 * 可配置的活动名称 * 可配置的激活状态 * 可配置的时区 * 可配置的活动开始 / 结束日期 * 可配置的注册开放 / 关闭日期 * 排行榜设置 * 独立的玩家和团队排行榜 * 可配置的活动开始/结束前后的可见性 * 支持显示/隐藏 0 分玩家 * 团队设置 * 可配置的团队支持 * 可配置的强制团队标志 * 可配置的团队管理 * 可配置的团队最大成员人数 * 可配置的团队实例 * 玩家和注册设置 * 可配置的是否需要激活 * 支持全局启用/禁用注册 * 可配置的玩家个人资料 * 可配置的玩家头像审核 * 可配置的玩家资料可见性 * 可配置的默认玩家主页 * 可配置的设置和内存键过期超时 * 可配置的全局及单个玩家重启次数 * Twitter 设置 * 可配置的标记账号 * 可配置的自动话题标签 * 前端每个活动的快速分享链接 * 支持可配置的靶标和挑战 * 靶标支持启动/停止/日志/执行/健康检查 * 每个靶标和挑战的无限 flag * 可配置的玩家和团队专属 flag * 动态靶标网络 * 动态靶标环境变量 * 动态靶标卷 * 支持公有和私有网络 * 支持按需启动靶标 * 靶标文档和元数据 * 多问题/多 flag 挑战 * 动态提示 * 可配置的挑战和靶标解决时间追踪 * 支持靶标和挑战的标志 * 支持玩家对靶标和挑战进行评分 * 支持玩家提交的解题报告 * 详细的动态活动流 * 玩家整体活动 * 玩家与靶标活动 * 所有平台活动 * 基于团队的活动 * 网络活动追踪和可视化 * 支持 REST * 支持 Docker API * 帮助/规则/FAQ/说明/目标板块 * URL 管理 添加/编辑/删除/禁用 * 独立的玩家和管理员界面及身份验证数据库 * 可配置的 SSL 证书详情 * 动态 CSS 和 javascript 重载(css, js, 每个玩家, 每个 URL) * 支持在 Twitter 和 Linkedin 上发布成就 * 支持静态页面 * 向玩家发送实时通知 * 用于活动流的独立应用程序 * 用于 Discord 和 Twitter 公告的机器人 * websocket 排行榜 * websocket 活动流可视化 * 通过 logstalgia 和 gource 实现实时网络可视化 * 动态的提交后 flag 认领操作 * 高级玩家和常规内容审核功能 * 禁止 MX 服务器注册 * 禁用特定玩家的 URL * 禁止特定的玩家用户名/邮箱格式 * 集成的 OpenBSD (PF) 防火墙功能 * 支持在线订阅(Stripe 集成) * 对 flag 和网络活动的详细审计 **注意:** `docker-compose` 版本不支持动态防火墙功能和玩家网络追踪。 ## 免责声明 本存储库中的文档和指南仅为示例,并非旨在用于设置生产环境。 在保障你的设置安全访问方面需要特别小心。该应用程序旨在适应我们自身的设置流程,该流程已为我们处理了这些细节。 在复制粘贴命令和文件时,请运用常识逻辑 :) echoCTF 是完全不提供任何保证的软件。使用 echoCTF 即表示你对由此产生的任何及所有后果承担全部责任。 请记住,该系统启动时绝对没有任何数据。这意味着你需要自行创建靶标、挑战、规则、说明以及你所需的任何其他细节。
标签:CTF平台, ffuf, 安全培训, 安全竞赛, 密码管理, 插件系统, 系统提示词, 网络测绘, 请求拦截, 靶场系统