

夺旗赛

Awesome CTF

精选清单 Capture The Flag （CTF）框架，库，资源，软件和教程. 该列表旨在帮助初学者以及经验丰富的CTF玩家在一个地方找到与CTF相关的所有内容.

Contributing

请快速浏览一下 contribution guidelines 第一.

If you know a tool that isn't present here, feel free to open a pull request.

Why?

建立CTF中使用的工具的集合并记住它们全部需要花费时间. 此回购有助于将所有这些分散的工具放在一个地方.

Create

用于创建CTF挑战的工具

• Kali Linux CTF Blueprints -有关构建，测试和自定义自己的“夺旗”挑战的在线书籍.

Forensics

用于创建取证挑战的工具

• Dnscat2 -通过DNS托管通信.
• Registry Dumper -转储您的注册表.

Platforms

可用于托管CTF的项目

• CTFd -平台，可托管来自纽约大学丹登分校ISISLab的危险风格CTF.
• FBCTF -举办Facebook抓旗大赛的平台.
• Haaukins-用于安全教育的高度可访问且自动化的虚拟化平台.
• HackTheArch -CTF评分平台.
• Mellivora -用PHP编写的CTF引擎.
• NightShade -一个简单的安全CTF框架.
• OpenCTF -装在盒子里的CTF. 所需的设置最少.
• PicoCTF -用于运行picoCTF的平台. 托管任何CTF的绝佳框架.
• PyChallFactory -创建/管理/打包危害CTF挑战的小型框架.
• RootTheBox -黑客游戏（CTF记分牌和游戏管理器）.
• Scorebot -Legitbs（Defcon）的CTF平台.
• SecGen -安全方案生成器. 创建随机易受攻击的虚拟机.

Steganography

用于挑战挑战的工具

检查求解部分的隐写术.

Web

用于创建网络挑战的工具

• JavaScript Obfustcators *

• Metasploit JavaScript Obfuscator

• Uglify

Solve

用于解决CTF挑战的工具

Attacks

用于执行各种攻击的工具

• Bettercap -执行MITM（中间人）攻击的框架.
• Yersinia -在第2层上攻击各种协议.

Crypto

用于解决加密挑战的工具

• CyberChef -用于分析和解码数据的Web应用程序.
• FeatherDuster -自动化的模块化密码分析工具.
• Hash Extender -用于执行哈希长度扩展攻击的实用工具.
• padding-oracle-attacker -用于执行填充Oracle攻击的CLI工具.
• PkCrack -破解PkZip加密的工具.
• RSACTFTool -使用各种攻击来恢复RSA私钥的工具.
• RSATool -生成具有p和q知识的私钥.
• XORTool -分析多字节异或密码的工具.

Bruteforcers

用于各种暴力破解（密码等）的工具

• Hashcat -密码破解者
• Hydra -并行登录破解程序，支持多种协议进行攻击
• John The Jumbo -开膛手约翰的社区增强版本.
• John The Ripper -密码破解程序.
• Nozzlr -Nozzlr是一个蛮力的框架，完全模块化且脚本友好.
• Ophcrack -基于彩虹表的Windows密码破解程序.
• Patator -Patator是模块化设计的多功能暴力破解工具.

Exploits

用于解决漏洞挑战的工具

• DLLInjector - Inject dlls in processes.
• libformatstr -简化格式字符串的利用.
• Metasploit -渗透测试软件.
• Cheatsheet
• one_gadget -查找一个小工具execve（'/ bin / sh'，NULL，NULL）调用的工具. -gem install one_gadget`
• Pwntools -用于编写漏洞利用的CTF框架.
• Qira -QEMU交互式运行时分析器.
• ROP Gadget -ROP开发框架.
• V0lt -安全CTF工具包.

Forensics

用于解决取证挑战的工具

• Aircrack-Ng -破解802.11 WEP和WPA-PSK密钥. -apt-get install aircrack-ng
• Audacity -分析声音文件（mp3，m4a等）. -apt-get install audacity
• Bkhive and Samdump2 -转储SYSTEM和SAM文件. -apt-get install samdump2 bkhive
• CFF Explorer -PE编辑器.
• Creddump -转储Windows凭据.
• DVCS Ripper -Rips Web可访问（分布式）版本控制系统.
• Exif Tool -读取，写入和编辑文件元数据.
• Extundelete -用于从可挂载映像中恢复丢失的数据.
• Fibratus -Windows内核探索和跟踪工具.
• Foremost -使用标题提取特定类型的文件. -apt-get首先安装
• Fsck.ext4 -用于修复损坏的文件系统.
• Malzilla -恶意软件搜寻工具.
• NetworkMiner -网络取证分析工具.
• PDF Streams Inflater -查找并提取压缩为PDF文件的zlib文件.
• Pngcheck -验证PNG的完整性，并以人类可读的形式转储所有块级信息. -apt-get install pngcheck
• ResourcesExtract -从exe提取各种文件类型.
• Shellbags -研究NT _USER.dat文件.
• Snow -空白隐写术工具.
• USBRip -简单的CLI取证工具，用于在GNU / Linux上跟踪USB设备工件（USB事件的历史记录）.
• Volatility -调查内存转储.

注册表查看器 - OfflineRegistryView -Windows的简单工具，使您可以从外部驱动器中读取脱机注册表文件，并以.reg文件格式查看所需的注册表项. - Registry Viewer® -用于查看Windows注册表.

Networking

用于解决网络挑战的工具

• Masscan -Mass IP端口扫描程序，TCP端口扫描程序.
• Monit -一种Linux工具，用于检查网络上的主机（以及其他非网络活动）.
• Nipe -Nipe是使Tor Network成为默认网关的脚本.
• Nmap -用于网络发现和安全审核的开源实用程序.
• Wireshark -分析网络转储. -apt-get install wirehark
• Zeek -开源网络安全监视器.
• Zmap -开源网络扫描仪.

Reversing

用于解决逆向挑战的工具

• Androguard -反向工程Android应用程序.
• Angr -与平台无关的二进制分析框架.
• Apk2Gold -另一个Android反编译器.
• ApkTool -Android反编译器.
• Barf -二进制分析和逆向工程框架.
• Binary Ninja -二进制分析框架.
• BinUtils -二进制工具的集合.
• BinWalk -分析，反向工程并提取固件映像.
• Boomerang -将x86二进制文件反编译为C.
• ctf_import –从剥离的二进制文件跨平台运行基本功能.
• cwe_checker -cwe_checker在二进制可执行文件中找到易受攻击的模式.
• demovfuscator -用于移动二进制文件的正在进行中的去混淆器.
• Frida -动态代码注入.
• GDB -GNU项目调试器.
• GEF -GDB插件.
• Ghidra -逆向工程工具的开源套件. 类似于IDA Pro.
• Hopper -用于OSX和Linux的逆向工程工具（反汇编程序）.
• IDA Pro -最常用的倒车软件.
• Jadx -反编译Android文件.
• Java Decompilers -Java和Android APK的在线反编译器.
• Krakatau -Java反编译器和反汇编器.
• Objection -运行时移动浏览.
• PEDA -GDB插件（仅python2.7）.
• Pin -英特尔提供的动态二进制工具.
• PINCE -GDB前端/反向工程工具，专注于游戏黑客和自动化.
• PinCTF -使用intel引脚进行边通道分析的工具.
• Plasma -用于x86 / ARM / MIPS的交互式反汇编程序，可以生成带有彩色语法的缩进伪代码.
• Pwndbg -一个GDB插件，提供了一套实用工具，可轻松破解GDB.
• radare2 -便携式换向框架.
• Triton -动态二进制分析（DBA）框架.
• Uncompyle -反编译Python 2.7二进制文件（.pyc）.
• WinDbg -由Microsoft分发的Windows调试器.
• Xocopy -可以复制具有执行但没有读取权限的可执行文件的程序.

• Z3 -Microsoft Research的定理证明者.

• JavaScript反混淆器*

• Detox - A Javascript malware analysis tool.

• Revelo -分析混淆的Javascript代码.

• SWF分析仪*

• RABCDAsm -实用程序的集合，包括ActionScript 3汇编器/反汇编器.
• Swftools -使用SWF文件的实用程序集合.
• Xxxswf -用于分析Flash文件的Python脚本.

Services

互联网上提供各种有用的服务

• CSWSH -跨站点WebSocket劫持测试器.
• Request Bin -可让您检查对特定网址的http请求.

Steganography

用于解决隐写术挑战的工具

• AperiSolve -Aperi'Solve是一个平台，可对图像进行图层分析（开源）.
• Convert -转换图像黑白格式并应用滤镜.
• Exif -在JPEG文件中显示EXIF信息.
• Exiftool -在文件中读取和写入元信息.
• Exiv2 -图像元数据处理工具.
• Image Steganography -使用可选的加密功能将文本和文件嵌入图像中. 易于使用的用户界面.
• Image Steganography Online -这是一种客户端Javascript工具，用于将图像隐藏在其他图像的较低“位”内
• ImageMagick -用于处理图像的工具.
• Outguess -通用隐写工具.
• Pngtools -用于与PNG相关的各种分析. -apt-get install pngtools
• SmartDeblur -用于模糊和修复散焦图像.
• Steganabara -用Java编写的Stegano分析工具.
• Stegbreak -对JPG图像发动暴力字典攻击.
• StegCracker -隐写术蛮力工具，用于发现文件内的隐藏数据.
• stegextract -检测图像中的隐藏文件和文本.
• Steghide -隐藏各种图像中的数据.
• Stegsolve -将各种隐写技术应用于图像.
• Zsteg -PNG / BMP分析.

Web

用于解决网络挑战的工具

• BurpSuite -测试网站安全性的图形工具.
• Commix -自动化的多合一OS命令注入和利用工具.
• Hackbar -Firefox插件，可轻松进行网络利用.
• OWASP ZAP -拦截代理以重播，调试和模糊化HTTP请求和响应
• Postman -添加用于Chrome的调试网络请求.
• Raccoon -用于侦察和漏洞扫描的高性能进攻性安全工具.
• SQLMap -自动SQL注入和数据库接管工具. pip install sqlmap`
• W3af -Web应用程序攻击和审核框架.
• XSSer -自动化的XSS测试仪.

Resources

哪里可以找到有关CTF的信息

Operating Systems

渗透测试和安全实验室操作系统

• Android Tamer -基于Debian.
• BackBox -基于Ubuntu.
• BlackArch Linux -基于Arch Linux.
• Fedora Security Lab -基于Fedora.
• Kali Linux -基于Debian.
• Parrot Security OS -基于Debian.
• Pentoo -基于Gentoo.
• URIX OS -基于openSUSE.
• Wifislax -基于Slackware.

恶意软件分析师和逆向工程

• Flare VM -基于Windows.
• REMnux -基于Debian.

Starter Packs

安装脚本，有用工具的集合

• CTF Tools -收集用于安装各种安全研究工具的设置脚本.
• LazyKali -LazyKali的2016年更新，简化了工具和配置的安装.

Tutorials

学习如何播放CTF的教程

• CTF Field Guide -实地考察的足迹.
• CTF Resources -由社区维护的入门指南.
• Damn Vulnerable Web Application 该死的脆弱的PHP / MySQL Web应用程序.
• How to Get Started in CTF -Endgame为CTF初学者提供的简短指南
• LiveOverFlow -有关剥削的视频教程.
• MIPT CTF -面向CTF初学者的小课程（俄语）.

Wargames

*始终在线CTF *

• Backdoor -SDSLabs的安全平台.
• Crackmes -逆向工程挑战.
• Exploit Exercises -各种VM，以学习各种计算机安全问题.
• Exploit.Education -各种VM，以学习各种计算机安全问题.
• Gracker -学习曲线缓慢的二进制挑战，每个级别的习题都有.
• Hack The Box -面向所有类型的安全爱好者的每周CTF.
• Hack This Site -黑客培训场.
• Hacking-Lab -道德黑客，计算机网络和安全挑战平台.
• Hone Your Ninja Skills -网络挑战从基本挑战开始.
• IO -战争游戏二进制挑战.
• Microcorruption -嵌入式安全CTF.
• Over The Wire -由OvertheWire社区维护的Wargame.
• PentesterLab -各种虚拟机和在线挑战（付费）.
• PWN Challenge -二进制剥削战争游戏.
• Pwnable.kr -Pwn游戏.
• Pwnable.tw -二进制战争游戏.
• Pwnable.xyz -二进制剥削战争游戏.
• Reversin.kr -逆转挑战.
• Ringzer0Team -Ringzer0 Team Online CTF.
• Root-Me -黑客和信息安全学习平台.
• ROP Wargames -ROP战争游戏.
• SANS HHC -节日主题的挑战 每年发布并由SANS维护.
• SmashTheStack -由SmashTheStack社区维护的各种战争游戏.
• Viblo CTF -在许多不同类别中的各种惊人的CTF挑战. 同时具有练习模式和竞赛模式.
• VulnHub -基于VM，适用于数字安全，计算机应用和网络管理.
• W3Challs -渗透测试培训平台，提供各种类别的各种计算机挑战.
• WebHacking -网络攻击的挑战.

*自托管的CTF *

• Juice Shop CTF -用于托管CTF的脚本和工具 OWASP Juice Shop 容易.

Websites

有关CTF的各种通用网站

• CTF Time -有关世界各地的CTF的一般信息.
• Reddit Security CTF -Reddit CTF类别.

Wikis

*可用于了解CTF的各种Wiki *

• Bamboofox -学习CTF的中文资源.
• bi0s Wiki -来自bi0s团队的Wiki.
• ISIS Lab -Isis实验室的CTF Wiki.
• OpenToAll -OTA CTF团队成员提供的CTF技巧.

Writeups Collections

• CTF文章集*

• 0e85dc6eaf -0e85dc6eaf撰写的CTF挑战文章

• Captf -psifertex倾销了CTF挑战和材料.
• CTF write-ups (community) -社区维护的CTF挑战+撰写的存档.
• CTFTime Scrapper -从CTF时间报废所有文章，并组织首先阅读的文章.
• HackThisSite -由HackThisSite团队维护的CTF书面材料回购.
• Mzfr -mzfr的CTF比赛报道
• pwntools writeups -所有使用pwntools的CTF编写的集合.
• SababaSec -SababaSec团队收集的CTF文章
• Shell Storm -乔纳森·萨尔万（Jonathan Salwan）维护的CTF挑战档案.
• Smoke Leet Everyday -SmokeLeetEveryday团队维护的CTF书面材料回购.

LICENSE

CC0 :)