Vulhub - 开源的漏洞Docker环境
GitHub - digininja/DVWA: Damn Vulnerable Web Application (DVWA) · GitHub
GitHub - WebGoat/WebGoat:WebGoat 是一个故意不安全的应用程序 ·GitHub
GitHub - OWASP/NodeGoat:OWASP NodeGoat项目提供了一个环境,学习OWASP十大安全风险如何应用于使用Node.js开发的网页应用,以及如何有效应对这些风险。·GitHub
DC靶机1-9合集 - Lmg66 - 博客园

CTF靶场

BUUCTF在线评测

CTF²
ctf.show
攻防世界
Learn Cyber Security | TryHackMe Cyber Training
www.loveli.com.cn
CTFHub

蓝队靶场

Network Forensics Puzzle Contest
Dive into Blue Team CTF Challenges - CyberDefenders

有漏洞的网站框架

Struts2 全系(S2-001 到 S2-062),2017 年之前的版本

ThinkPHP 5.0.x ~ 5.1.x,经典的远程代码执行漏洞

Drupal 7.x 和 8.x 早期版本(Drupalgeddon CVE-2018-7600),不用认证就能 RCE,典型的高危漏洞。

Weblogic 10.x / 12.x 老版本,反序列化漏洞的经典案例,T3 协议、IIOP 协议都有洞。

JBoss/WildFly 老版本(4.x ~ 6.x),JMX Console 未授权访问 + 远程部署 war 包,这套组合拳打下来就是 getshell。

WordPress 4.x ~ 5.x 配合老插件,从 SQL 注入到反序列化到任意文件删除,插件生态是重灾区。

Tomcat 7.x ~ 9.x 早期版本,AJP 幽灵猫(CVE-2020-1938)可以读 Web 目录下任意文件,配合文件上传就是 RCE。

Jenkins 2.x 老版本,未授权访问 + Script Console Groovy 执行,拿下就是服务器权限。


PHP CMS 家族

DedeCMS(织梦)——国内使用量最大,5.7 SP2 之前 /plus/ 目录下的接口一大半不需要登录就能打,SQL 注入、文件上传、后台 getshell 样样有。

EmpireCMS(帝国 CMS)——7.5 之前,后台模板管理写一句话木马、备份数据库拿 webshell,这两条链路百试百灵。

PHPCMS v9——v9.6.x 前台 SQL 注入直接爆管理员密码,后台模板 + 缓存包含组合拳 getshell,国内靶场标配。

Z-BlogPHP——轻量博客,老版本 SQL 注入和文件上传绕过。

Discuz!——X3.4 之前一堆洞,UCenter 通讯密钥泄露直接 getshell,后台数据库备份写 shell。

WordPress(含插件生态)——核心漏洞不是重点,重点是插件:WooCommerce、Elementor、WPML、Yoast SEO 这些百万级安装量的插件每个都出过严重漏洞,Exploit-DB 上随便搜。WPScan 是打 WP 必备工具。

Joomla!——CVE-2015-8562 反序列化 RCE、CVE-2017-8917 SQL 注入、CVE-2023-23752 未授权 API 直接泄露管理员密码,三个洞三个 Vulhub 环境,打完就能理解 Joomla 的攻击面。

Joomla!——CVE-2015-8562 反序列化 RCECVE-2017-8917 SQL 注入CVE-2023-23752 未授权 API 直接泄露管理员密码,三个洞三个 Vulhub 环境,打完就能理解 Joomla 的攻击面。

Drupal——Drupalgeddon2(CVE-2018-7600)Drupalgeddon3(CVE-2018-7602),不需要认证直接 RCE,渗透入门必打的经典。打完你会记住一句话:Drupal 的 render array 是万恶之源。

Typecho——1.1 之前前台反序列化 RCE,install.php 不删也能搞事。

OctoberCMS——Laravel 家族 CMS,前台 RCE 和 SSTI。

Bolt CMS——3.x,/preview 路由配合 SSTI 直接执行代码。

Java CMS 家族

JEECMS——后台 groovy 脚本执行或反序列化 getshell。

FineCMS——JFinal 框架,老版本 SQL 注入不少。

OpenCms——10.x 之前 XXE 和 SSRF 打到内网。

Alfresco——企业文档管理系统,JMX、WebDAV 接口都是攻击面,很多大型企业在用。

Python CMS 家族

Django CMS——Django debug mode 信息泄露 + django-rest-framework 认证绕过。

Plone——Zope 底层反序列化漏洞是重头戏,企业用户还在用。

Wagtail——Django CMS,SSRF 和未授权访问。

Mezzanine——Django CMS,未授权访问 + SQL 注入。

Node.js CMS 家族

Ghost——博客系统,1.x ~ 3.x 之间 API 认证绕过。

Strapi——Headless CMS,3.x 有未授权 RCE(CVE-2019-18818CVE-2019-19609),4.x 有密码重置绕过。最近几年很火,攻击面大。

KeystoneJS——Express 时代 CMS,NoSQL 注入和 JWT 伪造。

ASP.NET CMS

Sitecore——.NET 企业级 CMS,CVE-2017-13027CVE-2020-15093 反序列化 RCE。

Umbraco——7.x 到 8.x 多个 RCE。

DotNetNuke(DNN)——9.x 之前反序列化 RCE 一堆。

动易 CMS——国内 ASP.NET CMS,SQL 注入和后台上传。

安全专用靶场

DVWAgithub.com/digininja/DVWA)——PHP + MySQL,SQL 注入、XSS、CSRF、文件包含、命令注入这些基本功全有,四个难度级别,渗透入门第一站。

WebGoatgithub.com/WebGoat/WebGoat)——OWASP 官方 Java 靶场,按 OWASP Top 10 分课,带教程引导,适合系统性过一遍所有漏洞类型。

OWASP Juice Shopgithub.com/juice-shop)——Node.js 写的现代靶场,覆盖几乎所有 OWASP Top 10,从一到三星递进,writeup 文档特别全,是当前最全面的靶场之一。

bWAPP——PHP 靶场,100+ 种漏洞,从 SQL 注入到 Heartbleed 都有,比 DVWA 覆盖面广得多。

OWASP crAPI——专门打 API 安全,BOLA、BFLA、mass assignment、JWT 攻击,对实战渗透帮助很大。

Vulhubgithub.com/vulhub/vulhub)——最大的漏洞 Docker 环境集合,按 CVE 编号组织,一个 docker compose up -d 拉起,覆盖 Struts2、Weblogic、Tomcat、Drupal 等几百个环境。

Metasploitable2/3——完整虚拟机靶场,打内网渗透和提权必备。

PortSwigger Web Security Academy——免费在线,200+ 实验,从 apprentice 到 expert,Burp Suite 官方团队出的,质量最高。