网络安全学习，及CTF学习资料整理

作者: kepler404 | 来源:发表于2019-05-05 10:19 被阅读0次

php代码解密https://zhaoyuanma.com/
Python https://docs.python.org/zh-cn/3.7/
渗透师https://www.shentoushi.top/network
DVWA攻略https://www.freebuf.com/articles/web/119150.html
WEB安全学习笔记
https://websec.readthedocs.io/zh/latest/
信息安全书籍https://www.moondream.cn/?p=851
https://github.com/CHYbeta/Web-Security-Learning/blob/master/README.md#mongodb

高持续渗透https://micropoor.blogspot.com/
安全攻防工具
https://www.ms08067.com/tool.html
0day银行
http://www.0daybank.org/?page_id=2
零日安全论坛
https://www.jmpoep.com/forum.php
CTF常用工具速查网
https://www.jianshu.com/p/ab24f22599a2
黑客街https://www.hackjie.com/
redteam https://www.itcodemonkey.com/article/6375.html
Mac下https://xclient.info
WP
https://ctf.writeup.wiki/
https://www.ctfwp.com/
https://xz.aliyun.com/t/4862
https://xz.aliyun.com/t/4904

PWN学习
https://zoepla.github.io/2018/04/pwn%E5%AD%A6%E4%B9%A0%E8%AE%B0%E5%BD%95/
逆向
https://bbs.pediy.com/thread-247176.htm
https://blog.csdn.net/txwtech/article/details/79189345
http://www.dtdebug.com/forum.php?mod=viewthread&tid=3211&mobile=2
http://www.pansoso.com/g/899437/
渗透测试
渗透脑图
https://github.com/Ascotbe/Osmographic-brain-mapping
1）玄魂工作室--内部资源清单
https://github.com/xuanhun/HackingResource
2）KaliLinuxWeb渗透测试手册(第二版)-6.7-利用XML外部实体注入
https://mp.weixin.qq.com/s/6_sbkXFckb29bq08flhAOA
3）渗透测试入门指南与路线规划
https://gitbook.cn/gitchat/activity/5c303ffe2a982d27f48994d9
4）全新CTF，内网渗透，web安全教程上线
https://mp.weixin.qq.com/s/ukSra269UmRhXYxvsbshng
https://github.com/hanc00l/wooyun_public
https://findneo.github.io/180308NewbieSecurityList
https://github.com/DropsOfZut/awesome-security-weixin-official-accounts

https://github.com/findneo/Newbie-Security-List
https://github.com/euphrat1ca/fuzzdb-collect
https://github.com/jaywcjlove/handbook
https://github.com/jaywcjlove
内网渗透
https://bbs.ichunqiu.com/thread-48179-1-1.html
k8工具https://github.com/k8gege/K8tools
https://github.com/truongkma/ctf-tools
https://github.com/P1kachu/v0lt
https://github.com/zardus/ctf-tools
https://github.com/TUCTF/Tools
ACM
https://pan.baidu.com/s/1vo-frs9RypuRFCX3WheNxw密码:ugcs
一些工具
博客
https://impakho.com/
https://evoa.me/
https://bestwing.me/#
https://cyto.top/
http://pupiles.com/
http://sp4rk.cn/index.php/page/1
https://skysec.top/
https://www.cjhsunny.xyz/
https://veritas501.space/
http://gv7.me/
http://mannix.top/
https://www.15qq.cn/sort/bug_poc
http://www.vxia.net/
https://www.chinacycc.com/forum.php?mobile=yes
https://getpass.cn/
https://lengjibo.github.io/php%E9%BB%91%E9%AD%94%E6%B3%95/
http://www.admintony.com/%E6%A0%A1%E5%9B%AD%E7%BD%91%E8%AE%A4%E8%AF%81%E7%B3%BB%E7%BB%9F-RG-SAM-Portal%E7%BB%84%E4%BB%B6-%E7%94%A8%E6%88%B7%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E.html
https://github.com/NationalSecurityAgency
https://github.com/YadominJinta/atilo/blob/master/CN/README_CN.md
https://bbs.ichunqiu.com/thread-49370-1-1.html
https://www.certilience.fr/2019/03/tomcat-exploit-variant-host-manager/-
https://www.freebuf.com/articles/web/135342.html
https://www.giantbranch.cn/archives/
https://c1h2e1.github.io/?title:RPO
https://ptriker.github.io/?nsukey=i5ksp6ydekZ5gVkkzAillrRQbCM9m%2FEzuAESN0ysr648ghZbs%2FRX02k5ZurIP64Ms7%2B8bjHEc6KXxHVA4f18XdgBHyMczVFh1ACn9tR1haPSbPMbZubLg7pvyRdzNNucagm403QF2oasTKlZHlM6xWsATEITusqjpSTUXUDgdYxH9Tpm3RcXb6nvNyB%2B3K%2BuTpVWldTI8tgLH8xPtUbOOw%3D%3D
https://mp.weixin.qq.com/s?__biz=MzI3MTY5NzI2Mw==&mid=2247484108&idx=1&sn=2eb978edf55dbb22e3cee6bc06817605&chksm=eb3c96ccdc4b1fdac935e5394b7d1d422ae2fbf896fc46593667f96c0c2c1a63ec9a6cc1cb61&xtrack=1&scene=0&subscene=131&clicktime=1555484172&ascene=7&devicetype=android-27&version=2700033c&nettype=cmnet&abtest_cookie=BAABAAoACwASABMABQAjlx4AVpkeAMWZHgDTmR4A3JkeAAAA&lang=zh_CN&pass_ticket=aI%2B01Ha04R%2BVUYVe2%2FJK8c%2F8giqYlhSNP49ouTILhotOyjFzamhCHjg%2FmVq%2BLFoJ&wx_header=1
域渗透
https://start.me/p/X20Apn
LiveOverflow-YouTube

https://www.youtube.com/channel/UClcE-kVhqyiHCcjYwcpfj9w
http://vipread.com/index这里面有些信息收集的ppt�

POC编写指南
https://poc.evalbug.com/chapter1/1.html
CTF入门指南
新手的渗透学习流程：
1、有哪些漏洞需要了解？
SQL注入、XSS、上传、csrf、xsrf、ssrf、crlf、xxe、url跳转、任意文件下载（读取）、弱口令、暴库、信息泄露、
域传送、跨域（cors、jsonp、crossdomain）、反序列化、远程命令执行、拒绝服务、配置错误等等

逻辑：任意用户注册（登录、密码重置），支付漏洞，劫持，参数污染，条件竞争等等
cms漏洞：phpcms，dedecms，discuz、drupal、wordpress、spring、struts2、jboss、weblogic、joomla、jenkins等等
端口漏洞：elasticsearch、samba、redis、mongodb、zookeeper、memcache、hadoop、couchdb、ldap、rsync等等
FUZZ字典（CRLF、jsonp、ua、url、xss、xxe、rce、dir、upload、sql、name、password）等等

2、学习地址？
各种漏洞 http://wiki.chamd5.org/
https://github.com/JnuSimba/MiscSecNotes
web漏洞总结 https://github.com/CHYbeta/Web-Security-Learning
乌云镜像
https://www.madebug.net/ https://wooyun.shuimugan.com/
cms漏洞 https://github.com/Lucifer1993/AngelSword
国外漏洞 https://pentester.land/list-of-bug-bounty-writeups.html#bug-bounty-writeups-published-in-2019
更多学习地址尽在内部群

3、靶场
靶场： http://www.freebuf.com/sectool/4708.html
漏洞靶场，docker搭建，有些靶场内附py文件 https://github.com/vulhub/vulhub
https://github.com/Medicean/VulApps/
http://vulapps.evalbug.com/
https://github.com/SecWiki/CMS-Hunter
https://github.com/klionsec/PhishingExploit
http://www.vulnspy.com/
上传漏洞靶场： https://github.com/c0ny1/upload-labs
XXE漏洞靶场： https://github.com/c0ny1/xxe-lab
一键搭建12个漏洞平台 https://github.com/c0ny1/vulstudy
各类型漏洞靶场 https://github.com/gh0stkey/DoraBox
AWD环境搭建http://jjhpkcr.xyz/2019/04/29/awd%E5%B9%B3%E5%8F%B0%E6%90%AD%E5%BB%BA/?nsukey=kcT7oaLLx%2F3Q0VheLEIO8Q55G6oKg2SqndxYrxHuBIwIC9EJrMN5CiaxTViTDgqvLtkotKJ9ZG4VYbWbrh7%2FRtbPFeUBcrtgPD9w%2BEOBAhgbpE0AuJIEbkKejTBQA3fakFvfaKTbwYmgfXUBd8Z4d1RUEo%2FvbixapICHuWpeZWu54lhmYUNqod6EdJG7fCEVA8kUBsT7oRBJH6NNyDy4wA%3D%3D

4、如何学习
多逛论坛：i春秋、吐司、90等等
多看大佬博客
和志同道合的小伙伴一起挖洞

想实战检验自己的学习成果，就去把台湾的所有商城网站挖一遍。谷歌语法:site:*.tw商城
挖完了所有商城网站，可以去挖各大SRC。

如何入门？如何组队？

capturetheflag夺旗比赛

类型：

Web
密码学
xssee:http://web2hack.org/xssee

xssee:http://evilcos.me/lab/xssee

(DES,3DES,AES,RC,Blowfish,Twofish,Serpent,Gost,Rijndael,Cast,Xtea,RSA):http://tool.chacuo.net/cryptdes

在线编码解码(多种并排):http://bianma.911cha.com

在线加密解密(多种):http://encode.chahuo.com

Unicode转中文:http://www.bejson.com/convert/unicode_chinese

栅栏密码&&凯撒密码&&摩斯电码:http://heartsnote.com/tools/cipher.htm

Caesarcipher(凯撒密码):http://planetcalc.com/1434/

Quoted-Printable&&ROT13:http://www.mxcz.net/tools/QuotedPrintable.aspx

ROT5/13/18/47编码转换:http://www.qqxiuzi.cn/bianma/ROT5-13-18-47.php

Base32/16:http://pbaseconverter.com/

Base32:https://tools.deamwork.com/crypt/decrypt/base32decode.html

quipqiup古典密码自动化爆破(词频分析):http://quipqiup.com/index.php

词频分析/替换:http://cryptoclub.org/tools/cracksub_topframe.php

'+.<>[]'&&'!.?'(Brainfuck/Ook!):https://www.splitbrain.org/services/ook

'+-.<>[]'(Brainfuck):https://www.nayuki.io/page/brainfuck-interpreter-javascript

'+-.<>[]'(Brainfuck):http://esoteric.sange.fi/brainfuck/impl/interp/i.html

'()[]!+'JavaScript编码(JSfuck):http://discogscounter.getfreehosting.co.uk/js-noalnum.php

用6个字符'()[]!+'来编写JavaScript程序(JSfuck同上):http://www.jsfuck.com/

http://patriciopalladino.com/files/hieroglyphy/

摩斯密码翻译器:http://www.jb51.net/tools/morse.htm

MorseCode摩尔斯电码:http://rumkin.com/tools/cipher/morse.php

摩尔斯电码转换器:http://www.zhongguosou.com/zonghe/moErSiCodeConverter.aspx

字符串编码，解码，转换(长度,反转,进制转换):http://www.5ixuexiwang.com/str/

CiscoType7Reverser:http://packetlife.net/toolbox/type7

Cisco:http://www.ifm.net.nz/cookbooks/passwordcracker.html

cmd5&&NTLM&&mysql...:http://www.cmd5.com

spammimic(字符2一段话):http://www.spammimic.com/

js代码在线加密解密:https://tool.lu/js/

JScript/VBscript脚本解密(#@_^....^#@):http://www.dheart.net/decode/index.php

VBScript.Encode解密(tip:Aspencode):http://adophper.com/encode.html

JScript.Encode脚本加密与解密:http://www.haokuwang.com/jsendecode.htm

'+/v+'UTF-7加密:http://web2hack.org/xssee

各种无知密码解密:http://www.tools88.com

uuencode解码&&xxencode解码(古老的邮件密码):http://web.chacuo.net/charsetuuencode

MIME标准(邮件编码的一种):http://dogmamix.com/MimeHeadersDecoder/

Binhex编码(邮件编码的一种,常见于MAC机):http://encoders-decoders.online-domain-tools.com/

%u8001%u9525非/u的hex，%u编码，只能编码汉字(xssee):http://web.chacuo.net/charsetescape

猪圈密码:http://www.simonsingh.net/The_Black_Chamber/pigpen.html

ppencode(把Perl代码转换成只有英文字母的字符串):http://namazu.org/~takesako/ppencode/demo.html

aaencode(JS代码转换成常用的网络表情，也就是我们说的颜文字js加密):http://utf-8.jp/public/aaencode.html

'()[]!+'&&'$=~[]+"_.();'jother编码jjencode(JS代码转换成只有符号的字符串):http://web2hack.org/xssee

jother（是一种运用于javascript语言中利用少量字符构造精简的匿名函数方法对于字符串进行的编码方式。其中8个少量字符包括：!+()[]{}。只用这些字符就能完成对任意字符串的编码）:http://tmxk.org/jother/

jjencode/aaencode可用xssee&&Chrome的Console模式来直接输出解密。

Manchester曼彻斯特解密：http://eleif.net/manchester.html

Vigenère维多利亚解密：https://www.guballa.de/vigenere-solver

Vigenèrecipher:http://planetcalc.com/2468/

Hillcipher(希尔密码):http://planetcalc.com/3327/

Atbashcipher(埃特巴什码):http://planetcalc.com/4647/

snow(html隐写):http://fog.misty.com/perry/ccs/snow/snow/snow.html

Serpent加密解密:http://serpent.online-domain-tools.com/

十六进制Hex转文本字符串:http://www.bejson.com/convert/ox2str/

Hex2text:http://www.convertstring.com/EncodeDecode/HexDecode

Binary(二进制)，ACSII,Hex(十六进制),Decimal(十进制):http://www.binaryhexconverter.com/

集合:http://www.qqxiuzi.cn/daohang.htm

集合（各种古典密码）:http://rumkin.com/tools/cipher/

文本加密为汉字("盲文"，音符，各种语言，花朵，箭头...):http://www.qqxiuzi.cn/bianma/wenbenjiami.php

在线繁体字转换器:http://www.aies.cn

在线工具集合:http://tomeko.net/online_tools/

二维码/条形码:https://online-barcode-reader.inliteresearch.com/

生成二维码:http://www.wwei.cn/

在线二维码解密:http://jiema.wwei.cn/

Image2Base64:http://www.vgot.net/test/image2base64.php

与佛论禅:http://www.keyfc.net/bbs/tools/tudoucode.aspx

在线分解GIF帧图:http://zh.bloggif.com/gif-extract

bejson(杂乱):http://www.bejson.com

atool(杂乱):http://www.atool.org

PunchCard:http://www.kloth.net/services/cardpunch.php

分解素数(ESA):http://www.factordb.com/index.php

文件在线Hash:http://www.atool.org/file_hash.php
pwn程序的逻辑分析，漏洞利用windows、linux、小型机等
misc杂项，隐写，数据还原，脑洞、社会工程、与信息安全相关的大数据
reverse逆向windows、linux类
ppc编程类的

国内外著名比赛

国外：
国内：xctf联赛0ctf上海国内外都有，很强

入门需要哪些基础：

1.编程语言基础（c、汇编、脚本语言）
2.数学基础（算法、密码学）
3.脑洞大开（天马行空的想象、推理解密）
4.体力耐力（通宵熬夜）

如何入门学

1.恶补基础知识
2.尝试从脑洞开始如黑客game
3.从基础题出发一般都是100，200，最高分在500，600先把100分的学好，可从实践，高中的ctf学起，比较简单，只涉及1，2个点
4.学信息安全专业知识
5.锻炼体力耐力周六日都有比赛

到底如何学？

1.分析赛题情况
2.分析自身能力自己最适合哪个方向
3.选择更适合的入手

分析赛题

PWN、Reverse偏重对汇编、逆向的理解对底层理解
Crypto偏重对数学、算法的深入学习密码课要深入学
Web偏重对技巧沉淀、快速搜索能力的挑战发散思维，对底层只需要了解，代码原理，关于漏洞点的积累
Misc则更复杂，所有与计算机安全挑战有关的都在其中隐写，图片数据分析还原，流量，大数据，对游戏分析逆向

常规做法：

A方向：PWN+Reverse+Crypto随机搭配
B方向：Web+Misc组合
Misc所有人都可以做

入门知识：

都要学的内容：linux基础、计算机组成原理、操作系统原理、网络协议分析

A方向：IDA工具使用（fs插件）、逆向工程、密码学、缓冲区溢出等
B方向：Web安全、网络安全、内网渗透、数据库安全等前10的安全漏洞

推荐书：

A方向：

REforBeginners
IDAPro权威指南
揭秘家庭路由器0day漏洞挖掘技术
自己定操作系统
黑客攻防技术宝典：系统实战篇有各种系统的逆向讲解

B方向：

Web应用安全权威指南最推荐小白，宏观web安全
Web前端黑客技术揭秘
黑客秘籍——渗透测试实用指南
黑客攻防技术宝典web实战篇web安全的所有核心基础点，有挑战性，最常规，最全，学好会直线上升
代码审计：企业级web代码安全架构

入门----从基础题目出发（推荐资源）：

http://ctf.idf.cn!!!首推idf实验室：题目非常基础，只1个点
www.ichunqiu.com有线下决赛题目复现
http://oj.xctf.org.cn/xctf题库网站，历年题，练习场，比较难
www.wechall.net/challs!!!!!!非常入门的国外ctf题库，很多国内都是从这里刷题成长起来的
http://canyouhack.it/国外，入门，有移动安全
https://microcorruption.com/loginA方向密码，逆向酷炫游戏代
http：//smashthestack.orgA方向，简洁，国外，wargames，过关
http://overthewire.ofg/wargames/！！！！推荐A方向国内资料多，老牌wargame
https：//exploit-exercises.comA方向老牌wargame，国内资料多
http://pawnable.kr/play.phppwn类游乐场，不到100题
http://ctf.moonsoscom/pentest/index.phpB方向米安的Web漏洞靶场，基础，核心知识点
http：//prompt.ml/0B方向国外的xss测试
http://redtiger.labs.overthewire.org/B方向国外sql注入挑战网站，10关，过关的形式不同的注入，循序渐近地练习