牛！渗透工程师必刷的30个国内外攻防靶场！（超全汇总）

牛！渗透工程师必刷的30个国内外攻防靶场！（超全汇总）

俗话说百看不如一练，小编今天总结了30个国内外网络安全必刷的靶场，以供大家学习，早日成为高手！

一、基础类靶场

1. DVWA（Damn Vulnerable Web Application）

下载地址：https://github.com/digininja/DVWA（需自行搭建环境）

在线靶场：https://dvwa.bachang.org/

DVWA是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好地理解web应用安全防范的过程。DVWA包含了OWASP TOP 10的所有攻击漏洞的练习环境，一站式解决所有Web渗透的学习环境。

2. sql-libs（sql注入漏洞）

下载地址：https://github.com/Audi-1/sqli-labs

在线靶场：https://sqli-labs.bachang.org/

sql-libs是一个专门用于学习和测试SQL注入的开源平台，它提供了一系列的注入场景和关卡，帮助开发者和安全测试人员深入理解SQL注入的原理和防范方法。通过sql-libs，用户可以实践不同类型的SQL注入攻击，并学习如何编写安全的代码来避免这些漏洞。

3. upload-labs

下载地址：https://github.com/c0ny1/upload-labs

upload-labs是一个使用PHP编写的开源靶场，专门用于学习和测试文件上传漏洞，特别是在渗透测试和CTF（Capture The Flag）竞赛中常见的场景。

4. xss-labs

下载地址：https://github.com/do0dl3/xss-labs

xss-labs是一个专注于跨站脚本攻击（XSS）学习和测试的开源靶场，提供多种XSS漏洞场景，帮助用户理解XSS攻击原理、掌握防御技巧，并通过实践提升安全意识和技能。

5. DSVW（Damn Small Vulnerable Web）

下载地址：$ git clone git@github.com:stamparm/DSVW.git

DSVW（Damn Small Vulnerable Web）是一款轻量级Web漏洞教学演示系统，由sqlmap同一作者Miroslav Stampar开发。它支持大多数流行的Web漏洞环境与攻击EXPLOIT，同时各个漏洞环境还提供了相关说明与介绍的链接地址。DSVW使用Python语言开发，具有代码量少、易于理解和研究的特点。它支持跨站脚本（XSS）、XML外部实体注入（XXE）等多类常见Web漏洞，并可根据环境自动启用或禁用特定漏洞，灵活适应各种需求。

6. XVWA（Xtreme Vulnerable Web Application）

下载地址：https://github.com/s4n7h0/xvwa

XVWA是一个用PHP/MySQL编写的编码错误的Web应用程序，可帮助安全爱好者学习应用程序安全性。

7. Pikachu

下载地址：https://github.com/zhuifengshaonianhanlu/pikachu

Pikachu是一个集成了多种常见Web安全漏洞的练习平台，旨在为网络安全学习者和爱好者提供一个实际操作环境。它通过模拟真实的漏洞场景，帮助用户学习如何发现、利用以及修复这些漏洞，进而提升他们在渗透测试和安全评估中的技能。

8. WeBug

名称定义为“我们的漏洞”靶场环境，基础环境是基于PHP/MySQL制作搭建而成，中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。部分漏洞是基于Windows操作系统的漏洞，所以将WeBug的web环境都装在了一个纯净版的Windows 2003的虚拟机中。

下载地址：https://github.com/wangai3176/webug4.0

9. Vulhub

Vulhub是一个基于Docker和Docker-compose的漏洞环境集合，可以帮助我们很方便地搭建包含各种漏洞的靶场环境，从而使得我们更加全面地研究各种漏洞，节省环境搭建的时间和精力。

官网地址：https://vulhub.org

10. bWAPP（Buggy Web Application）

这是一个集成了各种常见漏洞和最新漏洞的免费和开源的web应用程序安全项目。目的是帮助网络安全爱好者、开发人员和学生发现并防止网络漏洞。

官网地址：https://www.itsecgames.com

11. Mutillidae

Mutillidae是一个免费、开源的Web应用程序，提供专门被允许的安全测试和入侵的Web应用程序。其中包含了丰富的渗透测试项目，如SQL注入、跨站脚本、clickjacking、本地文件包含、远程代码执行等。可以让你了解黑客是如何进行非法入侵和数据窃取等行为的，并且教会你如何保护自己的网站免受黑客的入侵。所以也是一个学习黑客技术、了解安全新闻和技术文章的好地方。

项目地址：https://sourceforge.net/projects/mutillidae

二、CTF类靶场

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，CTF也成为了其历年来的重头戏。

CTF竞赛涉及的信息安全知识点涵盖范围广泛，从传统的网络安全（如XSS、SQL注入、文件上传漏洞等）到二进制分析、逆向工程、人工智能，再到密码学、区块链等均有涉及。CTF一般分为Jeopardy、Attack-Defense和Mix三种类型。

以下是部分CTF类靶场：

1. bugku

bugku是一个CTF在线训练平台，适合CTF选手练习，题目难易均有。该平台由山东安信安全技术有限公司自研，CTF/AWD一体化平台，部分赛题采用动态FLAG形式，平台有题库、赛事预告、工具库、Writeup库等模块。

平台网址：https://www.ctf.show/challenges

2. BUUCTF

BUUCTF是北京联合大学搭建的在线CTF靶场，难度中上，搜集了很多大赛原题。目前该靶场共分为几个部分：

• Basic（基础）• Crypto（加密）• DASBOOK（刷题书）• Misc（杂项）• N1BOOK（是Nu1L Team为方便读者打造的免费平台）• Pwn（漏洞利用）• Real（实际会遇到的漏洞）• Reverse（逆向）• Web（网络）• 加固题（各个赛事的经典案例）

靶场网址：https://buuoj.cn/challenges

3. 南邮CTF

南邮CTF是南京邮电大学搭建的网络攻防训练平台。

靶场网址：https://ctf.njupt.edu.cn

4. XCTF

XCTF是XCTF联赛官方平台，该平台拥有众多赛题资源，包括国内外CTF大赛原题、原创实训题、在线编程题等，涵盖了网络安全领域的多个方面，如Web安全、逆向工程、密码学、二进制漏洞利用等。XCTF平台不仅提供了丰富的赛题资源，还定期组织各类CTF竞赛活动，吸引了众多网络安全爱好者和专业人士的参与。

平台网址：https://adworld.xctf.org.cn

5. i春秋

i春秋是一个网络安全在线学习平台，提供了丰富的CTF靶场资源。用户可以在平台上参与各种CTF竞赛，通过实战演练提升自己的网络安全技能。i春秋的CTF靶场涵盖了多个难度级别，适合不同水平的用户进行学习和挑战。

平台网址：https://www.ichunqiu.com

6. 黑客马拉松

黑客马拉松是一种编程竞赛活动，通常要求参赛者在限定时间内完成某个项目的开发。在网络安全领域，黑客马拉松经常涉及到CTF靶场的挑战和攻防演练。通过参与黑客马拉松，参赛者可以锻炼自己的编程能力、创新思维和团队合作精神，同时也能深入了解网络安全领域的最新技术和趋势。

7. Hack The Box（HTB）

Hack The Box是一个在线的、可交互的渗透测试实验室，它提供了一系列精心设计的虚拟机器，供安全研究人员、渗透测试人员和网络安全爱好者进行实战练习和学习。每个虚拟机都模拟了一个真实的网络环境，包含各种安全漏洞和挑战，用户需要通过渗透测试技术来发现并利用这些漏洞，最终获得机器的访问权限。

官网地址：https://www.hackthebox.eu

8. TryHackMe

TryHackMe是一个基于浏览器的网络安全学习平台，它提供了各种难度级别的CTF挑战和渗透测试实验室。用户可以通过完成这些挑战来学习网络安全知识、提升技能，并获得认证。TryHackMe还提供了一个活跃的社区，用户可以在其中与其他网络安全爱好者交流、分享经验和知识。

官网地址：https://tryhackme.com

9. Proving Grounds

Proving Grounds是由Offensive Security提供的一个在线渗透测试实验室，它包含了一系列精心设计的挑战和场景，旨在帮助用户提升渗透测试技能。这些挑战涵盖了网络安全的多个方面，如Web应用安全、系统安全、网络协议分析等。用户可以通过完成这些挑战来获得经验值、提升等级，并解锁更高级别的挑战。

官网地址：https://www.offensive-security.com/labs/proving-grounds

10. OverTheWire

OverTheWire是一个基于Linux的在线安全挑战平台，它提供了一系列由易到难的挑战，旨在帮助用户学习网络安全和系统安全知识。这些挑战涵盖了密码学、网络协议、系统安全等多个方面，用户需要通过渗透测试技术来破解密码、获取访问权限等。OverTheWire还提供了一个论坛，用户可以在其中与其他参与者交流心得、分享经验。

官网地址：https://overthewire.org/wargames

11. PicoCTF

PicoCTF是一个面向中小学生的CTF竞赛平台，旨在通过趣味性的方式培养他们对网络安全的兴趣和技能。该平台提供了多个难度级别的CTF挑战，涵盖了网络安全的多个方面，如密码学、Web安全、逆向工程等。PicoCTF还定期举办线上和线下的CTF竞赛活动，吸引了众多中小学生的参与。

官网地址：https://picoctf.org

三、实战类靶场

实战类靶场通常模拟真实的网络环境或应用程序，让安全测试人员或开发人员在实际环境中进行渗透测试或安全评估。这类靶场通常包含复杂的漏洞场景和防御机制，能够帮助测试人员更全面地了解网络安全的实际情况。

1. PentesterLab

PentesterLab是一个专注于渗透测试技能提升的在线平台。它提供了一系列实战化的课程和挑战，帮助用户学习如何识别、利用和修复网络系统中的漏洞。PentesterLab的课程涵盖了Web应用安全、系统安全、网络渗透等多个方面，适合不同水平的渗透测试人员学习和提升技能。

官网地址：https://www.pentesterlab.com

2. Hackademic Challenges

Hackademic Challenges是一个基于Web的在线安全挑战平台，它提供了一系列由易到难的挑战，旨在帮助用户学习网络安全知识并提升渗透测试技能。这些挑战涵盖了Web应用安全、系统安全、密码学等多个方面，用户需要通过渗透测试技术来破解密码、获取访问权限等。Hackademic Challenges还提供了一个论坛，用户可以在其中与其他参与者交流心得、分享经验。

官网地址：https://www.hackademic.ch

3. Root-Me

Root-Me是一个基于社区的在线安全挑战平台，它提供了一系列由社区成员创建的挑战和场景。这些挑战涵盖了网络安全的多个方面，如Web应用安全、系统安全、密码学等。用户可以通过完成这些挑战来学习网络安全知识、提升技能，并获得积分和排名。Root-Me还提供了一个论坛和Wiki，用户可以在其中与其他参与者交流心得、分享经验和学习资源。

官网地址：https://www.root-me.org

4. VulnHub

VulnHub是一个基于Docker的漏洞环境集合，它提供了一系列由社区成员创建的虚拟机镜像。这些虚拟机镜像模拟了真实的网络环境或应用程序，并包含了各种已知和未知的漏洞。用户可以通过下载这些镜像并在自己的环境中运行它们来进行渗透测试和安全评估。VulnHub还提供了一个论坛和Wiki，用户可以在其中与其他参与者交流心得、分享经验和学习资源。

官网地址：https://www.vulnhub.com

5. Cyber Range

Cyber Range是一种模拟真实网络环境的在线平台，它提供了一系列复杂的网络安全挑战和场景供用户进行实战演练。这些挑战和场景通常涵盖了网络安全的多个方面，如渗透测试、恶意软件分析、事件响应等。用户可以通过在Cyber Range中进行实战演练来提升自己的网络安全技能和应对能力。此外，一些Cyber Range还提供了培训和教育资源，帮助用户更深入地了解网络安全领域的知识和技能。

6. Hack The Box Academy

Hack The Box Academy是Hack The Box提供的一个面向初学者的网络安全学习平台。提供了一系列精心设计的课程和挑战，旨在帮助用户逐步掌握网络安全的基本概念、工具和技能。通过完成这些课程和挑战，用户可以逐步提升自己的网络安全水平，并为参与更高级别的CTF竞赛或实战演练做好准备。

官网地址：https://academy.hackthebox.eu

7. RangeForce

RangeForce是一个专注于提供实战化网络安全培训的在线平台。通过模拟真实的网络环境和攻击场景，帮助用户提升网络安全防御和响应能力。RangeForce提供了多种类型的培训课程和挑战，包括渗透测试、恶意软件分析、事件响应等，适用于不同水平的网络安全专业人员。

官网地址：https://www.rangeforce.com

8. Cybrary

Cybrary是一个综合性的网络安全学习平台，提供了包括靶场在内的多种学习资源。涵盖了网络安全的多个方面，如渗透测试、云安全、密码学等，并提供了丰富的在线课程、视频教程和实践练习。Cybrary还拥有一个活跃的社区，用户可以在其中与其他网络安全爱好者交流心得、分享经验和学习资源。

官网地址：https://www.cybrary.it

9. CyberSecurity Nexus

CyberSecurity Nexus是一个专注于提供实战化网络安全培训的在线平台。通过模拟真实的网络攻击和防御场景，帮助用户提升网络安全技能和应对能力。提供了多种类型的培训课程和挑战，包括渗透测试、恶意软件分析、事件响应等，并且可以根据用户的具体需求进行定制化的培训服务。

官网地址：https://www.cybersecuritynexus.com

四、总结

网络安全攻防靶场是提升网络安全技能的重要工具之一。通过在这些靶场中进行实战演练和学习，可以更深入地了解网络安全的实际情况和应对方法。无论是基础类靶场、CTF类靶场还是实战类靶场，都为我们提供了宝贵的学习机会和实践经验。希望本文介绍的这些靶场能够帮助大家更好地学习和提升网络安全技能！

试、恶意软件分析、事件响应等，并且可以根据用户的具体需求进行定制化的培训服务。

官网地址：https://www.cybersecuritynexus.com

四、总结

网络安全攻防靶场是提升网络安全技能的重要工具之一。通过在这些靶场中进行实战演练和学习，可以更深入地了解网络安全的实际情况和应对方法。无论是基础类靶场、CTF类靶场还是实战类靶场，都为我们提供了宝贵的学习机会和实践经验。希望本文介绍的这些靶场能够帮助大家更好地学习和提升网络安全技能！

黑客/网络安全学习路线

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

网络安全学习资源分享:

下面给大家分享一份2025最新版的网络安全学习路线资料，帮助新人小白更系统、更快速的学习黑客技术！

一、2025最新网络安全学习路线

一个明确的学习路线可以帮助新人了解从哪里开始，按照什么顺序学习，以及需要掌握哪些知识点。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）

我们把学习路线分成L1到L4四个阶段，一步步带你从入门到进阶，从理论到实战。



L1级别:网络安全的基础入门

L1阶段：我们会去了解计算机网络的基础知识，以及网络安全在行业的应用和分析；学习理解安全基础的核心原理，关键技术，以及PHP编程基础；通过证书考试，可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。



L2级别：网络安全的技术进阶

L2阶段我们会去学习渗透测试：包括情报收集、弱口令与口令爆破以及各大类型漏洞，还有漏洞挖掘和安全检查项目，可参加CISP-PTE证书考试。



L3级别：网络安全的高阶提升

L3阶段：我们会去学习反序列漏洞、RCE漏洞，也会学习到内网渗透实战、靶场实战和技术提取技术，系统学习Python编程和实战。参加CISP-PTE考试。



L4级别：网络安全的项目实战

L4阶段：我们会更加深入进行实战训练，包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题



整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握；而L3 L4更多的是通过项目实战来掌握核心技术，针对以上网安的学习路线我们也整理了对应的学习视频教程，和配套的学习资料。

二、技术文档和经典PDF书籍

书籍和学习文档资料是学习网络安全过程中必不可少的，我自己整理技术文档，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，（书籍含电子版PDF）



三、网络安全视频教程

对于很多自学或者没有基础的同学来说，书籍这些纯文字类的学习教材会觉得比较晦涩难以理解，因此，我们提供了丰富的网安视频教程，以动态、形象的方式展示技术概念，帮助你更快、更轻松地掌握核心知识。

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。



四、网络安全护网行动/CTF比赛

学以致用 ，当你的理论知识积累到一定程度，就需要通过项目实战，在实际操作中检验和巩固你所学到的知识，同时为你找工作和职业发展打下坚实的基础。



五、网络安全工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。 

面试不仅是技术的较量，更需要充分的准备。

在你已经掌握了技术之后，就需要开始准备面试，我们将提供精心整理的网安面试题库，涵盖当前面试中可能遇到的各种技术问题，让你在面试中游刃有余。

如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…





**读者福利 |** CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）