从0搭建一个本地CTF靶场
我们平时大部分练习的CTF靶场都是别人的平台的,所以想着自己搭一个来玩玩,用的是CTFd框架,因为网上的教程也比较多,这次搭建也是比较顺利的,记录一下。
前期准备:
- centos7.x系统的虚拟机
- docker 下载
- docker-compose 下载
- git 的下载
- CTFd 下载
- CTFTraining 题库下载
- CTFd 汉化
一、创建虚拟机:
选择镜像(需提前下载)
。。。。。。。。。。。。。
我装的是带桌面的界面 友好点 (菜)
二、docker安装
下载之前更新一下python版本:
<------更新python版本------>wget https://www.python.org/ftp/python/3.9.7/Python-3.9.7.tgz #下载最新版,自行查看tar -xzvf Python-3.9.7.tgz #解压cd Python-3.9.7 #进入解压后的目录mkdir /usr/bin/python3 #创建一个python3目录./configure --prefix=/usr/bin/python3 #指定路径make #编译make install #安装mv /usr/bin/python /usr/bin/python_old2 #重命名旧版本python以免覆盖ln -s /usr/bin/python3/bin/python3 /usr/bin/python #建立新版本软连接python -V #成功修改默认python为Python-3.9.7 <------修改pip3------>vim ~/.bash_profile #修改pip3指定路径里面有一行修改为:PATH=$PATH:$HOME/bin:/usr/bin/python3/binsource ~/.bash_profile #刷新配置即可 <------修改yum------>1.更新yum包
yum update #更新前检查网络是否正常连接2.安装必要的系统工具
yum install -y yum-utils device-mapper-persistent-data lvm23.设置yum源
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo4.查看并选择合适的docker版本
yum list docker-ce --showduplicates | sort -r5.下载docker
yum install docker-ce-17.12.1.ce6.Docker镜像源加速
cd /etcmkir docker #创建docker目录,因为我这里etc目录下没有所以要手动创建vim docker/daemon.json #创建并编辑docker目录下的daemon.json文件#编辑内容为:{"registry-mirrors": ["https://docker.mirrors.ustc.edu.cn"]}systemctl restart docker.service #重启docker生效三、docker-compose安装
1.选择安装最新的docker-compose版本
curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose2.设置docker-compose执行权限
chmod +x /usr/local/bin/docker-compose四、git配置和安装
1.查看git版本
git --version #查看当前版本,通常默认是1.8.3,但是太老了2.卸载旧版本git
yum remove git3.安装最新版git
wget https://github.com/git/git/archive/v2.33.0.tar.gz #可以先自行去看看最新版本是多少4.进入解压后的git安装目录
cd git-2.33.05.编译
make prefix=/usr/bin/git all #编译正常可以跳过下面报错处理PS:在使用命令 make 重新编译 Git 的某些源文件时,你可能会遇到以下这些错误:
错误 1 - FATAL ERROR: OPENSSL/SSL.H: NO SUCH FILE OR DIRECTORY
这是缺少openssl-devel导致的,执行命令yum install --assumeyes openssl-devel安装即可。
错误 2 - FATAL ERROR: CURL/CURL.H: NO SUCH FILE OR DIRECTORY
这是缺少curl-devel导致的,执行命令yum install --assumeyes curl-devel安装即可。
错误 3 - FATAL ERROR: EXPAT.H: NO SUCH FILE OR DIRECTORY
这是缺少expat-devel导致的,执行命令yum install --assumeyes expat-devel安装即可。
6.编译成功,安装Git至/usr/bin/git路径
make prefix=/usr/bin/git install7.编辑环境变量配置
vim /etc/profile8.profile文件末尾追加
export PATH=$PATH:/usr/bin/git/bin9.刷新配置
source /etc/profile10.查看git版本
git --version #修改成功五、CTFd下载和部署
**CTFd 是一款基于 flask 的 CTF 靶场框架,主要包含了用户界面部分和管理员界面部分。项目地址:**https://github.com/CTFd/CTFd
1.下载CTFd
git clone https://github.com/CTFd/CTFd.git2.进入目录使用docker-compose 启动项目
cd CTFddocker-compose up -d3.等待他安装完(可能时间有点久耐心等待一下)依赖启动之后,访问 http://127.0.0.1 (ip 改成自己的服务器地址)出现类似下面这个界面,然后填写一些基本信息,一直Next…
六、下载部署CTFd题目
github 上有许多 CTF 题库的开源仓库,但有些整理的未必好,为了遵守容易部署的原则,我选择了 CTFTraining:https://github.com/CTFTraining/CTFTraining 其题库较为详细,并且目录结构清晰,关键是都是通过 docker 编排,完全契合我的环境。
1.下载 CTFTraining 中的题库,这里要注意 CTFTraining 整个项目较大,题目建议一个个下,有选择性的拉取,下面以拉取第一个题目为例
mkdir CTFTrainingcd CTFTraininggit clone https://github.com/CTFTraining/0ctf_2016_unserialize.git2.修改 docker-compose.yml 文件
cd 0ctf_2016_unserializevim docker-compose.yml# 0ctf_2016_unserializeversion: "2"services: web: build: . image: ctftraining/0ctf_2016_unserialize environment: - FLAG=flag{test_flag} restart: always ports: - "127.0.0.1:8302:80"此处需要修改两个地方:一个是 flag 的值,写一个自己喜欢的字符串即可,另一个地方是下面的地址和端口号,地址改为 0.0.0.0 端口号选一个未被占用的即可。因为0.0.0.0可以给本地局域网机器访问。
3.启动该题目
docker-compose up -d4.访问和配置 CTFd 的 Challenge访问 htto://127.0.0.1:8302 (此处改成自己的 ip 和端口号),成功能显示页面即可。进入刚刚搭建好的 CTFd 中 Admin->Challenges,添加一个新的挑战,类型选 standard,填写好题目名字、内容和分值等。
七、汉化CTFd
1.下载汉化包
git clone https://github.com/Gu-f/CTFd_chinese_CN.git2.替换themes
将CTFd/CTFd/themes的themes文件删除,再移动汉化版本thems到CTFd/CTFd/目录下即可。
3.替换好的效果如下:
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
