推荐渗透测试中新手必练的10个靶场！

渗透测试是网络安全领域的重要技能之一，相信很多小伙伴们在学习渗透测试的时候，不知道如何开始，以下是为新手推荐的10个靶场，这些靶场可以帮助新手练习和提高渗透测试技能!

1、DVWA（Damn Vulnerable Web Application）

DVWA是一个非常受欢迎的开源Web应用安全靶场，属于安全入门必刷的靶场，采用PHP+MySQL 编写的，包含多种常见的安全漏洞。如暴力破解、命令行注入、跨站请求伪造等，涵盖了OWASP TOP10的所有攻击漏洞。提供低、中、高等级的循序渐进渗透测试学习环境，非常适合新手逐步提升技能。

项目链接：

http://www.dvwa.co.uk 

项目源码：

https://github.com/digininja/DVWA

在线靶场：

https://dvwa.bachang.org/

2、Webgoat

WebGoat是一个由OWASP组织开发的Web应用程序安全漏洞实验平台，用于演示和教授Web应用中的典型安全漏洞。

在线靶场：

https://webgoat-server.bachang.org/WebGoat/login

3、Try Hack Me

Try Hack Me是一个在线渗透测试平台，提供丰富的靶场和实战环境，帮助用户学习网络安全技能、提升渗透测试能力。通过模拟黑客攻击场景，用户可以在安全的环境中实践各种黑客技术和漏洞利用方法，帮助用户学习网络安全技能并提升渗透测试能力，适合不同技能水平的用户。

官网：

https://tryhackme.com/

4、Pikachu

Pikachu是一款集成了多种Web安全漏洞的练习平台,类似于 DVWA 的靶场，带有常见的 Web 安全漏洞，且是中文界面，适合新手进行基础的Web安全漏洞练习。

项目源码：

https://github.com/zhuifengshaonianhanlu/pikachu

在线靶场：

https://pikachu.bachang.org/

5、Vulnstack

红日旗下的一个开源靶场平台，模拟国内企业环境。涵盖CMS、漏洞管理、域管理等；以ATT&CK红队评估模式为设计思路；提供全方位的攻防训练体验。提供全方位的攻防训练体验，从环境搭建到漏洞利用、内网搜集、持久控制等。

地址:

http://vulnstack.qiyuanxuetang.net/vuln/
http://vulnstack.qiyuanxuetang.net/

6、Vulhub

一个基于 Docker 和 Docker-compose 的漏洞环境集合，只需进入对应目录并执行一条语句即可启动全新的漏洞环境，方便漏洞复现，让安全研究者更专注于漏洞原理本身。

官网地址：

https://vulhub.org/

项目地址：

https://github.com/vulhub/vulhub 

7、Upload-labs

Upload-Labs专注于文件上传漏洞的靶场，可用于测试各种文件上传相关的漏洞。适合新手针对文件上传漏洞进行专项练习。

地址：https://github.com/c0ny1/upload-labs

8、XSS-labs

专注于跨站脚本（XSS）漏洞的靶场。提供多种XSS漏洞的练习环境，包括反射型、存储型和DOM型XSS等。适合新手针对XSS漏洞进行深入练习和理解。

地址：https://github.com/do0dl3/xss-labs

9、SQLi-labs

专注于 SQL 注入漏洞的靶场，包含了大多数的 SQL 注入类型，以闯关模式进行漏洞利用练习。安装复杂度与 DVWA 类似，比较简单。适合新手针对SQL注入漏洞进行系统性的学习和实践。

地址：https://sqli-labs.bachang.org/ 或 https://github.com/Audi-1/sqli-labs

10、Hack The Box

一个国外的网络安全在线靶场，靶场被细分成若干种类，涵盖Web、病毒分析、密码学、逆向工程等领域；每个类别下都有从基础到高阶的多个挑战项目，适合不同技能水平的用户。拥有从基础到高阶的多个挑战项目，确保不同技能水平的用户都能找到匹配的挑战进行尝试。

地址：https://www.hackthebox.com/

最后给大家再补充两个：

• Mutillidae是一个免费开源的 Web 应用程序，提供专门被允许的安全测试和入侵的环境，包含丰富的渗透测试项目，如 SQL 注入、跨站脚本、Clickjacking、本地文件包含、远程代码执行等。项目链接：http://sourceforge.net/projects/mutillidae
• Metasploitable：一个著名的渗透框架，是一个打包好的操作系统虚拟机镜像，使用 VMware 的格式。可以使用 VMware 运行。项目链接：https://github.com/rapid7/metasploitable3

这些靶场各有特色，涵盖了从基础到进阶的多种渗透测试场景。新手可以根据自己的需求和兴趣选择合适的靶场进行练习，以逐步提升自己的渗透测试能力。

在进行渗透测试练习时，请确保遵守法律和道德规范，仅在合法授权的环境中进行测试，不得用于非法目的。同时，靶场练习只是学习渗透测试的一部分，还需要结合理论知识的学习、实际案例的分析以及参与安全社区的交流来不断提升自己的技能和经验。

如果觉得有用，就请关注、点赞、在看、分享到朋友圈吧！