devploit/awesome-ctf-resources

# 精选 CTF 资源 [](https://github.com/dwyl/esta/issues) 为 CTF 新手/资深玩家整理的 [Capture The Flag](https://en.wikipedia.org/wiki/Capture_the_flag#Computer_security) (CTF) 框架、库、资源和软件列表 🚩 *-收集的软件和资源均不归我所有，仅出于教育目的进行汇编-*

## 目录 - [创建](#0x00-create) - [平台](#platforms) - [取证](#forensics) - [隐写术](#steganography) - [Web](#web) - [解题](#0x01-solve) - [密码学](#cryptography) - [漏洞利用 / Pwn](#exploiting--pwn) - [取证](#forensics-1) - [杂项](#misc) - [逆向工程](#reversing) - [隐写术](#steganography-1) - [Web](#web-1) - [资源](#0x02-resources) - [在线平台](#online-platforms) - [协作工具](#collaborative-tools) - [题解仓库](#writeups-repositories) - [课程](#courses) - [参考文献](#0x03-bibliography) # 0x00. 创建 *用于创建 CTF 题目的工具* ## 平台 *可用于托管 CTF 的框架* - [CTFd](https://github.com/CTFd/CTFd) - 用于托管 Jeopardy 风格 CTF 的平台。 - [FBCTF](https://github.com/facebookarchive/fbctf) - Facebook CTF 平台，用于托管 Jeopardy 和“山丘之王 (King of the Hill)”CTF 比赛。 - [HackTheArch](https://github.com/mcpa-stlouis/hack-the-arch) - CTF 比赛的积分服务器。 - [kCTF](https://github.com/google/kctf) - 基于 Kubernetes 的 CTF 比赛基础设施。 - [LibreCTF](https://github.com/easyctf/librectf) - 来自 EasyCTF 的 CTF 平台。 - [Mellivora](https://github.com/Nakiami/mellivora) - 用 PHP 编写的 CTF 引擎。 - [NightShade](https://github.com/UnrealAkama/NightShade) - 简单的 CTF 框架。 - [picoCTF](https://github.com/picoCTF/picoCTF) - 用于运行 picoCTF 的基础设施。 - [rCTF](https://github.com/otter-sec/rctf) - 由 [redpwn](https://github.com/redpwn/rctf) CTF 团队创建的 CTF 平台。现由 [OtterSec](https://osec.io/) 团队维护和开发。 - [RootTheBox](https://github.com/moloch--/RootTheBox) - 用于战争游戏的 CTF 计分引擎。 - [ImaginaryCTF](https://github.com/Et3rnos/ImaginaryCTF) - 托管 CTF 的平台。 ## 取证 *用于创建取证题目的工具* - [Belkasoft RAM Capturer](https://belkasoft.com/ram-capturer) - 易失性内存获取工具。 - [Dnscat2](https://github.com/iagox86/dnscat2) - 通过 DNS 进行主机通信。 - [Magnet AXIOM 2.0](https://www.magnetforensics.com/resources/magnet-axiom-2-0-memory-analysis/) - 以证据为中心的 DFIR 工具。 - [Registry Dumper](http://www.kahusecurity.com/posts/registry_dumper_find_and_dump_hidden_registry_keys.html) - 转储 Windows 注册表的工具。 ## 隐写术 *用于创建隐写题目的工具* 查看[隐写术解题部分](#steganography-1)。 ## Web *用于创建 Web 题目的工具* - [Metasploit JavaScript Obfuscator](https://github.com/rapid7/metasploit-framework/wiki/How-to-obfuscate-JavaScript-in-Metasploit) - 如何在 Metasploit 中混淆 JavaScript。 # 0x01. 解题 ## 密码学 *用于解决密码学题目的工具* - [Bacon Cipher](https://www.dcode.fr/bacon-cipher) - 培根密码编码器和解码器。 - [Base65536](https://github.com/qntm/base65536) - Unicode 对 Base64 的回应。 - [Braille Translator](https://www.branah.com/braille-translator) - 将盲文翻译为文本。 - [Ciphey](https://github.com/Ciphey/Ciphey) - 在不知道密钥或密码的情况下自动解密加密、解码编码并破解哈希的工具。 - [Crib Drag](https://toolbox.lotusfa.com/crib_drag/) - 一次性密码本 (OTP) 破解工具。 - [CyberChef](https://gchq.github.io/CyberChef/) - 用于加密、编码、压缩和数据分析的网络应用。 - [Cryptii](https://cryptii.com/) - 模块化的在线转换、编码和加密工具。 - [dCode.fr](https://www.dcode.fr/tools-list#cryptography) - 在线解决密码学、数学和编码的求解器。 - [Decodify](https://github.com/s0md3v/Decodify) - 递归检测和解码编码字符串。 - [Enigma Machine](https://summersidemakerspace.ca/projects/enigma-machine/) - 通用恩尼格玛密码机模拟器。 - [FeatherDuster](https://github.com/nccgroup/featherduster) - 一个自动化、模块化的密码分析工具。 - [Morse Code Translator](https://morsecode.world/international/translator.html) - 摩斯密码翻译器和解码器。 - [Galois](http://web.eecs.utk.edu/~jplank/plank/papers/CS-07-593/) - 快速的伽罗瓦域算术库/工具包。 - [HashExtender](https://github.com/iagox86/hash_extender) - 用于执行哈希长度扩展攻击的工具。 - [Hash-identifier](https://code.google.com/p/hash-identifier/source/checkout) - 简单的哈希算法识别工具。 - [padding-oracle-attacker](https://github.com/KishanBagaria/padding-oracle-attacker) - 轻松执行填充预言攻击的 CLI 工具和库。 - [PadBuster](https://github.com/AonCyberLabs/PadBuster) - 用于执行填充预言攻击的自动化脚本。 - [PEMCrack](https://github.com/robertdavidgraham/pemcrack) - 破解包含加密私钥的 SSL PEM 文件。支持暴力破解或字典破解。 - [PKCrack](https://www.unix-ag.uni-kl.de/~conrad/krypto/pkcrack.html) - PkZip 加密破解工具。 - [Polybius Square Cipher](https://www.braingle.com/brainteasers/codes/polybius.php) - 允许将字母转换为数字的表格。 - [Quipqiup](https://quipqiup.com/) - 自动化密码求解器。 - [RsaCtfTool](https://github.com/RsaCtfTool/RsaCtfTool) - RSA 多攻击工具。 - [RSATool](https://github.com/ius/rsatool) - 用于计算 RSA 和 RSA-CRT 参数的工具。 - [Rumkin Cipher Tools](http://rumkin.com/tools/cipher/) - 密码/编码器工具集合。 - [Substitution Cipher](https://www.dcode.fr/substitution-cipher) - 替换密码求解器。 - [Text Machine](https://textmachine.org/) - 免费的浏览器内经典密码编码器/解码器（Bazeries、Chaocipher、Straddling Checkerboard 等）。 - [Vigenere Solver](https://www.guballa.de/vigenere-solver) - 在不知道密钥的情况下破解维吉尼亚密码的在线工具。 - [XOR Cracker](https://wiremask.eu/tools/xor-cracker/) - 能够猜测密钥长度和密钥以解密任何文件的在线 XOR 解密工具。 - [XORTool](https://github.com/hellman/xortool) - 分析多字节 XOR 密码的工具。 - [yagu](https://sourceforge.net/projects/yafu/) - 自动化整数分解。 - [Crackstation](https://crackstation.net/) - 哈希破解器（基于数据库）。 - [Online Encyclopedia of Integer Sequences](https://oeis.org/) - OEIS：在线整数数列百科全书。 ## 漏洞利用 / Pwn *用于解决 Pwn 题目的工具* - [afl](https://lcamtuf.coredump.cx/afl/) - 面向安全的 fuzzer。 - [honggfuzz](https://github.com/google/honggfuzz) - 面向安全的软件 fuzzer。支持基于代码覆盖率的演进式、反馈驱动模糊测试。 - [libformatstr](https://github.com/hellman/libformatstr) - 简化格式化字符串漏洞利用。 - [One_gadget](https://github.com/david942j/one_gadget) - 用于查找 one gadget RCE 的工具。 - [Pwntools](https://github.com/Gallopsled/pwntools) - 用于编写漏洞利用程序的 CTF 框架。 - [ROPgadget](https://github.com/JonathanSalwan/ROPgadget) - 用于 ROP 漏洞利用的框架。 - [Ropper](https://github.com/sashs/Ropper) - 显示不同文件格式中文件的信息，并查找 gadgets 来为不同架构构建 ROP 链。 - [Shellcodes Database](http://shell-storm.org/shellcode/) - 海量的 shellcodes 数据库。 ## 取证 *用于解决取证题目的工具* - [A-Packets](https://apackets.com/) - 在浏览器中轻松分析 PCAP 文件。 - [Autopsy](https://www.autopsy.com/) - 端到端开源数字取证平台。 - [Binwalk](https://github.com/devttys0/binwalk) - 固件分析工具。 - [Bulk-extractor](https://github.com/simsong/bulk_extractor) - 高性能数字取证利用工具。 - [Bkhive & samdump2](https://www.kali.org/tools/samdump2/) - 转储 SYSTEM 和 SAM 文件。 - [ChromeCacheView](https://www.nirsoft.net/utils/chrome_cache_view.html) - 读取 Google Chrome Web 浏览器缓存文件夹并显示当前存储在缓存中的所有文件列表的小工具。 - [Creddump](https://github.com/moyix/creddump) - 转储 Windows 凭据。 - [Exiftool](https://exiftool.org/) - 读取、写入和编辑文件元数据。 - [Extundelete](http://extundelete.sourceforge.net/) - 可以从 ext3 或 ext4 分区恢复已删除文件的工具。 - [firmware-mod-kit](https://code.google.com/archive/p/firmware-mod-kit/) - 无需重新编译即可修改固件镜像。 - [Foremost](http://foremost.sourceforge.net/) - 基于文件头、尾和内部数据结构恢复文件的控制台程序。 - [Forensic Toolkit](https://www.exterro.com/forensic-toolkit) - 扫描硬盘以查找各种信息。它有可能定位已删除的电子邮件，并扫描磁盘上的文本字符串，将其用作破解加密的密码字典。 - [Forensically](https://29a.ch/photo-forensics/#forensic-magnifier) - 免费的在线图像分析工具，具有许多功能。 - [MZCacheView](https://www.nirsoft.net/utils/mozilla_cache_viewer.html) - 读取 Firefox/Mozilla/Netscape Web 浏览器缓存文件夹并显示当前存储在缓存中的所有文件列表的小工具。 - [NetworkMiner](https://www.netresec.com/index.ashx?page=NetworkMiner) 网络取证分析工具 (NFAT)。 - [OfflineRegistryView](https://www.nirsoft.net/utils/offline_registry_view.html) - 适用于 Windows 的简单工具，允许您读取外部驱动器中的离线注册表文件。 - [photorec](https://www.cgsecurity.org/wiki/PhotoRec) - 文件数据恢复软件，旨在恢复硬盘、CD-ROM 中丢失的文件（包括视频、文档和归档），以及从数码相机内存中恢复丢失的图片（因此得名 Photo Recovery）。 - [Registry Viewer](https://accessdata.com/product-download/registry-viewer-2-0-0) - 查看 Windows 注册表的工具。 - [Scalpel](https://github.com/sleuthkit/scalpel) - 开源数据雕刻工具。 - [The Sleuth Kit](https://www.sleuthkit.org/) - 命令行工具集合和 C 库，允许您分析磁盘镜像并从中恢复文件。 - [USBRip](https://github.com/snovvcrash/usbrip) - 用于在 GNU/Linux 上追踪 USB 设备痕迹（USB 事件历史记录）的简单 CLI 取证工具。 - [Volatility](https://github.com/volatilityfoundation/volatility) - 高级内存取证框架。 - [Wireshark](https://www.wireshark.org/) - 分析 pcap 或 pcapng 文件的工具。 - [X-Ways](https://www.x-ways.net/forensics/index-m.html) - 供计算机取证审查员使用的高级工作环境。 ## 杂项 *用于解决杂项题目的工具* - [boofuzz](https://github.com/jtpereyda/boofuzz) - 为人类设计的网络协议模糊测试工具。 - [Veles](https://codisec.com/veles/) - 二进制数据分析和可视化工具。 **暴力破解工具：** - [changeme](https://github.com/ztgrace/changeme) - 默认凭据扫描器。 - [Hashcat](https://hashcat.net/hashcat/) - 高级密码恢复。 - [Hydra](https://www.kali.org/tools/hydra/) - 支持多种攻击协议的并行登录破解器。 - [John the Ripper](https://www.openwall.com/john/) - 开源密码安全审计和密码恢复。 - [jwt_tool](https://github.com/ticarpi/jwt_tool) - 用于测试、调整和破解 JSON Web Tokens 的工具包。 - [Nozzlr](https://github.com/intrd/nozzlr) - 模块化且易于脚本化的暴力破解框架。 - [Ophcrack](https://ophcrack.sourceforge.io/) - 基于彩虹表的免费 Windows 密码破解器。 - [Patator](https://github.com/lanjelot/patator) - 采用模块化设计和灵活用法的多用途暴力破解工具。 - [Turbo Intruder](https://portswigger.net/bappstore/9abaa233088242e8be252cd4ff534988) - Burp Suite 扩展，用于发送大量 HTTP 请求并分析结果。 **深奥编程语言：** - [Brainfuck](https://copy.sh/brainfuck/) - Brainfuck 深奥编程语言 IDE。 - [COW](https://frank-buss.de/cow.html) - 这是一种以牛科动物为主题幽默设计的 Brainfuck 变体。 - [Malbolge](http://www.malbolge.doleczek.pl/) - Malbolge 深奥编程语言求解器。 - [Ook!](https://www.dcode.fr/ook-language) -解码/编码 Ook! 的工具。 - [Piet](https://www.bertnase.de/npiet/npiet-execute.php) - Piet 编程语言编译器。 - [Rockstar](https://codewithrockstar.com/online) - 一种旨在看起来像歌曲歌词的语言。 - [Try It Online](https://tio.run/) - 拥有大量深奥语言解释器的在线工具。 **沙箱：** - [Any.run](https://any.run/) - 交互式恶意软件追踪服务。 - [Intezer Analyze](https://analyze.intezer.com/) - 恶意软件分析平台。 - [Triage](https://tria.ge/) - 专为跨平台支持设计的最先进的恶意软件分析沙箱。 ## 逆向工程 *用于解决逆向题目的工具* - [Androguard](https://github.com/androguard/androguard) - Androguard 是一个使用 Android 文件的完整 Python 工具。 - [Angr](https://github.com/angr/angr) - 一个强大且用户友好的二进制分析平台。 - [Apk2gold](https://github.com/lxdvs/apk2gold) - 用于将 Android 应用反编译为 Java 的 CLI 工具。 - [ApkTool](https://ibotpeaches.github.io/Apktool/) - 用于逆向工程第三方、封闭、二进制 Android 应用的工具。 - [Binary Ninja](https://binary.ninja/) - 二进制分析框架。 - [BinUtils](https://www.gnu.org/software/binutils/binutils.html) - 二进制工具集。 - [CTF_import](https://github.com/sciencemanx/ctf_import) - 跨平台运行被剥离的二进制文件中的基本函数。 - [Compiler Explorer](https://godbolt.org/) - 在线编译器工具。 - [CWE_checker](https://github.com/fkie-cad/cwe_checker) - 在二进制可执行文件中查找脆弱模式。 - [Demovfuscator](https://github.com/kirschju/demovfuscator) - 针对被 mov 混淆的二进制文件的反混淆器（开发中）。 - [Disassembler.io](https://onlinedisassembler.com/static/home/index.html) - 按需反汇编。 轻量级的在线服务，适用于您没有时间、资源或需求去使用更重量级替代方案的情况。 - [dnSpy](https://github.com/dnSpy/dnSpy) - .NET 调试器和程序集编辑器。 - [EasyPythonDecompiler](https://sourceforge.net/projects/easypythondecompiler/) - 一个小型的 .exe GUI 应用程序，可“反编译” Python 字节码（通常以 .pyc 扩展名出现）。 - [Frida](https://github.com/frida/) - 面向开发人员、逆向工程师和安全研究人员的动态插桩工具包。 - [GDB](https://www.gnu.org/software/gdb/) - GNU 项目调试器。 - [GEF](https://github.com/hugsy/gef) - 为漏洞利用开发人员和逆向工程师提供高级调试功能的 GDB 现代体验。 - [Ghidra](https://ghidra-sre.org/) - 由 NSA 开发的软件逆向工程 (SRE) 工具套件。 - [Hopper](https://www.hopperapp.com/) - 适用于 OSX 和 Linux 的逆向工程工具（反汇编器）。 - [IDA Pro](https://hex-rays.com/ida-pro/) - 最常用的逆向工程软件。 - [Jadx](https://github.com/skylot/jadx) - 用于从 Android Dex 和 Apk 文件生成 Java 源代码的命令行和 GUI 工具。 - [Java Decompilers](http://www.javadecompilers.com/) - 针对 Java 和 Android APK 的在线反编译器。 - [JSDetox](https://github.com/svent/jsdetox) - JavaScript 恶意软件分析工具。 - [miasm](https://github.com/cea-sec/miasm) - Python 中的逆向工程框架。 - [Objection](https://github.com/sensepost/objection) - 运行时移动探索。 - [Online Assembler/Disassembler](http://shell-storm.org/online/Online-Assembler-and-Disassembler/) - 围绕 Keystone 和 Capstone 项目的在线包装器。 - [PEDA](https://github.com/longld/peda) - 适用于 GDB 的 Python 漏洞利用开发辅助工具。 - [PEfile](https://github.com/erocarrera/pefile) - 用于读取和处理 PE (Portable Executable) 文件的 Python 模块。 - [Pwndbg](https://github.com/pwndbg/pwndbg) - 让 GDB 的漏洞利用开发和逆向工程变得更简单。 - [radare2](https://github.com/radareorg/radare2) - 类 UNIX 逆向工程框架和命令行工具集。 - [Rizin](https://github.com/rizinorg/rizin) - Rizin 是 radare2 逆向工程框架的一个分支，专注于可用性、可用的功能和代码整洁度。 - [Uncompyle](https://github.com/gstarnberger/uncompyle) - Python 2.7 字节码反编译器 (.pyc) - [WinDBG](http://www.windbg.org/) - 由 Microsoft 发行的 Windows 调试器。 - [Z3](https://github.com/Z3Prover/z3) - 来自 Microsoft Research 的定理证明器。 ## 隐写术 *用于解决隐写题目的工具* - [AperiSolve](https://aperisolve.fr/) - 对图像执行图层分析的平台。 - [BPStegano](https://github.com/TapanSoni/BPStegano) - 基于 Python3 的 LSB 隐写术。 - [DeepSound](https://github.com/Jpinsoft/DeepSound) - 将秘密数据隐藏在音频文件中的免费隐写术工具和音频转换器。 - [DTMF Detection](https://unframework.github.io/dtmf-detect/) - 电话按键常见的音频频率。 - [DTMF Tones](http://dialabc.com/sound/detect/index.html) - 电话按键常见的音频频率。 - [Exif](http://manpages.ubuntu.com/manpages/trusty/man1/exif.1.html) - 显示 JPEG 文件中的 EXIF 信息。 - [Exiv2](https://www.exiv2.org/manpage.html) - 图像元数据处理工具。 - [FotoForensics](https://fotoforensics.com/) - 为新手研究人员和专业调查人员提供访问数字照片取证尖端工具的权限。 - [hipshot](https://bitbucket.org/eliteraspberries/hipshot/src/master/) - 将视频文件或一系列照片转换为模拟长曝光照片的单张图像的工具。 - [Image Error Level Analyzer](https://29a.ch/sandbox/2012/imageerrorlevelanalysis/) - 分析数字图像的工具。它也是免费且基于 Web 的。具有误差级别分析、克隆检测等功能。 - [Image Steganography](https://incoherency.co.uk/image-steganography/) - 客户端 JavaScript 工具，用于将图像隐式地隐藏/取消隐藏在其他图像的低“比特位”中。 - [ImageMagick](http://www.imagemagick.org/script/index.php) - 用于处理图像的工具。 - [jsteg](https://github.com/lukechampine/jsteg) - 针对 JPEG 图像使用的命令行工具。 - [Magic Eye Solver](http://magiceye.ecksdee.co.uk/) - 从图像中获取隐藏信息。 - [Outguess](https://www.freebsd.org/cgi/man.cgi?query=outguess+&apropos=0&sektion=0&manpath=FreeBSD+Ports+5.1-RELEASE&format=html) - 通用的隐写工具。 - [Pngcheck](http://www.libpng.org/pub/png/apps/pngcheck.html) - 验证 PNG 的完整性并以人类可读的形式转储所有块级信息。 - [Pngtools](https://packages.debian.org/sid/pngtools) - 用于与 PNG 相关的各种分析。 - [sigBits](https://github.com/Pulho/sigBits) - 隐写术有效位图像解码器。 - [SmartDeblur](https://github.com/Y-Vladimir/SmartDeblur) - 恢复失焦和模糊的照片/图像。 - [Snow](https://darkside.com.au/snow/) - 空格隐写工具 - [Sonic Visualizer](https://www.sonicvisualiser.org/) - 音频文件可视化。 - [Steganography Online](https://stylesuxx.github.io/steganography/) - 在线隐写编码器和解码器。 - [Stegbreak](https://linux.die.net/man/1/stegbreak) - 对 JPG 图像发起暴力字典攻击。 - [StegCracker](https://github.com/Paradoxis/StegCracker) - 用于发现文件内隐藏数据的暴力破解实用程序。 - [stegextract](https://github.com/evyatarmeged/stegextract) - 检测图像中的隐藏文件和文本。 - [Steghide](http://steghide.sourceforge.net/) - 在各种图像和音频文件中隐藏数据。 - [StegOnline](https://stegonline.georgeom.net/) - 执行广泛的图像隐写操作，例如隐藏/恢复隐藏在比特中的文件。 - [Stegosaurus](https://github.com/AngelKitty/stegosaurus) - 用于在 Python 字节码中嵌入 payload 的隐写工具。 - [StegoVeritas](https://github.com/bannsec/stegoVeritas) - 又一款隐写工具。 - [Stegpy](https://github.com/dhsdshdhk/stegpy) - 基于 LSB 方法的简单隐写程序。 - [stegseek](https://github.com/RickdeJager/stegseek) - 闪电般快速的 steghide 破解器，可用于从文件中提取隐藏数据。 - [stegsnow](https://manpages.ubuntu.com/manpages/trusty/man1/stegsnow.1.html) - 空格隐写程序。 - [Stegsolve](https://github.com/zardus/ctf-tools/tree/master/stegsolve) - 对图像应用各种隐写技术。 - [Zsteg](https://github.com/zed-0xff/zsteg/) - PNG/BMP 分析。 ## Web *用于解决 Web 题目的工具* - [Arachni](https://www.arachni-scanner.com/) - Web 应用安全扫描器框架。 - [Beautifier.io](https://beautifier.io/) - 在线 JavaScript 美化工具。 - [BurpSuite](https://portswigger.net/burp) - 用于测试网站安全性的图形化工具。 - [Commix](https://github.com/commixproject/commix) - 自动化的多合一 OS 命令注入利用工具。 - [debugHunter](https://github.com/devploit/debugHunter) - 发现隐藏的调试参数并揭示 Web 应用机密。 - [Dirhunt](https://github.com/Nekmo/dirhunt) - 无需暴力破解即可寻找 Web 目录。 - [dirsearch](https://github.com/maurosoria/dirsearch) - Web 路径扫描器。 - [nomore403](https://github.com/devploit/nomore403) - 用于绕过 40x 错误的工具。 - [ffuf](https://github.com/ffuf/ffuf) - 用 Go 编写的快速 Web fuzzer。 - [git-dumper](https://github.com/arthaud/git-dumper) - 从网站转储 git 存储库的工具。 - [Gopherus](https://github.com/tarunkant/Gopherus) - 生成 gopher 链接的工具，用于利用 SSRF 并在各种服务器上获取 RCE。 - [Hookbin](https://hookbin.com/) - 让您能够收集、解析和查看 HTTP 请求的免费服务。 - [JSFiddle](https://jsfiddle.net/) - 使用 JSFiddle 代码编辑器在线测试您的 JavaScript、CSS、HTML 或 CoffeeScript。 - [ngrok](https://ngrok.com/) - 安全的、可内省的到 localhost 的隧道。 - [OWASP Zap](https://owasp.org/www-project-zap/) - 用于重放、调试和模糊 HTTP 请求与响应的拦截代理。 - [PHPGGC](https://github.com/ambionics/phpggc) - PHP unserialize() payload 库，以及用于从命令行或以编程方式生成它们的工具。 - [Postman](https://chrome.google.com/webstore/detail/postman/fhbjgbiflinjbdggehcddcbncdddomop?hl=en) - 用于调试网络请求的 Chrome 扩展。 - [REQBIN](https://reqbin.com/) - 在线 REST & SOAP API 测试工具。 - [Request Bin](https://requestbin.com/) - 由 Pipedream 提供的现代请求桶，用于检查任何事件。 - [Revelo](http://www.kahusecurity.com/posts/revelo_javascript_deobfuscator.html) - 分析混淆的 JavaScript 代码。 - [Smuggler](https://github.com/defparam/smuggler) - 用 Python3 编写的 HTTP 请求走私 / Desync 测试工具。 - [SQLMap](https://github.com/sqlmapproject/sqlmap) - 自动 SQL 注入和数据库接管的工具。 - [W3af](https://github.com/andresriancho/w3af) - Web 应用攻击和审计框架。 - [XSSer](https://xsser.03c8.net/) - 自动化的 XSS 测试器。 - [ysoserial](https://github.com/frohoff/ysoserial) - 用于生成利用不安全的 Java 对象反序列化的 payload 的工具。 # 0x02. 资源 ## 在线平台 *全天候在线的 CTF* - [0x0539](https://0x0539.net/) - 在线 CTF 挑战。 - [247CTF](https://247ctf.com/) - 免费的 Capture The Flag 黑客环境。 - [Archive.ooo](https://archive.ooo/) - DEF CON CTF 挑战的实时、可玩存档。 - [Atenea](https://atenea.ccn-cert.cni.es/) - 西班牙 CCN-CERT CTF 平台。 - [CTFlearn](https://ctflearn.com/) - 旨在帮助道德黑客学习、练习和竞争的在线平台。 - [CTF365](https://ctf365.com/) - 安全培训平台。 - [Crackmes.One](https://crackmes.one/) - 逆向工程挑战。 - [CryptoHack](https://cryptohack.org/) - 密码学挑战。 - [Cryptopals](https://cryptopals.com/) - 密码学挑战。 - [Defend the Web](https://defendtheweb.net/?hackthis) - 互动式网络安全平台。 - [Dreamhack.io](https://dreamhack.io/wargame) - 在线战争游戏。 - [echoCTF.RED](https://echoctf.red/) - 在线黑客实验室。 - [Flagyard](https://flagyard.com/) - 实践性网络安全挑战的在线游乐场。 - [HackBBS](https://hackbbs.org/index.php) - 在线战争游戏。 - [Hacker101](https://www.hacker101.com/) - 由 [HackerOne](https://www.hackerone.com/) 提供的 CTF 平台。 - [Hackropole](https://hackropole.fr/en/) - 该平台允许您重玩 France Cybersecurity Challenge 的挑战。 - [HackTheBox](https://www.hackthebox.com/) - 庞大的黑客游乐场。 - [rotCTFs](https://parrot-ctfs.com/) - Jeopardy 风格的黑客游乐场。 - [HackThisSite](https://www.hackthissite.org/) - 为黑客提供免费、安全且合法的训练场。 - [HBH](https://hbh.sh/home) - 旨在教授恶意黑客用来访问系统和敏感信息的方法和策略的社区。 - [Komodo](http://ctf.komodosec.com/) - 这是一款旨在挑战您的应用黑客技能的游戏。 - [MicroCorruption](https://microcorruption.com/) - 嵌入式安全 CTF。 - [MNCTF](https://mnctf.info/) - 在线网络安全挑战。 - [OverTheWire](https://overthewire.org/wargames/) - 由 OverTheWire 社区提供的战争游戏。 - [OSINT Arena](https://osintarena.com) - 用于 OSINT 调查的 Geoguessr - 挑战 OSINT 社区并登上排行榜榜首。 - [picoCTF](https://picoctf.org/) - 对新手友好的 CTF 平台。 - [Pwn.college](https://pwn.college/) - 学习并实践核心网络安全概念的教育平台。 - [PWN.TN](https://pwn.tn/) - 教育性且非商业性的战争游戏。 - [Pwnable.kr](http://pwnable.kr/) - Pwn/漏洞利用平台。 - [Pwnable.tw](https://pwnable.tw/) - Pwn/漏洞利用平台。 - [Pwnable.xyz](https://pwnable.xyz/) - Pwn/漏洞利用平台。 - [PWNChallenge](http://pwn.eonew.cn/) - Pwn/漏洞利用平台。 - [Reversing.kr](http://reversing.kr/) - 逆向工程平台。 - [Root-me](https://www.root-me.org/) - CTF 训练平台。 - [VibloCTF](https://ctf.viblo.asia/landing) - CTF 训练平台。 - [VulnHub](https://www.vulnhub.com/) - 基于 VM 的渗透测试平台。 - [W3Challs](https://w3challs.com/) - 黑客/CTF 平台。 - [Wargames BataMladen](https://wargames.batamladen.com/) - 战争游戏挑战场景，每个场景具有不同的等级。 - [WebHacking](https://webhacking.kr/) - Web 挑战平台。 - [Websec.fr](http://websec.fr/) - Web 挑战平台。 - [WeChall](https://www.wechall.net/active_sites) - 挑战网站目录和论坛。 - [YEHD 2015](https://2015-yehd-ctf.meiji-ncc.tech/) - YEHD CTF 2015 在线挑战。 - [8kSec AI/LLM Exploitation Challenges](https://academy.8ksec.io/course/ai-exploitation-challenges) - 测试 AI、ML 和 LLMs 知识以及实际漏洞利用技术的挑战。 *自托管 CTF* - [AWSGoat](https://github.com/ine-labs/AWSGoat) - 漏洞百出的 AWS 基础设施。 - [CICD-goat](https://github.com/cider-security-research/cicd-goat) - 蓄意设计了漏洞的 CI/CD 环境。通过多个挑战学习 CI/CD 安全。 - [Damn Vulnerable Web Application](https://dvwa.co.uk/) - 漏洞百出的 PHP/MySQL Web 应用程序。 - [GCPGoat](https://github.com/ine-labs/GCPGoat) - 漏洞百出的 GCP 基础设施。 - [Juice Shop](https://github.com/juice-shop/juice-shop-ctf) - OWASP Juice Shop 的 Capture-the-Flag (CTF) 环境设置工具。 ## 协作工具 - [CTFNote](https://github.com/TFNS/CTFNote) - 旨在帮助 CTF 团队组织工作的协作工具。 ## 题解仓库 *CTF 题解仓库* - [Courgettes.Club](https://ctf.courgettes.club/) - CTF 题解查找器。 - [CTFtime](https://ctftime.org/writeups) - CTFtime 题解合集。 - [Github.com/CTFs](https://github.com/ctfs) - CTF 题解合集。 ## 课程 - [Roppers Bootcamp](https://www.roppers.org/courses/ctf) - CTF 训练营。 # 0x03. 参考文献 *此处提供的资源汇集自众多来源。其中最重要的有：* - [apsdehal_awesome-ctf](https://github.com/apsdehal/awesome-ctf) - [vavkamil_awesome-bugbounty-tools](https://github.com/vavkamil/awesome-bugbounty-tools) - [zardus_ctf-tools](https://github.com/zardus/ctf-tools)

标签：内核模块, 安全竞赛, 安全资源, 网络安全, 资源大全, 防御加固, 隐私保护