夺旗赛
Awesome CTF
¶
精选清单 Capture The Flag (CTF)框架,库,资源,软件和教程. 该列表旨在帮助初学者以及经验丰富的CTF玩家在一个地方找到与CTF相关的所有内容.
Contributing¶
请快速浏览一下 contribution guidelines 第一.
If you know a tool that isn't present here, feel free to open a pull request.¶
Why?¶
建立CTF中使用的工具的集合并记住它们全部需要花费时间. 此回购有助于将所有这些分散的工具放在一个地方.
Create¶
用于创建CTF挑战的工具
- Kali Linux CTF Blueprints -有关构建,测试和自定义自己的“夺旗”挑战的在线书籍.
Forensics¶
用于创建取证挑战的工具
- Dnscat2 - Hosts communication through DNS.
- Kroll Artifact Parser and Extractor (KAPE) - Triage program.
- Magnet AXIOM -以工件为中心的DFIR工具.
- Registry Dumper -转储您的注册表.
Platforms¶
可用于托管CTF的项目
- CTFd -平台,可托管来自纽约大学丹登分校ISISLab的危险风格CTF.
- echoCTF.RED -开发,部署和维护自己的CTF基础架构.
- FBCTF -举办Facebook抓旗大赛的平台.
- Haaukins-用于安全教育的高度可访问且自动化的虚拟化平台.
- HackTheArch -CTF评分平台.
- Mellivora -用PHP编写的CTF引擎.
- MotherFucking-CTF -Badass轻型平台,用于托管CTF. 不涉及JS.
- NightShade -一个简单的安全CTF框架.
- OpenCTF -装在盒子里的CTF. 所需的设置最少.
- PicoCTF -用于运行picoCTF的平台. 托管任何CTF的绝佳框架.
- PyChallFactory -创建/管理/打包危害CTF挑战的小型框架.
- RootTheBox -黑客游戏(CTF记分牌和游戏管理器).
- Scorebot -Legitbs(Defcon)的CTF平台.
- SecGen -安全方案生成器. 创建随机易受攻击的虚拟机.
Steganography¶
用于挑战挑战的工具
检查求解部分的隐写术.
Web¶
用于创建网络挑战的工具
-
JavaScript Obfustcators *
- Uglify
Solve¶
用于解决CTF挑战的工具
Attacks¶
用于执行各种攻击的工具
Crypto¶
用于解决加密挑战的工具
- CyberChef -用于分析和解码数据的Web应用程序.
- FeatherDuster -自动化的模块化密码分析工具.
- Hash Extender -用于执行哈希长度扩展攻击的实用工具.
- padding-oracle-attacker -用于执行填充Oracle攻击的CLI工具.
- PkCrack -破解PkZip加密的工具.
- QuipQuip -用于破坏替换密码或vigenere密码(无密钥)的在线工具.
- RSACTFTool -使用各种攻击来恢复RSA私钥的工具.
- RSATool -生成具有p和q知识的私钥.
- XORTool -分析多字节异或密码的工具.
Bruteforcers¶
用于各种暴力破解(密码等)的工具
- Hashcat -密码破解者
- Hydra -并行登录破解程序,支持多种协议进行攻击
- John The Jumbo -开膛手约翰的社区增强版本.
- John The Ripper -密码破解程序.
- Nozzlr -Nozzlr是一个蛮力的框架,完全模块化且脚本友好.
- Ophcrack -基于彩虹表的Windows密码破解程序.
- Patator -Patator是模块化设计的多功能暴力破解工具.
- Turbo Intruder -Burp Suite扩展,用于发送大量HTTP请求
Exploits¶
用于解决漏洞挑战的工具
- DLLInjector -在进程中注入dll.
- libformatstr -简化格式字符串的利用.
- Metasploit -渗透测试软件.
- Cheatsheet
- one_gadget -一种查找小工具execve('/ bin / sh',NULL,NULL)
调用的工具. -
gem install one_gadget` - Pwntools -用于编写漏洞利用的CTF框架.
- Qira -QEMU交互式运行时分析器.
- ROP Gadget -ROP开发框架.
- V0lt -安全CTF工具包.
Forensics¶
用于解决取证挑战的工具
- Aircrack-Ng -破解802.11 WEP和WPA-PSK密钥.
-
apt-get install aircrack-ng
- Audacity -分析声音文件(mp3,m4a等).
-
apt-get install audacity
- Bkhive and Samdump2 -转储SYSTEM和SAM文件.
-
apt-get install samdump2 bkhive
- CFF Explorer -PE编辑器.
- Creddump -转储Windows凭据.
- DVCS Ripper -Rips Web可访问(分布式)版本控制系统.
- Exif Tool -读取,写入和编辑文件元数据.
- Extundelete -用于从可挂载映像中恢复丢失的数据.
- Fibratus -Windows内核探索和跟踪工具.
- Foremost -使用标题提取特定类型的文件.
-
apt-get首先安装
- Fsck.ext4 -用于修复损坏的文件系统.
- Malzilla -恶意软件搜寻工具.
- NetworkMiner -网络取证分析工具.
- PDF Streams Inflater -查找并提取压缩为PDF文件的zlib文件.
- Pngcheck -验证PNG的完整性,并以人类可读的形式转储所有块级信息.
-
apt-get install pngcheck
- ResourcesExtract -从exe提取各种文件类型.
- Shellbags -研究NT _USER.dat文件.
- Snow -空白隐写术工具.
- USBRip -简单的CLI取证工具,用于在GNU / Linux上跟踪USB设备工件(USB事件的历史记录).
- Volatility -调查内存转储.
- Wireshark -用于分析pcap或pcapng文件
注册表查看器 - OfflineRegistryView -Windows的简单工具,使您可以从外部驱动器读取脱机注册表文件并以.reg文件格式查看所需的注册表项. - Registry Viewer® -用于查看Windows注册表.
Networking¶
用于解决网络挑战的工具
- Masscan -Mass IP端口扫描程序,TCP端口扫描程序.
- Monit -一种Linux工具,用于检查网络上的主机(以及其他非网络活动).
- Nipe -Nipe是使Tor Network成为默认网关的脚本.
- Nmap -用于网络发现和安全审核的开源实用程序.
- Wireshark -分析网络转储.
-
apt-get install wirehark
- Zeek -开源网络安全监视器.
- Zmap -开源网络扫描仪.
Reversing¶
用于解决逆向挑战的工具
- Androguard -反向工程Android应用程序.
- Angr -与平台无关的二进制分析框架.
- Apk2Gold -另一个Android反编译器.
- ApkTool -Android反编译器.
- Barf -二进制分析和逆向工程框架.
- Binary Ninja -二进制分析框架.
- BinUtils -二进制工具的集合.
- BinWalk -分析,反向工程并提取固件映像.
- Boomerang -将x86 / SPARC / PowerPC / ST-20二进制文件反编译为C.
- ctf_import –从剥离的二进制文件跨平台运行基本功能.
- cwe_checker -cwe_checker在二进制可执行文件中找到易受攻击的模式.
- demovfuscator -用于移动二进制文件的正在进行中的去混淆器.
- Frida -动态代码注入.
- GDB -GNU项目调试器.
- GEF -GDB插件.
- Ghidra -逆向工程工具的开源套件. 类似于IDA Pro.
- Hopper -用于OSX和Linux的逆向工程工具(反汇编程序).
- IDA Pro -最常用的倒车软件.
- Jadx -反编译Android文件.
- Java Decompilers -Java和Android APK的在线反编译器.
- Krakatau -Java反编译器和反汇编器.
- Objection -运行时移动浏览.
- PEDA -GDB插件(仅python2.7).
- Pin -英特尔提供的动态二进制工具.
- PINCE -GDB前端/反向工程工具,专注于游戏黑客和自动化.
- PinCTF -使用intel引脚进行边通道分析的工具.
- Plasma -用于x86 / ARM / MIPS的交互式反汇编程序,可以生成带有彩色语法的缩进伪代码.
- Pwndbg -一个GDB插件,提供了一套实用工具,可轻松破解GDB.
- radare2 -便携式换向框架.
- Triton -动态二进制分析(DBA)框架.
- Uncompyle -反编译Python 2.7二进制文件(.pyc).
- WinDbg -由Microsoft分发的Windows调试器.
- Xocopy -可以复制具有执行但没有读取权限的可执行文件的程序.
-
Z3 -Microsoft Research的定理证明者.
-
JavaScript反混淆器*
-
Detox -Javascript恶意软件分析工具.
-
Revelo -分析混淆的Javascript代码.
-
SWF分析仪*
- RABCDAsm -实用程序的集合,包括ActionScript 3汇编器/反汇编器.
- Swftools -使用SWF文件的实用程序集合.
- Xxxswf -用于分析Flash文件的Python脚本.
Services¶
互联网上提供各种有用的服务
- CSWSH -跨站点WebSocket劫持测试器.
- Request Bin -可让您检查对特定网址的http请求.
Steganography¶
用于解决隐写术挑战的工具
- AperiSolve -Aperi'Solve是一个平台,可对图像进行图层分析(开源).
- Convert -转换图像黑白格式并应用滤镜.
- Exif -在JPEG文件中显示EXIF信息.
- Exiftool -在文件中读取和写入元信息.
- Exiv2 -图像元数据处理工具.
- Image Steganography -使用可选的加密功能将文本和文件嵌入图像中. 易于使用的用户界面.
- Image Steganography Online -这是一种客户端Javascript工具,用于将图像隐藏在其他图像的较低“位”内
- ImageMagick -用于处理图像的工具.
- Outguess -通用隐写工具.
- Pngtools -用于与PNG相关的各种分析.
-
apt-get install pngtools
- SmartDeblur -用于模糊和修复散焦图像.
- Steganabara -用Java编写的Stegano分析工具.
- SteganographyOnline -在线隐写术编码器和解码器.
- Stegbreak -对JPG图像发动暴力字典攻击.
- StegCracker -隐写术蛮力工具,用于发现文件内的隐藏数据.
- stegextract -检测图像中的隐藏文件和文本.
- Steghide -隐藏各种图像中的数据.
- StegOnline -进行广泛的图像隐写术操作,例如隐藏/显示隐藏在位中的文件(开源).
- Stegsolve -将各种隐写技术应用于图像.
- Zsteg -PNG / BMP分析.
Web¶
用于解决网络挑战的工具
- BurpSuite -测试网站安全性的图形工具.
- Commix -自动化的多合一OS命令注入和利用工具.
- Hackbar -Firefox插件,可轻松进行网络利用.
- OWASP ZAP -拦截代理以重播,调试和模糊化HTTP请求和响应
- Postman -添加用于Chrome的调试网络请求.
- Raccoon -用于侦察和漏洞扫描的高性能进攻性安全工具.
- SQLMap -自动SQL注入和数据库接管工具. pip install sqlmap`
- W3af -Web应用程序攻击和审核框架.
- XSSer -自动化的XSS测试仪.
Resources¶
在哪里可以找到有关CTF的信息
Operating Systems¶
渗透测试和安全实验室操作系统
- Android Tamer -基于Debian.
- BackBox -基于Ubuntu.
- BlackArch Linux -基于Arch Linux.
- Fedora Security Lab -基于Fedora.
- Kali Linux -基于Debian.
- Parrot Security OS -基于Debian.
- Pentoo -基于Gentoo.
- URIX OS -基于openSUSE.
- Wifislax -基于Slackware.
恶意软件分析师和逆向工程
Starter Packs¶
安装脚本,有用工具的集合
Tutorials¶
学习如何播放CTF的教程
- CTF Field Guide -实地考察的足迹.
- CTF Resources -由社区维护的入门指南.
- How to Get Started in CTF -Endgame为CTF初学者提供的简短指南
- Intro. to CTF Course -免费课程,向初学者讲授取证,加密和网络交易的基础知识.
- IppSec -流行的CTF平台的视频教程和演练.
- LiveOverFlow -有关剥削的视频教程.
- MIPT CTF -面向CTF初学者的小课程(俄语).
Wargames¶
*始终在线CTF *
- Backdoor -SDSLabs的安全平台.
- Crackmes -逆向工程挑战.
- CryptoHack -有趣的密码学挑战.
- echoCTF.RED -具有各种攻击目标的在线CTF.
- Exploit Exercises -各种VM,以学习各种计算机安全问题.
- Exploit.Education -各种VM,以学习各种计算机安全问题.
- Gracker -学习曲线缓慢的二进制挑战,每个级别的习题都有.
- Hack The Box -面向所有类型的安全爱好者的每周CTF.
- Hack This Site -黑客培训场.
- Hacker101 -HackerOne的CTF
- Hacking-Lab -道德黑客,计算机网络和安全挑战平台.
- Hone Your Ninja Skills -网络挑战从基本挑战开始.
- IO -Wargame进行二进制挑战.
- Microcorruption -嵌入式安全CTF.
- Over The Wire -由OvertheWire社区维护的Wargame.
- PentesterLab -各种虚拟机和在线挑战(付费).
- PicoCTF -全年CTF游戏. 来自每年的picoCTF竞赛的问题.
- PWN Challenge -二进制剥削战争游戏.
- Pwnable.kr -Pwn游戏.
- Pwnable.tw -二进制战争游戏.
- Pwnable.xyz -二进制剥削战争游戏.
- Reversin.kr -逆转挑战.
- Ringzer0Team -Ringzer0 Team Online CTF.
- Root-Me -黑客和信息安全学习平台.
- ROP Wargames -ROP战争游戏.
- SANS HHC -节日主题的挑战 每年发布并由SANS维护.
- SmashTheStack -由SmashTheStack社区维护的各种战争游戏.
- Viblo CTF -在许多不同类别中的各种惊人的CTF挑战. 同时具有练习模式和竞赛模式.
- VulnHub -基于VM,适用于数字安全,计算机应用和网络管理.
- W3Challs -渗透测试培训平台,提供各种类别的各种计算机挑战.
- WebHacking -网络攻击的挑战.
*自托管的CTF * - Damn Vulnerable Web Application -该死的易受攻击的PHP / MySQL Web应用程序. - Juice Shop CTF -用于托管CTF的脚本和工具 OWASP Juice Shop 容易.
Websites¶
有关CTF的各种通用网站
- Awesome CTF Cheatsheet -CTF速查表.
- CTF Time -有关世界各地的CTF的一般信息.
- Reddit Security CTF -Reddit CTF类别.
Wikis¶
*可用于了解CTF的各种Wiki *
- Bamboofox -学习CTF的中文资源.
- bi0s Wiki -来自bi0s团队的Wiki.
- CTF Cheatsheet -CTF提示和技巧.
- ISIS Lab -Isis实验室的CTF Wiki.
- OpenToAll -OTA CTF团队成员提供的CTF技巧.
Writeups Collections¶
-
CTF文章集*
-
0e85dc6eaf -0e85dc6eaf撰写的CTF挑战文章
- Captf -psifertex倾销了CTF挑战和材料.
- CTF write-ups (community) -社区维护的CTF挑战+撰写的存档.
- CTFTime Scrapper -从CTF时间报废所有文章,并组织首先阅读的文章.
- HackThisSite -由HackThisSite团队维护的CTF书面材料回购.
- Mzfr -mzfr的CTF比赛报道
- pwntools writeups -所有使用pwntools的CTF编写的集合.
- SababaSec -SababaSec团队收集的CTF文章
- Shell Storm -乔纳森·萨尔万(Jonathan Salwan)维护的CTF挑战档案.
- Smoke Leet Everyday -SmokeLeetEveryday团队维护的CTF书面材料回购.
LICENSE¶
CC0 :)