网络安全小白推荐靶场（非常详细）零基础入门到精通，收藏这一篇就够了

最新推荐文章于 2024-09-10 11:32:59 发布

leah126

最新推荐文章于 2024-09-10 11:32:59 发布

阅读量1.7k

点赞数 26

分类专栏：程序员编程渗透测试文章标签： web安全网络安全

本文链接：https://blog.csdn.net/leah126/article/details/140599141

版权

程序员同时被 3 个专栏收录

877 篇文章 143 订阅

订阅专栏

渗透测试

778 篇文章 30 订阅

订阅专栏

编程

455 篇文章 0 订阅

订阅专栏

！！！谨记：在使用网络安全靶场时，务必牢记并严格遵守所有相关的法律法规和道德规范。这些靶场是为了提升网络安全技能而设计的合法工具，绝不应被用于任何非法活动或侵犯他人权益的行为。请确保您的使用行为始终合法合规，尊重他人的权益，共同维护网络安全领域的健康发展。

对于网络安全的小白来说，选择合适的靶场进行实践和学习是至关重要的。以下是几个推荐的网络安全小白靶场：

DVWA（Damn Vulnerable Web Application）

DVWA（Damn Vulnerable Web Application）是一个专为安全专业人员、开发人员和学生设计的网络安全靶场，因其包含多种常见的Web安全漏洞而备受欢迎。它允许用户在一个安全可控的环境中学习和实践如何识别、利用和防御这些漏洞。

DVWA通过模拟一个典型的Web应用程序，展示了各种常见的安全漏洞，如SQL注入、跨站脚本攻击（XSS）、文件上传漏洞、命令注入等。每个漏洞都设有不同的难度级别，从初级到高级，为新手和有经验的用户提供了丰富的学习和实践机会。

DVWA，小白可以学到啥：

1.学习漏洞原理：通过查看每个漏洞的源代码和文档，了解漏洞是如何产生的，以及它们如何被攻击者利用。

2.实践漏洞利用：在受控的环境中尝试利用这些漏洞，观察攻击的效果，并学习如何构造有效的攻击载荷。

3.防御漏洞攻击：学习如何配置和编写安全的代码，以防范这些漏洞。通过修改应用程序的配置或代码，观察防御措施的效果。

4.提升安全技能：通过不断的实践和挑战，提高自己在网络安全领域的技能水平，为未来的职业生涯做好准备。

对于刚开始学习网络安全的新手来说，DVWA简直就是一个完美的“入门导师”。它就像一个安全的“试验场”，让你在不会造成真正破坏的情况下，尝试和学习各种网络安全技能。你可以在这里亲手操作，看看漏洞是怎么被利用的，再试着去修复它们。这样一来，你的网络安全意识会一点点增强，技能也会越来越棒。所以，如果你想为将来的网络安全工作打好基础，DVWA绝对是你不可错过的“第一课”！

搭建环境

DVWA是一个故意设计有安全漏洞的Web应用程序，主要用于安全教育和渗透测试训练。下面是一个DVWA环境搭建的基本步骤：

1.下载和安装phpStudy

phpStudy是一款集成了Apache、PHP、MySQL、phpMyAdmin及ZendOptimizer的便捷PHP开发环境包。您可以从phpStudy的官方渠道下载并轻松安装它。安装过程完成后，确保启动Apache和MySQL服务，以便为后续的DVWA环境搭建提供必要的支持。这样，您就可以开始配置和使用DVWA了。

phpstudy下载链接

2.下载DVWA

访问DVWA的官方网站，下载最新的DVWA压缩包。

下载链接：dvwa

3.安装DVWA

下载完DVWA压缩包后，需要将压缩包进行解压操作，随后将解压出来的文件夹移动到phpStudy的WWW目录下。文件夹的名称可以根据您的个人喜好进行更改，但请务必确保路径正确无误，以便正确配置和访问DVWA。一般文件命名为dvwa，方便后续访问。

4.配置DVWA

打开浏览器，输入http://127.0.0.1/你的DVWA文件夹名进入DVWA的配置安装界面，如果访问不到加上dvwa安装路径。根据提示进行配置，包括数据库连接等。

5.更改配置信息

在DVWA文件夹中找到config文件夹，复制config.inc.php.dist文件并粘贴，将副本名修改为config.inc.php。用记事本打开config.inc.php文件，将user和password后的dvwa改为dvwa（mysql账号密码以及数据库地址保持一致即可，不一定是dvwa），并保存。

6.重启服务

重启phpStudy的Apache和MySQL服务，使配置生效。

7.验证安装

再次打开浏览器，输入http://127.0.0.1/你的DVWA文件夹名，如果能够成功访问DVWA的主页面，则表示DVWA环境搭建成功。

在搭建DVWA环境的过程中，请务必确保您的系统已安装所有必需的软件和依赖项，并严格按照正确的步骤执行操作。同时，出于安全考虑，建议您在环境搭建完成后，立即修改默认的数据库密码和其他安全设置，以增强系统的安全性。

完成DVWA环境的搭建后，你可以开始使用它进行各种安全漏洞的练习和测试，以提高你的网络安全技能和意识。

Wargames

对于网络安全小白来说，Wargames 简直就像是一本精彩纷呈的网络安全百科全书！它里面包含了各种各样的挑战，让你在玩耍的过程中，就能轻松理解那些复杂难懂的网络安全概念，还能真正运用起来。

想象一下，你就像是一个探险家，在Wargames这个巨大的迷宫中不断探索。每解开一个谜题，每通过一个关卡，你都会对网络安全的奥秘有更深的了解。你不仅会学到如何防御黑客的攻击，还会知道如何像一个真正的黑客那样思考问题，找出系统的弱点。

而且，Wargames不仅仅是一个学习的平台，更是一个让你实践技能的好地方。在这里，你可以尽情尝试各种网络安全技术，不用担心会造成什么后果。通过不断的实践，你的技能会变得越来越强，信心也会越来越足。

所以，如果你对网络安全感兴趣，想要深入了解这个神秘又有趣的领域，那么千万不要错过Wargames这个百科全书般的挑战平台！它一定会让你大开眼界，收获满满！

环境搭建

要搭建node-wargames，你首先需要确保已经安装了Docker这个强大的容器化工具。接下来，就按照下面这些简单的步骤来操作吧：

1.启动Docker

首先，找到你电脑或服务器上安装的Docker应用图标，点击它打开。打开后，你会看到一个界面告诉你Docker是否正在运行。如果它已经在运行了，那就万事大吉；如果还没运行，就按照界面上的提示或者按钮，让它开始工作。这样，你就成功启动了Docker，为接下来的操作做好了准备。

2.获取node-wargames

使用node-wargames，首先需要找到它的“家”— 官方仓库或GitHub页面。这些地方就像是一本“使用说明书”，告诉你如何安装和部署node-wargames。一般来说，你可以通过“复制”这个仓库的全部内容（这叫做克隆仓库），或者直接“下载”一个已经准备好的镜像文件，来轻松获取node-wargames。这样，你就迈出了使用它的第一步。

克隆到本地

git clone https://gitcode.com/mape/node-wargames.git  
cd node-wargames

3.配置环境

按照node-wargames的安装手册，你需要把Docker环境给调整好。这可能包括设置一些特定的参数，就像是给电脑设置快捷键一样；还有可能需要把某些重要的文件或文件夹“连接”到Docker里，这样Docker就能用到它们了。这样一来，你的Docker环境就配置好了，可以开始使用node-wargames了。

4.运行Docker容器

要使用Docker来运行node-wargames，你可以按照Docker的命令指示来做。简单来说，你就像是告诉Docker：“我要运行一个名为node-wargames的容器，并且我要用某个特定的镜像来创建它。”同时，你还得告诉Docker怎么把你的电脑或服务器的端口和容器里的端口连起来，这样你就可以通过电脑或服务器来访问node-wargames了。这样，Docker就会按照你的要求来运行node-wargames的容器。

运行命令

docker-compose up -d

5.访问node-wargames

一旦容器运行起来，你就可以通过浏览器或其他工具来访问node-wargames的界面了。

Web 界面默认地址：http://localhost:8080

按照提示，你现在就可以开始接受各种网络安全任务的挑战了！通过这些任务，你可以不断锻炼自己的技能，变得更加强大。

Pikachu

Pikachu作为一个专门用于测试Web安全漏洞的平台，其最显著的特点便是其贴心的中文界面设计。这一特性对于初学者或是习惯使用中文的用户而言，无疑为他们提供了一个更为亲切、易于理解的学习和操作环境。在Pikachu的助力下，用户可以轻松触及并探究多种常见的Web安全漏洞，并通过真实的案例演练，深化对漏洞利用与防御策略的理解与学习。这种实战式的学习方式，使得用户在掌握理论知识的同时，也能积累宝贵的实践经验。

Pikachu在设计上真正做到了以人为本，其界面设计直观且操作简便，让用户感到既亲切又容易上手。即使是对网络安全知识了解不多的新手，也能通过简单的步骤迅速熟悉并开始使用。因此，Pikachu无疑成为了一款新手学习Web安全漏洞测试的得力助手，让他们在轻松愉快的氛围中掌握技能。

更重要的是，Pikachu不仅提供了漏洞测试的环境，还附带了详细的解释和教程。用户在进行测试的同时，可以查阅相关的资料，了解漏洞的原理、攻击方式以及防范措施。这种边学边做的学习方式，能够让用户更快地掌握Web安全的核心知识。

除此之外，Pikachu还注重内容的时效性和前沿性，定期更新其漏洞库和实战案例，确保用户能够及时了解并应对不断演变的网络安全威胁。这使得用户在使用Pikachu的过程中，不仅能够学习到经典的安全漏洞和攻击方式，还能掌握最新的安全技术和防御手段，保持对网络安全领域的敏锐感知和深入洞察。

总体来说，Pikachu不仅功能全面且操作简便，更是一款出色的Web安全漏洞测试平台。它不仅助力用户增强Web安全技能，也为网络安全领域的发展添砖加瓦。无论是初涉网络安全的新手还是经验丰富的从业者，都能通过Pikachu获得宝贵的实践经验和知识，从而不断提升自身的专业素养。

环境搭建

Pikachu 靶场搭建的详细步骤可以按照您所描述的进行，下面我将为您更详细地解释每一步的操作：

1.安装phpstudy phpstudy 是一个集成了 PHP、Web 服务器（如 Apache 或 Nginx）、数据库（如 MySQL）等开发工具的软件包，非常适合用于快速搭建本地开发环境。您可以从官方网站或可信的下载源获取 phpstudy 安装包，并按照安装向导进行安装。

phpstudy下载链接

2.启动 PHPStudy 安装完成后，打开 phpstudy，您会看到各种服务选项，如 PHP、Web 服务器、数据库等。确保您启动了所需的 PHP 版本和 Web 服务器（如 Apache）。如果还需要使用数据库，也请确保数据库服务已经启动。

3.初始化 Pikachu 靶场 假设您已经将 Pikachu 靶场的文件放置在 Web 服务器的根目录下（通常是 WWW 或 htdocs 文件夹）。现在，您需要初始化这个靶场。

打开您的浏览器，输入 127.0.0.1（这是本地回环地址，指向您自己的计算机）尝试访问 Pikachu 的默认页面。通常，默认的访问页面是 index.php。
然而，因为我们现在需要初始化靶场，所以需要将 URL 中的 index.php 改为 install.php。完整的 URL 将是 127.0.0.1/install.php。
在浏览器中回车访问该 URL，您应该能够看到 Pikachu 的安装/初始化页面。
点击页面上的“安装/初始化”按钮（或类似的按钮），系统将执行初始化操作，这通常包括创建必要的数据库表、设置初始权限等。

倘若初始化流程得以圆满完成，您将收到一条令人欣慰的成功提示。此刻，意味着您的Pikachu靶场已经顺利搭建，您可以通过访问地址127.0.0.1/index.php来浏览其主页面。接下来，您便可以开启对各类安全漏洞的测试和学习之旅，以深化您的网络安全知识与实践技能。

请注意，为了确保安全，通常不建议在生产环境中运行安全测试靶场。确保只在安全的、隔离的环境中运行 Pikachu 的测试平台。同时，务必遵守相关法律法规和道德准则，不要对未经授权的系统进行安全测试。

XSS弹窗闯关挑战

这个挑战由13个精心设计的关卡组成，每个关卡都聚焦于跨站脚本攻击（XSS）的不同方面。参与者需要逐一攻破这些关卡，以此深入理解XSS的运作机制和潜在风险。为了让学习过程更加直观和有效，每个关卡都配备了详细的源代码展示，帮助参与者透视每个攻击场景的内部逻辑。通过这一系列富有挑战性的关卡，参与者不仅能够掌握XSS的核心知识，还能在实际操作中提升自己的网络安全防护能力。

在线链接

SQL注入专项练习

SQL注入攻击的实践练习，对于提升网络安全防护能力至关重要。SQL注入是一种常见的网络攻击手段，攻击者通过在应用程序的输入字段中插入恶意的SQL代码，从而实现对数据库的非法访问和操作。为了帮助新手更好地学习如何识别、防范和利用SQL注入漏洞，此靶场可以提供多种场景和挑战。

此靶场设计一些模拟的Web应用程序，这些应用程序故意包含SQL注入漏洞。新手可以通过在这些应用程序上进行实践，了解SQL注入攻击的基本原理和攻击方式。通过实际操作，他们可以观察到攻击者如何利用输入字段中的恶意代码，绕过应用程序的安全验证，直接对数据库进行查询、修改或删除操作。

其次，还有不同难度的挑战任务，让新手在实践中逐渐提升技能。这些挑战任务可以包括不同的应用场景，如登录验证、用户信息查询、订单处理等。在每个任务中，新手需要分析应用程序的输入验证机制，找到可能存在的SQL注入漏洞，并构造恶意的SQL语句进行攻击。

通过不断的实践和挑战，新手可以逐渐掌握识别SQL注入漏洞的技巧和方法，并了解如何有效地防范这种攻击。开发人员可以学习到如何对应用程序的输入进行严格的验证和过滤，避免恶意代码的插入；如何设置数据库访问权限，限制对敏感数据的访问；以及如何及时更新和修补应用程序中的安全漏洞，防止被攻击者利用。

环境搭建

sqli-labs环境搭建是网络安全学习和实践SQL注入攻击的重要步骤。通过搭建sqli-labs环境，你可以深入了解SQL注入的原理、方法和防范措施，提升自己在网络安全领域的技能。

在安装Web服务器软件时，你需要确保选择了适合的版本，并配置好PHP环境。对于sqli-labs而言，PHP版本的选择尤为关键。PHP5以上版本才包含information_schema库，这是进行SQL注入攻击时常用的一个系统数据库。而在PHP7之后，mysql_函数被改为了mysqli_函数，这意味着如果使用其他版本的PHP，可能会遇到兼容性问题或代码错误。

一旦Web服务器和PHP环境配置好，你可以从官方网站或GitHub上下载sqli-labs的源代码。将下载的文件解压缩到Web服务器的根目录下，这样你的Web服务器就能访问并运行sqli-labs平台了。

接下来，你需要配置sqli-labs的初始化文件。这通常涉及到编辑sql-connections目录下的db-creds.inc文件。在这个文件中，你需要将默认的数据库用户名和密码替换为你自己的数据库配置信息。这是为了确保sqli-labs平台能够正确连接到你的数据库环境。

完成以上步骤后，你可以启动Web服务器和数据库环境。如果你使用的是集成开发环境（IDE）如PHPstudy，那么只需启动PHPstudy并开启相应的服务即可。

最后，通过浏览器访问http://localhost/sqli-labs/或http://127.0.0.1/sqli-labs/，你将看到sqli-labs平台的主页。在这里，你可以开始你的SQL注入学习和实践之旅。sqli-labs平台提供了丰富的场景和挑战，包括基本SQL注入、高级SQL注入、SQL堆叠注入等多个部分，每个部分都包含多个SQL注入漏洞供你实践。

完成搭建后，你便可以在一个安全可控的环境中进行SQL注入的学习和测试。但在进行任何学习或测试之前，务必确保你的sqli-labs环境是隔离的，不会对外部网络造成潜在威胁，因此，你应该在本地计算机或安全的内部网络中进行搭建，而不是在公共或生产环境中。要及时修改默认的数据库密码和其他安全设置，并考虑使用其他安全增强措施，如访问控制列表（ACL）或防火墙规则。

此外，你必须遵守法律法规和道德准则。SQL注入是一种非法行为，如果用于攻击未经授权的系统，将构成犯罪行为。因此，你只能在授权和合法的环境下进行学习和实践。所以，你只能在你自己拥有或经过明确授权的系统中进行SQL注入测试。

强调一点，sqli-labs环境主要用于学习和研究目的，而不是用于实际的攻击行为。通过学习和实践，你可以了解SQL注入的原理、方法和防范措施，从而增强自己在网络安全领域的技能和意识。