CTF靶场集合大放送

针对github上面的靶场进行调研

先说一些个人觉得比较好的

CTFd

CTF平台的鼻祖网站

项目地址：https://github.com/CTFd/CTFd

建CTF平台首选，实际上也没有太多别的选择orz

CTFd是一款基于Apache2.0协议的开源CTF平台，最新版本目前为3.5.1。该平台功能强大，基本上能够满足目前的CTF竞赛需求，同时，该平台提供了强大的插件功能，可以自己进行插件开发实现自己的功能。

CTFD docker搭建

docker方式一般都不会遇到啥问题，这里就跳过了

CTFD源码搭建

在本地进行搭建方便调试

我本地的python环境是3.8.10，下载CTFD版本为3.5.1当前最新版

下载项目代码

设置一下虚拟环境防止项目包混乱

terminal打开虚拟环境，安装库文件

pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple

安装进行中

安装完成后执行 python server.py

突然的一个问题

运行的时候显示

* Importing gevent and monkey patching. Use --disable-gevent to disable.

INFO [alembic.runtime.migration] Context impl SQLiteImpl.

INFO [alembic.runtime.migration] Will assume non-transactional DDL.

INFO [alembic.runtime.migration] Running stamp_revision -> 46a278193a94

* Loaded module, <module 'CTFd.plugins.challenges' from 'C:\Users\Cl0udG0d\Desktop\temp\CTFd-3.5.1\CTFd-3.5.1\CTFd\plugins\challenges\init.py'>

* Loaded module, <module 'CTFd.plugins.dynamic_challenges' from 'C:\Users\Cl0udG0d\Desktop\temp\CTFd-3.5.1\CTFd-3.5.1\CTFd\plugins\dynamic_challenges\init.py'>

* Loaded module, <module 'CTFd.plugins.flags' from 'C:\Users\Cl0udG0d\Desktop\temp\CTFd-3.5.1\CTFd-3.5.1\CTFd\plugins\flags\init.py'>

* Serving Flask app "CTFd" (lazy loading)

* Environment: development

* Debug mode: on

INFO [werkzeug] * Restarting with stat

然后服务一直没有起来

试了一下还是不行

python serve.py --disable-gevent

查一下 https://github.com/CTFd/CTFd/issues/1855

采用flask run的方式启动

现在能够正常访问了

目录结构

CTFd
├──conf 配置文件,这里面是nginx的配置
├──CTFd 网站主要源码
├──migrations flask数据库迁移文件
├──scripts  docker安装相关的脚本,具体的操作后面进行分析
└──tests 测试代码

这部分见名知意了

├──CTFd 网站主要源码
│  ├── admin 管理后台页面路由
│  ├── api 信息查询api接口/api/v1/???
│  ├── cache 清理缓存相关
│  ├── constants 一些常量
│  ├── events 事件实时通知接口（长链接）
│  ├── exceptions 定义错误类型
│  ├── forms 对表单数据进行获取和过滤
│  ├── logs 分类日志文件
│  ├── models 数据库model
│  ├── plugins 插件目录
│  ├── schemas 模式,对数据库数据传入规范化
│  ├── themes 主题，网页文件
│  ├── uploads 默认文件上传目录
│  ├── utils 工具类
└──

该目录下的其他的文件是路由文件，在__init__.py里面可以看到注册蓝图

app.register_blueprint(views)
app.register_blueprint(teams)
app.register_blueprint(users)
app.register_blueprint(challenges)
app.register_blueprint(scoreboard)
app.register_blueprint(auth)
app.register_blueprint(api)
app.register_blueprint(events)

app.register_blueprint(admin)

H1ve

https://github.com/D0g3-Lab/H1ve

H1ve是一款自研CTF平台，同时具备解题、攻防对抗模式。其中，解题赛部分对Web和Pwn题型，支持独立题目容器及动态Flag防作弊。攻防对抗赛部分支持AWD一键部署，并配备炫酷地可视化战况界面。

道格战队出品，docker一键安装

vulfocus

https://github.com/fofapro/vulfocus

虽然但是，vulfocus有这样的一行话

漏洞靶场是目前每个安全人员以及想学习信息安全的人必备的东西，但目前商业化产品居多，还有一些类似 dvwa、 sqli-labs 这类的开源项目，但是漏洞环境比较固定，使用完一次后就失去其作用。搭建的成本过高，每次启动的流程会比较繁琐，甚至很多场景是不满足的，之前关于漏洞环境镜像使用多的是 vulhub，但是作为企业、高校等以及相关的培训，单纯的漏洞环境不一定能满足使用的需求，所以我们基于当下的一些靶场项目做出了小小的改进来符合我们的一些需求，比如增加 flag 的形式，来满足一些考核与验证的需求，可以对我们内部人员能力进行考核，于是 Vulfocus 就诞生了。

如上介绍的这些项目，大部分都是跟DVWA类似，可能使用完一次之后就失去了作用，而且启动的流程比较繁琐，虽然有的配套了docker环境，但还是缺乏扩展性

想要靶场保持生命力，除了有高质量的题目外，靶场还需要有良好的扩展性