夺旗赛

Awesome CTF ¶

精选清单 Capture The Flag (CTF) 框架、库、资源、软件和教程. 该列表旨在帮助初学者和经验丰富的 CTF 玩家在一个地方找到与 CTF 相关的所有内容.

Contributing¶

请快速浏览一下 contribution guidelines 第一的.

If you know a tool that isn't present here, feel free to open a pull request.¶

Why?¶

建立 CTF 中使用的工具集合并记住它们是需要时间的. 这个 repo 有助于将所有这些分散的工具放在一个地方.

Create¶

用于创建 CTF 挑战的工具

• Kali Linux CTF Blueprints - 关于构建、测试和定制您自己的夺旗挑战的在线书籍.

Forensics¶

用于创建取证挑战的工具

• Dnscat2 - 通过 DNS 主机通信.
• Kroll Artifact Parser and Extractor (KAPE) - 分类程序.
• Magnet AXIOM - 以工件为中心的 DFIR 工具.
• Registry Dumper - 转储您的注册表.

Platforms¶

可用于举办CTF的项目

• CTFd - 托管纽约大学 Tandon ISISLab 的危险风格 CTF 的平台.
• echoCTF.RED - 开发、部署和维护您自己的 CTF 基础设施.
• FBCTF - 举办 Facebook 夺旗比赛的平台.
• Haaukins- 用于安全教育的易于访问和自动化的虚拟化平台.
• HackTheArch - CTF评分平台.
• Mellivora - 用 PHP 编写的 CTF 引擎.
• MotherFucking-CTF - 用于托管 CTF 的 Badass 轻量级平台. 不涉及 JS.
• NightShade - 一个简单的安全 CTF 框架.
• OpenCTF - 盒子里的 CTF. 需要最少的设置.
• PicoCTF - 用于运行 picoCTF 的平台. 一个很好的框架来托管任何 CTF.
• PyChallFactory - 用于创建/管理/打包危险 CTF 挑战的小型框架.
• RootTheBox - 黑客游戏（CTF 记分牌和游戏管理器）.
• Scorebot - Legitbs (Defcon) 的 CTF 平台.
• SecGen - 安全场景生成器. 随机创建易受攻击的虚拟机.

Steganography¶

用于创建隐写挑战的工具

检查解决部分的隐写术.

Web¶

用于创建网络挑战的工具

JavaScript 混淆器

• Metasploit JavaScript Obfuscator
• Uglify

Solve¶

用于解决 CTF 挑战的工具

Attacks¶

用于执行各种攻击的工具

• Bettercap - 执行 MITM（中间人）攻击的框架.
• Yersinia - 攻击第 2 层的各种协议.

Crypto¶

用于解决加密挑战的工具

• CyberChef - 用于分析和解码数据的 Web 应用程序.
• FeatherDuster - 一种自动化的模块化密码分析工具.
• Hash Extender - 用于执行散列长度扩展攻击的实用工具.
• padding-oracle-attacker - 执行填充 oracle 攻击的 CLI 工具.
• PkCrack - 破解 PkZip 加密的工具.
• QuipQuip - 破解替代密码或 vigenere 密码（无密钥）的在线工具.
• RSACTFTool - 用于恢复具有各种攻击的 RSA 私钥的工具.
• RSATool - 根据 p 和 q 的知识生成私钥.
• XORTool - 分析多字节异或密码的工具.

Bruteforcers¶

用于各种暴力破解的工具（密码等）

• Hashcat - 密码破解器
• Hydra - 支持多种攻击协议的并行登录破解程序
• John The Jumbo - 开膛手约翰的社区增强版.
• John The Ripper - 密码破解器.
• Nozzlr - Nozzlr 是一个强力框架，真正模块化且脚本友好.
• Ophcrack - 基于彩虹表的 Windows 密码破解程序.
• Patator - Patator 是一个多用途的暴力破解器，采用模块化设计.
• Turbo Intruder - 用于发送大量 HTTP 请求的 Burp Suite 扩展

Exploits¶

用于解决漏洞利用挑战的工具

• DLLInjector - 在进程中注入 dll.
• libformatstr - 简化格式字符串利用.
• Metasploit - Penetration testing software.
• Cheatsheet
• one_gadget - 一种用于查找一个小工具 execve('/bin/sh', NULL, NULL) 调用的工具.
• gem install one_gadget
• Pwntools - 用于编写漏洞的 CTF 框架.
• Qira - QEMU 交互式运行时分析器.
• ROP Gadget - ROP开发框架.
• V0lt - 安全 CTF 工具包.

Forensics¶

用于解决取证挑战的工具

• Aircrack-Ng - 破解 802.11 WEP 和 WPA-PSK 密钥. -apt-get 安装 aircrack-ng
• Audacity - 分析声音文件（mp3、m4a 等）. -apt-get install audacity
• Bkhive and Samdump2 - 转储 SYSTEM 和 SAM 文件. -apt-get 安装 samdump2 bkhive
• CFF Explorer - 体育编辑器.
• Creddump - 转储 Windows 凭据.
• DVCS Ripper - Rips 网络可访问（分布式）版本控制系统.
• Exif Tool - 读取、写入和编辑文件元数据.
• Extundelete - 用于从可安装映像中恢复丢失的数据.
• Fibratus - 用于探索和跟踪 Windows 内核的工具.
• Foremost - 使用标头提取特定类型的文件.
• apt-get 安装最重要
• Fsck.ext4 - 用于修复损坏的文件系统.
• Malzilla - 恶意软件搜寻工具.
• NetworkMiner - 网络取证分析工具.
• PDF Streams Inflater - 查找并提取压缩为 PDF 文件的 zlib 文件.
• Pngcheck - 验证 PNG 的完整性并以人类可读的形式转储所有块级信息. -apt-get install pngcheck
• ResourcesExtract - 从 exe 中提取各种文件类型.
• Shellbags - 调查 NT_USER.dat 文件.
• Snow - 空白隐写术工具.
• USBRip - 用于在 GNU/Linux 上跟踪 USB 设备工件（USB 事件的历史记录）的简单 CLI 取证工具.
• Volatility - 调查内存转储.
• Wireshark - 用于分析 pcap 或 pcapng 文件

注册表查看器 - OfflineRegistryView - 适用于 Windows 的简单工具，允许您从外部驱动器读取离线注册表文件并以 .reg 文件格式查看所需的注册表项. - Registry Viewer® - 用于查看 Windows 注册表.

Networking¶

用于解决网络挑战的工具

• Masscan -海量IP端口扫描器、TCP端口扫描器.
• Monit - 用于检查网络主机（和其他非网络活动）的 linux 工具.
• Nipe - Nipe 是一个使 Tor 网络成为默认网关的脚本.
• Nmap - 用于网络发现和安全审计的开源实用程序.
• Wireshark - 分析网络转储. -apt-get 安装 wireshark
• Zeek - 开源网络安全监视器.
• Zmap - 开源网络扫描仪.

Reversing¶

用于解决逆向挑战的工具

• Androguard - 逆向工程 Android 应用程序.
• Angr - 与平台无关的二进制分析框架.
• Apk2Gold - 另一个 Android 反编译器.
• ApkTool - 安卓反编译器.
• Barf - 二进制分析和逆向工程框架.
• Binary Ninja - 二进制分析框架.
• BinUtils - 二进制工具的集合.
• BinWalk - 分析、逆向工程和提取固件映像.
• Boomerang - 将 x86/SPARC/PowerPC/ST-20 二进制文件反编译为 C.
• ctf_import – 从跨平台剥离的二进制文件运行基本功能.
• cwe_checker - cwe_checker 在二进制可执行文件中发现易受攻击的模式.
• demovfuscator - 用于 movfuscated 二进制文件的正在进行的去混淆器.
• Frida - 动态代码注入.
• GDB - GNU 项目调试器.
• GEF - GDB 插件.
• Ghidra - 开源逆向工程工具套件. 类似于 IDA Pro.
• Hopper - 适用于 OSX 和 Linux 的逆向工程工具（反汇编程序）.
• IDA Pro - 最常用的倒车软件.
• Jadx - 反编译安卓文件.
• Java Decompilers - Java 和 Android APK 的在线反编译器.
• Krakatau - Java 反编译器和反汇编器.
• Objection - 运行时移动探索.
• PEDA - GDB 插件（仅限 python2.7）.
• Pin - 英特尔的动态二进制工具.
• PINCE - GDB 前端/逆向工程工具，专注于游戏破解和自动化.
• PinCTF - 使用英特尔引脚进行边信道分析的工具.
• Plasma - 用于 x86/ARM/MIPS 的交互式反汇编器，可以生成带有彩色语法的缩进伪代码.
• Pwndbg - 一个 GDB 插件，它提供了一套实用程序来轻松破解 GDB.
• radare2 - 便携式倒车框架.
• Triton - 动态二进制分析 (DBA) 框架.
• Uncompyle - 反编译 Python 2.7 二进制文件 (.pyc).
• WinDbg - Microsoft 分发的 Windows 调试器.
• Xocopy - 可以复制具有执行权限但没有读取权限的可执行文件的程序.
• Z3 - 来自 Microsoft Research 的定理证明器.

JavaScript 去混淆器

• Detox - 一个 Javascript 恶意软件分析工具.
• Revelo - 分析混淆的 Javascript 代码.

SWF分析器 - RABCDAsm - 实用程序集合，包括 ActionScript 3 汇编器/反汇编器. - Swftools - 用于处理 SWF 文件的实用程序集合. - Xxxswf - 用于分析 Flash 文件的 Python 脚本.

Services¶

互联网上提供的各种有用服务

• CSWSH - 跨站点 WebSocket 劫持测试器.
• Request Bin - 让您检查对特定 url 的 http 请求.

Steganography¶

用于解决隐写术挑战的工具

• AperiSolve - Aperi'Solve 是一个对图像进行图层分析的平台（开源）.
• Convert - 转换图像黑白格式并应用过滤器.
• Exif - 显示 JPEG 文件中的 EXIF 信息.
• Exiftool - 读写文件中的元信息.
• Exiv2 - 图像元数据操作工具.
• Image Steganography - 将文本和文件嵌入带有可选加密功能的图像中. 易于使用的用户界面.
• Image Steganography Online - 这是一个客户端 Javascript 工具，用于隐写将图像隐藏在其他图像的较低“位”中
• ImageMagick - 用于处理图像的工具.
• Outguess - 通用隐写工具.
• Pngtools - 用于与 PNG 相关的各种分析. -apt-get install pngtools
• SmartDeblur - 用于去模糊和修复散焦图像.
• Steganabara - 用 Ja​​va 编写的隐写分析工具.
• SteganographyOnline - 在线隐写术编码器和解码器.
• Stegbreak - 对 JPG 图像发起暴力字典攻击.
• StegCracker - 隐写术蛮力实用程序，用于发现文件中的隐藏数据.
• stegextract - 检测图像中的隐藏文件和文本.
• Steghide - 在各种图像中隐藏数据.
• StegOnline - 进行广泛的图像隐写术操作，例如隐藏/显示隐藏在位中的文件（开源）.
• Stegsolve - 将各种隐写技术应用于图像.
• Zsteg - PNG/BMP 分析.

Web¶

用于解决网络挑战的工具

• BurpSuite - 用于测试网站安全性的图形工具.
• Commix - 自动化一体化操作系统命令注入和利用工具.
• Hackbar - Firefox 插件，便于网络开发.
• OWASP ZAP - 拦截代理以重放、调试和模糊 HTTP 请求和响应
• Postman - 添加用于调试网络请求的 chrome.
• Raccoon - 用于侦察和漏洞扫描的高性能攻击性安全工具.
• SQLMap - 自动 SQL 注入和数据库接管工具. pip 安装 sqlmap
• W3af - Web 应用程序攻击和审计框架.
• XSSer - 自动化的 XSS 测试器.

Resources¶

在哪里可以发现 CTF

Operating Systems¶

渗透测试和安全实验室操作系统

• Android Tamer - 基于 Debian.
• BackBox - 基于 Ubuntu.
• BlackArch Linux - 基于 Arch Linux.
• Fedora Security Lab - 基于 Fedora.
• Kali Linux - 基于 Debian.
• Parrot Security OS - 基于 Debian.
• Pentoo - 基于 Gentoo.
• URIX OS - 基于 openSUSE.
• Wifislax - 基于 Slackware.

恶意软件分析师和逆向工程

• Flare VM - 基于 Windows.
• REMnux - 基于 Debian.

Starter Packs¶

安装程序脚本的集合，有用的工具

• CTF Tools - Collection of setup scripts to install various security research tools.
• LazyKali - 2016 年 LazyKali 更新，简化了工具和配置的安装.

Tutorials¶

学习如何玩 CTF 的教程

• CTF Field Guide - Trails of Bits 的野外指南.
• CTF Resources - 由社区维护的入门指南.
• How to Get Started in CTF - Endgame 为 CTF 初学者编写的简短指南
• Intro. to CTF Course - 一门免费课程，向初学者教授取证、加密和 Web-ex 的基础知识.
• IppSec - 流行的 CTF 平台的视频教程和演练.
• LiveOverFlow - 关于开发的视频教程.
• MIPT CTF - 面向 CTF 初学者的小型课程（俄语）.

Wargames¶

永远在线的CTF

• Backdoor - SDSLabs 的安全平台.
• Crackmes - 逆向工程挑战.
• CryptoHack - 有趣的密码学挑战.
• echoCTF.RED - 具有多种攻击目标的在线 CTF.
• Exploit Exercises - 各种虚拟机学习各种计算机安全问题.
• Exploit.Education - 各种虚拟机学习各种计算机安全问题.
• Gracker - 学习曲线缓慢的二元挑战，以及每个级别的评论.
• Hack The Box - 面向各类安全爱好者的每周 CTF.
• Hack This Site - 黑客训练场.
• Hacker101 - 来自 HackerOne 的 CTF
• Hacking-Lab - 道德黑客、计算机网络和安全挑战平台.
• Hone Your Ninja Skills - 从基础开始的网络挑战.
• IO - 用于二元挑战的兵棋推演.
• Microcorruption - 嵌入式安全 CTF.
• Over The Wire - 由 OvertheWire 社区维护的战争游戏.
• PentesterLab - 各种虚拟机和在线挑战（付费）.
• PicoCTF - 全年无休的ctf比赛. 来自年度 picoCTF 竞赛的问题.
• PWN Challenge - 二进制开发战争游戏.
• Pwnable.kr - 典当游戏.
• Pwnable.tw - 二进制战争游戏.
• Pwnable.xyz - 二进制开发战争游戏.
• Reversin.kr - 逆转挑战.
• Ringzer0Team - Ringzer0 团队在线 CTF.
• Root-Me - 黑客与信息安全学习平台.
• ROP Wargames - ROP 战争游戏.
• SANS HHC - 节日主题的挑战 每年发布并由 SANS 维护.
• SmashTheStack - 由 SmashTheStack 社区维护的各种兵棋推演.
• Viblo CTF - 许多不同类别的各种惊人的 CTF 挑战. 具有练习模式和竞赛模式.
• VulnHub - 基于 VM 的数字安全、计算机应用和网络管理实践.
• W3Challs - 渗透测试培训平台，提供不同类别的各种计算机挑战.
• WebHacking - 网络黑客挑战.

自托管 CTF - Damn Vulnerable Web Application - 极易受到攻击的 PHP/MySQL Web 应用程序. - Juice Shop CTF - 用于托管 CTF 的脚本和工具 OWASP Juice Shop 容易地.

Websites¶

关于 CTF 的各种通用网站

• Awesome CTF Cheatsheet - CTF 备忘单.
• CTF Time - 关于世界各地发生的 CTF 的一般信息.
• Reddit Security CTF - Reddit CTF 类别.

Wikis¶

可用于学习 CTF 的各种 Wiki

• Bamboofox - 学习CTF的中文资源.
• bi0s Wiki - 来自团队 bi0s 的 Wiki.
• CTF Cheatsheet - CTF 提示和技巧.
• ISIS Lab - Isis 实验室的 CTF Wiki.
• OpenToAll - OTA CTF 团队成员提供的 CTF 提示.

Writeups Collections¶

CTF 文章合集

• 0e85dc6eaf - 0e85dc6eaf 对 CTF 挑战的评论
• Captf - psifertex 转储了 CTF 挑战和材料.
• CTF write-ups (community) - CTF challenges + 由社区维护的 write-ups 存档.
• CTFTime Scrapper - 从 CTF Time 中删除所有 writeup 并组织首先阅读的内容.
• HackThisSite - CTF write-ups repo 由 HackThisSite 团队维护.
• Mzfr - mzfr 撰写的 CTF 竞赛文章
• pwntools writeups - 全部使用 pwntools 的 CTF 文章合集.
• SababaSec - SababaSec 团队的 CTF 文章合集
• Shell Storm - 由 Jonathan Salwan 维护的 CTF 挑战档案.
• Smoke Leet Everyday - CTF write-ups repo 由 SmokeLeetEveryday 团队维护.

LICENSE¶

抄送0:)