wiki_GeekStudy.md

安全相关资源列表

• https://arxiv.org //康奈尔大学（Cornell University）开放文档
• https://github.com/sindresorhus/awesome //awesome系列
• http://www.owasp.org.cn/owasp-project/owasp-things //OWASP项目
• https://github.com/SecWiki/sec-chart //安全思维导图集合。G：Mayter/sec-charts;--
• https://github.com/Ascotbe/Osmographic-brain-mapping //安全思维脑图。ctf/web/二进制/ai/区块链/业务/主机/社工/移动/无线/运维/风控
• https://github.com/tom0li/collection-document //安全部/攻防/内网/Web/apt/漏洞预警/开发/Bug Bounty/SDL/SRC
• https://github.com/secure-data-analysis-data-sharing/data-analysis //资料分为安全态势、攻防对抗、数据分析、威胁情报、应急响应、物联网安全、企业安全建设、其他书籍八部分
• https://github.com/hongriSec/AI-Machine-Learning-Security //机器学习算法、AI模型、渗透测试工具
• https://github.com/bt3gl/Pentesting-Toolkit //CTF、逆向、移动端、网络安全、web安全、工具使用。welljob。
• http://paper.tidesec.com/ //免杀bypass、红蓝ctf、ics、iot、移动、应急响应、代码审计、工具设计

安全基础科普培训

• https://book.yunzhan365.com/umta/rtnp/mobile/index.html //网络安全科普小册子
• http://sec.cuc.edu.cn/huangwei/textbook/ns/ //网络安全电子版教材。中传信安课程网站
• https://ilearningx.huawei.com/portal/#/portal/EBG/26 //华为e学云。安全科普
• https://keenlab.tencent.com/zh/index.html //腾讯科恩实验室
• https://github.com/ym2011/SecurityManagement //分享安全管理体系、ISO27001、等级保护、安全评审的经验。
• https://space.bilibili.com/37422870 //安全入门视频
• https://space.bilibili.com/406898187/channel/detail?cid=85655 //安全帮内网高级加固课程
• https://github.com/tiancode/learn-hacking //入门网络安全。G:/Bypass007/Learn-security-from-0;--
• https://null-byte.wonderhowto.com //msf/fb/wifi/pass/取证/social/信息收集
• https://github.com/knownsec/RD_Checklist //知道创宇技能列表
• https://github.com/ChrisLinn/greyhame-2017 //灰袍技能书2017版本

安全大会资料

• https://www.hackinn.com/search/?keyword= //资料站。W:srxh1314.com/;W:infocon.org/;W:vipread.com/;--
• http://www.irongeek.com/i.php?page=security/hackingillustrated //国内外安全大会相关视频与文档
• https://github.com/knownsec/KCon //KCon大会文章PPT。P:/blackhat黑帽大会;--

使用手册指南

• https://www.cnblogs.com/backlion/p/10616308.html //Coablt strike官方教程中文译版本
• https://github.com/aleenzz/Cobalt_Strike_wiki //Cobalt Strike系列 教程使用
• http://www.hackingarticles.in/comprehensive-guide-on-hydra-a-brute-forcing-tool/ //hydra使用手册
• https://www.gitbook.com/book/t0data/burpsuite/details //burpsuite实战指南
• https://zhuanlan.zhihu.com/p/26618074 //Nmap扩展脚本使用方法
• https://github.com/hardenedlinux/linux-exploit-development-tutorial //Linux exploit 开发入门
• https://wizardforcel.gitbooks.io/asani/content //浅入浅出Android安全 中文版
• https://wizardforcel.gitbooks.io/lpad/content //Android 渗透测试学习手册 中文版
• https://github.com/hookmaster/frida-all-in-one/ //《FRIDA操作手册》

Offensive Security全家桶

• https://wizardforcel.gitbooks.io/kali-linux-web-pentest-cookbook/content/ //Kali Linux Web渗透测试秘籍 中文版
• https://www.offensive-security.com/metasploit-unleashed/ //kali出的metasploit指导笔记。
• https://github.com/timip/OSEE //oscp二进制漏洞挖掘

OSCP渗透测试

• https://github.com/anandkumar11u/OSCP-60days //OSCP All Tools
• https://github.com/neal1991/OSCP_learing //oscp learning。tools、command
• https://github.com/foobarto/redteam-notebook //OSCP-EXAM 红队标准渗透测试流程+常用命令
• https://github.com/gajos112/OSCP //OSCP-EXAM
• https://github.com/RustyShackleford221/OSCP-Prep //OSCP-EXAM
• https://github.com/lsh4ck/oscp //oscp历程。lshack.cn备战
• https://0xdarkvortex.dev/index.php/2018/04/17/31-days-of-oscp-experience/ //31 days of OSCP Experience

OSCE二进制漏洞

• https://www.freebuf.com/news/206041.html //中文首发丨OSCE（Offensive Security Certified Expert）考证全攻略
• https://github.com/ihack4falafel/OSCE //
• https://github.com/dhn/OSCE //
• https://github.com/73696e65/windows-exploits //

攻防资源学习

• https://attack.mitre.org //mitre科技机构对攻击技术的总结wiki，攻击矩阵模型。
• https://github.com/infosecn1nja/awesome-mitre-attack //Mitre ATT&CK™框架资源收集。Web:huntingday.github.io //MITRE | ATT&CK-CN 中文站;G:/lengjibo/ATT-CK-CN //attck实操实验记录;W:vulhub.org.cn/attack //清华林妙倩 att ck汉化;G:/NomadCN112/Chinese-translation-ATT-CK-framework;--
• https://github.com/Micropoor/Micro8 //Microporor高级攻防100课。goodjob。PHP安全新闻早8点课程
• https://github.com/meitar/awesome-cybersecurity-blueteam // A curated collection of awesome resources, tools, and other shiny things for cybersecurity blue teams.
• https://bitvijays.github.io //infosec知识总结。goodjob。
• https://github.com/Mel0day/RedTeam-BCS //BCS（北京网络安全大会）2019 红队行动会议重点内容，详细步骤。goodjob。
• https://github.com/Snowming04/The-Hacker-Playbook-3-Translation //[译] 渗透测试实战第三版(红队版)The Hacker Playbook 3
• https://github.com/OWASP/OWASP-Testing-Guide-v5 //OWASP 发布的渗透测试指南文档
• https://github.com/jeansgit/RedTeam //RedTeam资料收集整理。红蓝对抗资料分享，红蓝对抗相关图片，内网安全渗透总结
• https://github.com/yeyintminthuhtut/Awesome-Red-Teaming //优秀红队资源列表
• https://github.com/Kinimiwar/Penetration-Testing //渗透测试方向优秀资源收集
• https://github.com/jshaw87/Cheatsheets //渗透测试/安全秘籍/笔记
• http://www.pentest-standard.org/index.php/Pre-engagement //渗透测试标准-渗透项目实施前的互动。项目实施前
• https://github.com/r35tart/Penetration_Testing_Case //攻防测试案例

学习社工综合利用

• https://www.freebuf.com/articles/102500.html //黑客讲述渗透Hacking Team全过程（详细解说）
• https://github.com/myselfexplorer/hackingLibrary //社工大佬的笔记手册
• https://payloads.online/archivers/2019-05-21/1 //鱼叉攻击-尝试。qingxuan
• https://github.com/shegongbook/shegonganli //社工案例

学习Web漏洞攻防

• https://portswigger.net/web-security //burpsuite官方web安全材料与实验室。testjob。
• https://github.com/irsdl/top10webseclist/ //十大网络黑客技术列表
• https://wizardforcel.gitbooks.io/web-hacking-101/content //Web Hacking 101 中文版
• https://websec.readthedocs.io/zh/latest/ //Web安全学习笔记
• https://techvomit.net/web-application-penetration-testing-notes/ //web渗透测试笔记
• https://github.com/qazbnm456/awesome-web-security //Web安全资料和资源列表
• https://www.lynda.com/JavaScript-tutorials/What-server-side-JavaScript-injection-SSJI/797717/5025838-4.html //SSJI服务的JavaScript注入
• https://www.imperva.com/blog/nosql-ssji-authentication-bypass/ //Imperva WAF墙公司关于，SSJI服务的JavaScript注入

学习内网安全后渗透

• https://attack.mitre.org/wiki/Lateral_Movement //mitre机构对横向移动的总结
• https://github.com/l3m0n/pentest_study //从零开始内网渗透学习。G:/Ridter/Intranet_Penetration_Tips;-
• https://github.com/uknowsec/Active-Directory-Pentest-Notes //个人域渗透学习笔记，配合域环境搭建。goodjob。
• https://klionsec.github.io/2016/08/10/ntlm-kerberos/ //深刻理解windows安全认证机制 [ntlm & Kerberos]。W:彻底理解Windows认证 - 议题解读;公众号：域渗透 | Kerberos攻击速查表;P:/Kerberos的白银票据详解/Kerberos的黄金票据详解;
• https://daiker.gitbook.io/windows-protocol //内网域基础协议分析系列文章。本系列文章将针对内网渗透的常见协议Windows凭证利用(如kerbeos,ntlm,smb,ldap等)进行协议分析，相关漏洞分析以及漏洞工具分析利用。
• https://github.com/infosecn1nja/AD-Attack-Defense //AD活动目录攻击链与防御
• https://github.com/nccgroup //国外安全咨询团队，burp插件的编写、内网利用工具、app安全工具
• https://adsecurity.org //Active Directory安全攻防。goodjob。
• https://3gstudent.github.io //AD域渗透/DNS/可信目录/横向移动。G:/klionsec.github.io;--
• https://www.anquanke.com/post/id/87976 //Powershell攻击指南黑客后渗透之道系列——基础篇\进阶利用\实战篇。

CTF相关(Capture The Flag)

• https://ctftime.org //CTF排名比赛介绍
• https://github.com/apsdehal/awesome-ctf //frameworks, libraries, resources, softwares and tutorials。
• https://ctf-wiki.github.io/ctf-wiki/ //CTFwiki，Misc/Crypto/Web/Assembly/Executable/Reverse/Pwn/Android/ICS。
• https://firmianay.gitbooks.io/ctf-all-in-one //CTF-All-In-One 《CTF 竞赛入门指南》。西电信安协会
• https://www.butian.net/School //补天培训。CTF/攻防/硬件/社工/开发/代码审计。goodjob。G:/imsebao/Code-Audit //代码审计;--
• https://github.com/Hacker0x01/hacker101 //Ruby。hacker one联名的Web攻防教学，有ctf靶场和视频。10K

WriteUps解题思路

• 公众号：VulnHub通关日记-DC_ //vulnhub write up系列
• https://github.com/susers/Writeups //国内玩各大CTF赛题及writeup整理。Github:/hongriSec/CTF-Training;Github:/balsn/ctf_writeup;--
• https://github.com/balsn/ctf_writeup //CTF writeups from Balsn
• https://github.com/manoelt/50M_CTF_Writeup //$50 million CTF Writeup

CTF靶场平台

• https://github.com/facebook/fbctf //HACK,PHP。CTF比赛平台搭建。
• https://github.com/CTFd/CTFd //py2。基于flask的动态Capture The Flag framework
• https://github.com/zhl2008/awd-platform //AWD攻防比赛平台。
• https://github.com/wuhan005/Asteroid/ //C#。CTF AWD 实时 3D 攻击大屏
• https://github.com/vidar-team/Cardinal/ //Go。CTF⛳️ AWD (Attack with Defense) 线下赛平台
• https://github.com/gabemarshall/microctfs //SHELL,JS。小型ctf镜像docker
• https://github.com/giantbranch/pwn_deploy_chroot //Py。部署多个pwn题到一个docker容器中
• https://github.com/PELock/CrackMeZ3S-CTF-CrackMe-Tutorial //C++。为CTF比赛编写CrackMe软件。
• https://github.com/m0xiaoxi/AWD_CTF_Platform //CTF-AWD 训练平台

CTF命令脚本

• https://github.com/adon90/pentest_compilation //ctf比赛与OSCP考试中常见的知识点和命令
• https://edwardchoijc.github.io/CTF线下AWD经验总结.html/ //CTF攻防AWD经验总结
• https://github.com/NEALWE/AWD_FrameWork //Py3。awd框架，比赛常用脚本。
• https://github.com/Wfzsec/awd_attack_framework //PHP。AWD(Attack With Defense,攻防兼备)常用脚本+不死马+crontab+防御方法。

CTF杂项

• https://www.wishingstarmoye.com/ctf/autokey //CTF在线工具集合。密码/隐写/二维码/哈希/编码/激战2？？？/。
• https://github.com/bugsafe/WeReport //PHP。WeReport报告助手，一键生成测试报告。

CTF密码学

• https://github.com/0Chencc/CTFCrackTools //kotlin与java。CTF工具框架，支持Crypto，Mis等。后期以编写python插件增强功能。
• https://github.com/guyoung/CaptfEncoder //Nodejs。基于Electron。跨平台网络安全工具套件，提供网络安全相关编码转换、古典密码、密码学、特殊编码等工具，并聚合各类在线工具。
• https://github.com/gchq/CyberChef //JS。反混淆，密码解密工具。
• https://github.com/3summer/CTF-RSA-tool //Py3。ctf rsa套路。

CTF隐写术

• https://www.freebuf.com/sectool/208781.html //将任意文本隐藏在音频视频图片和文本中的多种方式
• https://0xrick.github.io/lists/stego/ //隐写术工具和资源列表 Steganography - A list of useful tools and resources。
• https://github.com/DominicBreuker/stego-toolkit //图片、音频隐写工具Stegosuite
• https://github.com/livz/cloacked-pixel //Py3。LSB图片数据隐藏
• http://www.caesum.com/handbook/Stegsolve.jar //Java。图片隐写查看器，多图层查看器。
• https://embeddedsw.net/OpenPuff_Steganography_Home.html //图片音视频隐写工具
• https://www.audacityteam.org/ //音频编辑工具，波形图显示。

CTF二进制pwn利用

• https://github.com/Gallopsled/pwntools //Py。pwn类型，二进制利用框架
• https://github.com/ChrisTheCoolHut/Zeratool //Py。pwn类型，二进制利用框架
• https://github.com/ChrisTheCoolHut/Rocket-Shot //Py。pwn，自动攻击脚本

二进制pwn利用

• https://github.com/FULLSHADE/WindowsExploitationResources/ //Windows漏洞高级开发资源合集，windows rootkit，windows调试，内核shellcode，沙箱，Fuzz等资料。
• https://www.52pojie.cn/thread-709699-1-1.html //160个CrackMe，附破解方法。
• https://www.youtube.com/playlist?list=PLKwUZp9HwWoDDBPvoapdbJ1rdofowT67z //IDA逆向工程入门
• https://github.com/euphrat1ca/0day-security-software-vulnerability-analysis-technology //0day安全：软件漏洞分析技术（第2版）。漏洞战争：软件漏洞分析精要、加密与解密（第4版）、modern windows exploit、cnit的二进制教程、awesome windows exploit;--
• https://www.youtube.com/channel/UC_PU5Tk6AkDnhQgl5gARObA //pwn学习三部曲学习
• https://www.corelan.be/index.php/category/security/exploit-writing-tutorials/page/4/ //exploit编写系列教程,10篇,后续在corelan网站上
• http://www.securitysift.com/windows-exploit-development-part-1-basics //Windows漏洞挖掘
• https://www.youtube.com/watch?v=8zBpqc3HkSE&list=PLhx7-txsG6t6n_E2LgDGqgvJtCHPL7UFu //windbg教程
• https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/getting-started-with-windbg //windbg
• https://rootkits.xyz/blog/ //windows内核系列
• https://github.com/saaramar/35C3_Modern_Windows_Userspace_Exploitation //Windows漏洞挖掘
• https://pwnrip.com/windows-kernel-exploitation-part-1-stack-buffer-overflows/ //windows kernel exploit
• https://github.com/yeyintminthuhtut/Awesome-Advanced-Windows-Exploitation-References //Windows漏洞挖掘
• https://github.com/ExpLife0011/awesome-windows-kernel-security-development //一些较新的win exploit资料
• https://www.abatchy.com/tutorials //windows kernel exploit
• https://blahcat.github.io/tutorials/ //windows kernel exploit
• https://b3n7s.github.io/2017/11/01/windows-kernel-debugging-under-vmware-fusion.html //windows kernel debugging under vm fusion
• http://samdb.xyz/ //intro to kernel exploit
• https://github.com/hanc00l/rop_linux_kernel_pwn //Linux漏洞挖掘
• https://github.com/xairy/linux-kernel-exploitation //Linux漏洞挖掘
• https://azeria-labs.com/ //arm 溢出
• https://github.com/Ma3k4H3d/Papers //AI/二进制逆向
• http://security.cs.rpi.edu/courses/binexp-spring2015/ //家用路由器0day

漏洞复现

• https://github.com/vulhub/vulhub //Vulhub是一个面向大众的开源漏洞靶场，无需docker知识，执行两条命令即可编译、运行一个完整的漏洞靶场镜像。4k。goodjob。
• https://github.com/fofapro/vulfocus //漏洞集成平台，将漏洞环境 docker 镜像。G:/Medicean/VulApps;G:/c0ny1/vulstudy;--
• http://vulnstack.qiyuanxuetang.net/ //红日安全红队演练环境。P:/从外网到域控（vulnstack靶机实战）;--
• https://www.vulnhub.com //实验室、靶场、ctf靶机汇总，离线真实环境
• https://github.com/bingohuang/docker-labs //制作在线docker平台

离线靶场学习

• https://github.com/WebGoat/WebGoat //Java。一键jar包web安全实验靶场
• https://github.com/Audi-1/sqli-labs //PHP。基于SQLite的sql注入学习靶场。/lcamry/sqli-labs;--
• https://github.com/Charlie-belmer/vulnerable-node-app //Node.js。Mongodb Nosql注入靶场。P:NoSql数据库之漏洞利用方法总结;--
• https://github.com/virusdefender/ssrf-app //Py。服务端请求伪造ssrf靶场实例
• https://github.com/c0ny1/upload-labs //PHP。一个帮你总结所有类型的上传漏洞的靶场
• https://github.com/LandGrey/upload-labs-writeup //Intro。upload-labs指导手册
• https://github.com/c0ny1/xxe-lab //一个包含php，Java。python，C#等各种语言版本的XXE漏洞Demo
• https://github.com/Go0s/LFIboomCTF //本地文件包含漏洞&&PHP利用协议&&实践源码
• https://github.com/incredibleindishell/CORS-vulnerable-Lab //PHP。与COSR配置错误相关的漏洞代码靶场
• https://github.com/ethicalhack3r/DVWA //web安全实验靶场。新手指南：DVWA-1.9全级别教程
• http://www.itsecgames.com //bWAPP,bee-box。包含owasp10，心脏滴血hearbleed等环境。noupdate
• https://github.com/bkimminich/juice-shop //常见web安全实验靶场市场
• https://github.com/78778443/permeate //php。常见漏洞靶场
• https://github.com/gh0stkey/DoraBox //php。多拉基础Web漏洞训练靶场。noupdate。
• https://github.com/stamparm/DSVW //Py3。常见漏洞靶场
• https://github.com/amolnaik4/bodhi //Py。常见漏洞靶场
• https://github.com/Safflower/Solve-Me //php。韩国一个偏代码审计的ctf靶场源码
• https://in.security/lin-security-practise-your-linux-privilege-escalation-foo/ //一个虚拟机文件用于linux提权练习
• https://kernel.ubuntu.com/~kernel-ppa/mainline/ //Ubuntu历史kernel
• http://old-releases.ubuntu.com/releases/ //Ubuntu历史镜像
• https://github.com/secvulture/dvta //客户端C/S架构靶场
• https://github.com/OWASP/igoat //适用于ios应用程序测试和安全性的学习工具
• https://github.com/prateek147/DVIA-v2 //适用于ios应用程序测试和安全性的学习工具
• https://github.com/abhi-r3v0/EVABS //C++。Android靶场
• https://github.com/rapid7/metasploitable3 //metasploit练习系统
• https://github.com/rapid7/metasploit-vulnerability-emulator //perl。metasploit模拟环境，练习操作
• https://github.com/madhuakula/kubernetes-goat/ //容器编排引擎Kubernetes靶场。P:/Bust-a-kube;--

在线靶场学习

• https://www.hackthebox.eu //欧洲HTB靶场，在线真实环境。商业部。
• https://www.root-me.org //俄罗斯root me在线靶场。社区版。
• https://www.offensive-security.com/information-security-certifications/ //kali攻防技术认证。商业版。
• https://www.pentesteracademy.com //教程+视频+实验室+认证培训一套。商业版。
• https://www.cybrary.it //网络安全工程师认证。CTF/Labs
• https://www.wechall.net //世界知名ctf汇总交流网站
• https://www.xssgame.com //谷歌XSS挑战
• https://www.ichunqiu.com/experiment/direction //i春秋实验室。Web/主机/应用/pwn教程
• https://www.mozhe.cn/bug //墨者学院在线靶场。Web/主机/数据库/取证
• http://xss.tv //国内在线靶场。W:ctf.bugku.com;W:adworld.xctf.org.cn;--