- 博客(159)
- 收藏
- 关注
RSS订阅
原创 2026年3月19日 好靶场上新
本次上新4个靶场,包含1个应急溯源实战关卡、3个图片隐写进阶关卡;记一次真实钓鱼溯源是贴近实战的应急响应类关卡,基于指定时间的真实钓鱼事件设计,考验钓鱼分析与溯源能力;图片隐写系列更新至第18关,本轮聚焦原始数据转图片的高阶手法,覆盖01字符串、十六进制、GPS轨迹三类特殊数据格式,还加入了文件头尾修复的实操考点,隐写体系更全面。
2026-03-19 09:20:08
238
原创 2026年3月16日 好靶场上新
官网地址: http://www.loveli.com.cn是好靶场团队自研的全阶段网络安全实战学习平台,是!核心定位为,无学习门槛,适配从 0 基础入门到行业进阶的所有网络安全学习者,也是全球首家按真实报告还原 SRC 漏洞的靶场平台。我们立志于为所有的网络安全同伴制作出好的靶场,让所有初学者都可以用最低的成本入门网络安全,因此团队名字就定为好靶场。
2026-03-16 09:21:31
452
原创 好靶场上新 2026年3月15日
本次上新6个靶场,包含4个图片隐写系列进阶关卡、1个密码学编程闯关关卡、1个购物网站滑块验证进阶关卡;图片隐写系列聚焦PNG/JPG/BMP/GIF四大主流格式的高宽篡改隐写,覆盖对应文件结构解析与修复技巧,形成完整的图片高宽隐写入门体系;「2026你快乐吗」为趣味密码学编程关卡,核心需掌握快乐数算法、比特流处理与流密码解密,结合2026年日期场景设计,兼具趣味性与实操性;
2026-03-15 11:15:40
524
原创 【给你的AI插上翅膀】推荐一款非常好用的开源AI MCP
本项目为好靶场开源的MCP框架,大家可以基于本项目开发自己的安全工具网关,实现自动化安全测试。本项目是GPL 协议开源,欢迎大家 fork 和贡献。HBC_SEC_MCP 是一个安全工具网关,将传统命令行安全工具包装为现代化的 MCP 服务。它实现了 MCP JSON-RPC 2.0 协议,让 AI 客户端能够以标准化的方式发现并调用安全测试能力。思路参考:https://github.com/Wh0am123/MCP-Kali-Server注意,切勿开放在公网,不使用功能删掉Tools里的文件。
2026-03-13 22:27:03
217
原创 OpenClaw+思源笔记=自动撰写渗透报告的牛马
JWT算法混淆漏洞: 服务器接受alg: none的JWT token弱密钥漏洞: 服务器使用弱密钥或未正确验证签名缺乏签名验证: 空密钥签名的token也能通过验证权限绕过: 通过伪造JWT token可以绕过认证获取敏感信息渗透测试完成时间: 2026年3月13日 21:56测试结果: ✅成功发现的Flag漏洞严重性: 🔴高危攻击复杂度: 🟢低(无需特殊工具或复杂技术)影响: 攻击者可以完全绕过认证系统,访问敏感数据和功能。
2026-03-13 22:20:35
508
原创 OpenClaw自动化渗透测试初试牛刀
像这种简单的,其实是AI自己已经有了相对应的能力,OpenClaw只是调用了这个能力而已,开启浏览器,其实就是所谓的调用了一个MCP,也就是大脑的手。熟手可以用它替代一些简单的工作,作为新手,你甚至可以向AI学习,你要知道AI是很多知识的聚合体和精华,用来学习和入门绰绰有余。
2026-03-10 09:18:33
504
原创 2026年3月10日 好靶场上新
本次上新 3 个靶场,覆盖购物网站信息泄露、趣味 Web 综合、JWT 签名校验漏洞三类考点;购物网站 06 回归账单查询核心目标,考点从短信轰炸转向信息泄露;JWT 788 是纯基础漏洞题,聚焦签名未校验这一高频漏洞;“喵喵喵~~~” 为趣味化 Web 综合关卡,无明确漏洞方向,侧重多考点融合实战。
2026-03-10 09:16:09
255
原创 OpenClaw虽好用,这7个安全注意事项必看
OpenClaw的强大之处在于“能动手干活”,但这份便利的前提是做好安全防护——它就像一把“双刃剑”,用对了是高效助手,用错了可能成为泄露隐私、攻击系统的“突破口”。工信部已明确建议,相关单位和用户需充分核查公网暴露情况、权限配置及凭证管理情况,完善安全机制,持续关注官方安全公告。
2026-03-09 21:04:46
946
原创 2026年3月8日好靶场上新
本次上新 2 个靶场,分别聚焦购物网站短信轰炸漏洞、Python 代码审计 + JWT 漏洞修复;购物网站 04 是该系列第 4 个关卡,核心考点从验证码逻辑转向短信轰炸这类业务层漏洞;代码修复类关卡侧重实战能力,需掌握 JWT 常见漏洞(如无签名验证、密钥泄露、算法绕过等)的修复方法。
2026-03-09 08:27:51
940
原创 好靶场 2026年3月6日上新
本次上新3个靶场,包含1个Web逆向游戏关卡、2个购物网站登录渗透进阶关卡;水果忍者关卡核心是JS逆向+积分逻辑破解,购物网站02/03聚焦验证码生成逻辑漏洞(手机号作为盐、生成规律);购物网站系列关卡均围绕14123456789用户账单查询展开,难度逐级提升(01固定验证码→02手机号为盐→03规律型验证码)。
2026-03-07 09:58:17
602
原创 2026年3月7日 好靶场更新
本次上新 3 个靶场,覆盖 JWT 基础考核、国密算法逆向、WEB + 隐写 + 提权综合实战三大方向;乌托邦・王的实验室 36 是高阶逆向关卡,核心是 PCG 随机数恢复 + 国密 SM2/SM3 底层逻辑解析,且题目降低了逆向难度(保留符号表、缩小爆破范围);Driftingblues5 偏向脑洞型综合实战,JWT 基础知识考核则是纯基础理论 + 应用考核类关卡。
2026-03-07 09:56:00
570
原创 【好靶场】sql注入-宽字节注入
宽字节注入是一种针对使用GBK、GB2312等双字节编码的数据库/应用程序的SQL注入绕过技术。核心是利用字符编码转换的特性来绕过单引号转义。
2026-03-06 21:09:54
188
原创 好靶场—一次APT木马病毒分析 Level-1 wp
简单的流量分析操作得会。这是一道网络安全好靶场的关于木马流量分析的题目:题目描述:东东前阵子收到一个奇怪的请求,这个样本在云沙箱里好“安全”诶~话说这是不是个病毒呢?(*´・д・)?一次APT木马病毒分析,注意不要在本机运行木马,请在虚拟机环境下进行分析。为了降低难度:这里为初学者直接提供pcap包体,但下次可要自己dump了哦~题目地址:http://www.loveli.com.cn/see_bug_one?
2026-03-05 08:26:02
412
原创 好靶场“乌托邦·王”系列靶场全景解析:从Web到硬核密码的进阶之路
剧情化设计降低学习门槛,提高学习兴趣技术深度递进构建完整的学习曲线多领域覆盖培养全面的安全技能真实场景还原衔接理论学习与实战应用系统化的学习路径真实的技术挑战丰富的实战经验持续的能力提升建议学习者按照系列顺序逐步攻克,在解题过程中注重原理理解而非单纯获取Flag,真正掌握每项技术背后的核心思想,从而在真实的网络安全工作中游刃有余。
2026-03-03 15:37:47
562
原创 好靶场-斗罗二进制魂士系列靶场邀请函
趣味化科普,降低学习门槛:以《斗罗大陆》IP 为载体,将枯燥的二进制、进制转换等知识,转化为 “武魂、魂技、试炼” 等具象化形式,摆脱传统知识学习的枯燥感,让学习者主动参与,快速理解核心知识点。沉浸式体验,强化记忆效果:通过场景搭建、剧情对话、交互操作(抽卡、答题、道具使用),打造沉浸式试炼场景,结合 “知识 = 技能” 的设定,让学习者在体验中巩固知识,记忆更深刻。闭环式激励,提升参与粘性。
2026-03-01 10:03:42
296
原创 AI安全靶场全集:从提示词注入到多智能体攻防的实战训练
本文系统介绍了一套AI安全实战靶场训练资源,涵盖从基础到高阶的AI安全攻防技术。内容包括提示词注入入门系列(3个难度递增靶场)、AICrypto系列(7个剧情连贯的进阶挑战)以及AI+WEB复合漏洞靶场。这些资源完整呈现了AI安全攻防的演进过程,包括提示词注入、语言模型对抗、多智能体系统突破等核心技术,并展示了AI作为攻击跳板的复合漏洞利用场景。所有靶场均提供在线挑战链接和详细说明,适合安全从业者和AI开发者通过实战提升AI安全防御能力。
2026-02-28 22:14:22
1010
原创 【好靶场】-【初级靶场】-学前必看知识点-423
靶场链接:http://www.loveli.com.cn/see_bug_one?id=423难度:Level 1学前必看知识点,希望他能成为网络安全的入门第一课。
2025-11-28 13:20:57
334
原创 【好靶场】标准短信验证码渗透测试全集指南
验证码渗透测试的本质,是一场针对“身份确认”这一核心环节的攻防思维演练;本指南系统剖析了验证码在生成、发送、验证全生命周期中的常见漏洞,旨在说明其安全性绝非仅依赖于视觉复杂度,而更取决于整体实现逻辑的严谨性与健壮性;因此,构建有效的防护体系必须超越单个漏洞的修补,转而遵循“永不信任客户端”的核心安全哲学,在服务器端实施严格的校验与状态管理,并辅以频率限制、一次性原则等多层次控制措施,方能将验证码从易攻的“形式主义”转化为可靠的安全壁垒。
2025-09-25 10:09:45
1489
原创 【好靶场逻辑漏洞】个人信息处存在越权
好靶场是一个国内唯一一家以真实SRC报告制作靶场的安全靶场平台。我们可以在好靶场平台上复现漏洞,进行练习。
2025-09-23 14:29:03
1013
原创 【好靶场】PHP代码审计CodeHunter3
好靶场是一个国内唯一一家以真实SRC报告制作靶场的网络安全靶场平台。现在推出了PHP代码审计靶场,快来玩吧。
2025-09-19 10:56:25
420
原创 【好靶场】SQLMap靶场攻防绕过 (一)
最近遇到很多在做基础靶场的小伙伴们都在SQLMap一把索,那么所幸搞一个SQLMap绕过的靶场。我们是好靶场,一个立志于让所有学习安全的同学用上好靶场的团队。
2025-09-10 14:36:18
524
原创 【好靶场】Java代码审计之SQL注入(一)
大家看了这个案列应该就知道一般Java中SQL注入的样子了吧,这里有一个潜在的内容,就是如何快速的在一个项目中发现SQL注入,大家可以进行通篇的查询关键字。我们在他的前后去找执行的SQL语句。从而达到快速发现SQL注入的目的。
2025-09-09 13:54:43
397
原创 【好靶场逻辑漏洞】走进“乌云”教科书书里的漏洞-短信验证码回显
好靶场,一个专门做好用的网络安全靶场的团队作为国内早期极具影响力的漏洞报告平台,乌云(WooYun)曾是无数安全爱好者心中的 “宝藏” 与 “教科书”。它汇聚了海量真实漏洞案例,见证了中国网络安全行业的启蒙与成长,其留下的漏洞研究思路至今仍被后人借鉴。如今,我们可以通过 “好靶场” 这类平台,重温乌云时代那些经典的漏洞场景,本文就从 “短信验证码回显” 这一极具代表性的逻辑漏洞说起。
2025-08-30 19:14:16
821
原创 好靶场功能能力介绍和用户指南
专为提升网络安全攻防能力打造的在线实战演练平台,秉持着 “让所有人都用上好靶场” 的理念,为不同阶段的学习者提供便捷、丰富的实战环境。
2025-08-26 23:35:18
713
原创 【好靶场逻辑漏洞】走进“乌云”教科书书里的漏洞-短信验证码回显
作为国内早期极具影响力的漏洞报告平台,乌云(WooYun)曾是无数安全爱好者心中的 “宝藏” 与 “教科书”。它汇聚了海量真实漏洞案例,见证了中国网络安全行业的启蒙与成长,其留下的漏洞研究思路至今仍被后人借鉴。如今,我们可以通过 “好靶场” 这类平台,重温乌云时代那些经典的漏洞场景,本文就从 “短信验证码回显” 这一极具代表性的逻辑漏洞说起。
2025-08-14 09:06:04
730
ctf本地进制转换工具
2023-07-01
CTF加密解密-CRYPTO-crypto13 的题目
2023-07-01
CTF加密解密-CRYPTO-crypto9 压缩包题目
2023-07-01
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人