练习

Vulnhub

提供漏洞环境虚拟机镜像的靶场平台,包含大量预置漏洞的虚拟机镜像(600+),需通过 VMware 或 VirtualBox 本地运行,目标通常是获取系统 root 权限(Boot2root)并找到 flag,镜像涵盖从初级到高级的不同难度,适合模拟真实渗透测试场景,免费且法律合规,适合自学渗透测试技术,无需担心法律风险。
适用场景:本地渗透练习、内网攻防演练。
Vulnhub链接直达:链接直达
虚拟机下载:

  1. VMware:Download VMware Workstation Pro
  2. VirtualBox:Downloads – Oracle VM VirtualBox

Hack The Box(HTB)

在线渗透测试与网络安全技能训练平台。提供实时更新的挑战和靶机(如 Timelapse 靶场),结合 CTF 风格与真实场景模拟,需通过 VPN 连接靶机,支持积分和排名机制,用户可通过完成挑战提升技能等级,高级功能包括企业级网络安全培训方案(如 Cyber Performance Center),注重技能提升与团队协作。
适用场景:在线渗透测试实战、企业网络安全团队训练。
官网直达链接直达
需要工具:如果是windows方式连接则需要安装openvpn工具,如果是Linux方式连接最好直接下载一个kali系统,不用太过于麻烦。

  1. OpenVPN:OpenVPN Support Center
  2. kali:Get Kali | Kali Linux推荐

Rootme

专注于逆向工程与破解挑战的网络安全平台。提供二进制逆向、密码学、权限提升等挑战(如 ELF、PE 文件分析),需拆解可执行文件或利用脚本漏洞,涵盖多架构(x86、ARM、MIPS)和编程语言(Python、Bash、PHP),挑战难度从基础到高阶,强调对汇编语言、调试工具(如 IDA、GDB)的熟练使用。
适用场景:逆向工程学习、二进制漏洞研究。

官网直达:链接直达
IDA官网工具下载:IDA Pro – Hex Rays(需要购买,也有破解版)

Tryhackme

面向初学者的结构化网络安全学习平台。提供虚拟实验室和分步学习路径(如 Web 安全、密码学),适合新手系统化学习渗透测试基础,涵盖 CTF 常见题型(Web、MISC、Crypto 等),并模拟真实场景(如银行系统入侵)支持实时社区互动和导师指导,降低学习门槛
适用场景:网络安全入门教学、CTF 竞赛准备。

官网直达:链接直达

VulnStack

VulnStack基于ATT&CK框架的红队评估模式,通过模拟企业内网环境(如域渗透、多层网络架构),覆盖漏洞利用、内网信息搜集、横向移动、权限维持等全流程,旨在提供贴近实战的训练场景
红日靶场:链接直达
真实场景模拟:包含外网Web服务、内网主机、域控服务器等多层网络结构,例如外网通过Web漏洞渗透进入内网,最终攻陷域控(
缺点:有些靶机无法正常去使用

封神台

基础漏洞的练习平台。
封神台官网:链接直达

基础学习

本地部署

  1. SQL注入练习:GitHub - Audi-1/sqli-labs: SQLI labs to test error based, Blind boolean based, Time based.
  2. xss练习:GitHub - do0dl3/xss-labs: xss 跨站漏洞平台
  3. 服务端请求伪造练习ssrf:GitHub - m6a-UdS/ssrf-lab: Lab for exploring SSRF vulnerabilities
  4. web基本漏洞练习:GitHub - lxj616/DVWA-WooYun: It is a DVWA with some plugins based on real wooyun bug reports
  5. 常见的漏洞练习:GitHub - zhuifengshaonianhanlu/pikachu: 一个好玩的Web安全-漏洞测试平台
  6. OWASP漏洞练习:bWAPP, a buggy web application!

在线

PortSwigger学院

PortSwigger 是一家专注于 网络安全技术研发与教育 的公司,成立于 2003 年,核心产品是广受欢迎的 Burp Suite 工具套件。其使命是通过提供高效的工具和资源,帮助企业提升 Web 应用程序的安全性
渗透测试:通过 Burp Suite 发现和利用 Web 应用漏洞
Web渗透测试常见的漏洞学习(推荐⭐⭐⭐⭐⭐)
官网:链接直达

application.security

应用安全是保护软件应用程序免受攻击的实践,涵盖开发、部署和维护阶段的安全措施,核心目标包括:

  • 数据保护:防止敏感信息泄露(如用户凭证、支付数据)。
  • 漏洞防御:抵御常见攻击(如注入漏洞、跨站脚本)。
  • 权限控制:确保用户仅访问授权资源(垂直/水平权限管理)

官网:链接直达

安全社区

Blackhat

国际顶级网络安全会议,发布零日漏洞、新型攻击技术及防御策略。涵盖技术演讲、工具体验及攻防竞赛(如Black Hat Arsenal)
官网链接:链接直达

zeronights

俄罗斯知名安全会议,聚焦漏洞利用、硬件安全及逆向工程。以技术深度著称,常涉及国家级APT攻击案例分析
官网链接:链接直达

阿里先知

专注于安全技术研究与交流的社区,提供前沿漏洞分析、渗透测试案例及技术文章,由阿里云支持,涵盖Web安全、逆向工程等领域,提供实战经验分享和漏洞复现环境
官网地址:链接直达

奇安信攻防

奇安信集团旗下的攻防技术交流平台,聚焦红蓝对抗、APT防御等技术方向,提供企业级攻防演练案例、威胁情报分析工具(如TIP平台)及漏洞订阅服务
官网地址:链接直达

火线Zone

云安全与DevSecOps实践社区,聚焦云原生安全、漏洞众测等方向。提供企业级安全解决方案及漏洞赏金计划(如漏洞银行合作项目)
官网地址:链接直达

安全脉搏

全球互联网安全媒体平台,分享前沿技术、漏洞预警和行业报告,覆盖渗透测试、代码审计、APT攻击分析,提供技术文章与工具资源
官网地址:链接直达

X微步

威胁情报分析与安全研究社区,整合云端沙箱、域名/IP信誉查询等功能,支持恶意样本分析、攻击溯源,并提供实时威胁情报推送服务
官网地址:链接直达

T00ls论坛

国内老牌安全社区,涵盖渗透测试、漏洞挖掘等技术交流,强调实战经验分享
官网地址:链接直达

FreeBuf

综合型安全门户,提供安全资讯、技术文章及行业报告,适合初学者与从业者
官网地址:链接直达

Seebug漏洞库

专注于漏洞研究与分析,收录详细漏洞信息及利用代码,支持漏洞订阅服务
官网地址:链接直达

CT Stack安全社区

聚焦Web安全与代码审计,分享原创漏洞挖掘方法及防御方案
官网地址:链接直达

i春秋论坛

提供网络安全课程与CTF赛事资源,适合系统化学习攻防技术
官网地址:链接直达

安全客

发布安全新闻、技术分析及行业趋势,覆盖企业安全与个人隐私保护
官网地址:链接直达

OSCS开源安全情报预警

提供开源组件漏洞预警,支持高危漏洞实时推送与修复建议
官网地址:链接直达

棱角

聚焦Web安全与代码审计,分享原创漏洞挖掘方法及防御方案
官网地址:链接直达

📑 目录大纲
  1. 练习
    1. Vulnhub
    2. Hack The Box(HTB)
    3. Rootme
    4. Tryhackme
    5. VulnStack
    6. 封神台
  2. 基础学习
    1. 本地部署
    2. 在线
      1. PortSwigger学院
      2. application.security
  3. 安全社区
    1. Blackhat
    2. zeronights
    3. 阿里先知
    4. 奇安信攻防
    5. 火线Zone
    6. 安全脉搏
    7. X微步
    8. T00ls论坛
    9. FreeBuf
    10. Seebug漏洞库
    11. CT Stack安全社区
    12. i春秋论坛
    13. 安全客
    14. OSCS开源安全情报预警
    15. 棱角