awesome ctf resources

Una lista de marcos, bibliotecas, recursos y software de Capture the Flag (CTF)

Cualquier contribución es bienvenida, ¡envíame un PR! ❤️

-El software y recursos recopilados no me pertenecen y se han compilado solo para fines educativos-

• Crear

  • Plataformas
  • Forense
  • Esteganografía
  • Web

• Resolver

  • Criptografía
  • Explotación / PWN
  • Forense
  • Maga
  • Invertir
  • Esteganografía
  • Web

• Recursos

  • Plataformas en línea
  • Herramientas colaborativas
  • Repositorios de redacción
  • Cursos

• Bibliografía

Herramientas utilizadas para crear desafíos CTF

Marcos que se pueden usar para alojar un CTF

• CTFD - Plataforma para alojar CTFS de estilo Jeopardy.
• FBCTF - Plataforma CTF de Facebook para organizar Jeopardy y "King of the Hill" CTF CTF.
• HackThearch - Servidor de puntuación para competiciones CTF.
• KCTF - Infraestructura basada en Kubernetes para competiciones CTF.
• Librectf - Plataforma CTF desde EasyCTF.
• Mellivora - Motor CTF escrito en PHP.
• Nightshade - Marco CTF simple.
• Picoctf - Infraestructura utilizada para ejecutar Picoctf.
• RCTF - Plataforma CTF mantenida por el equipo Redpwn CTF.
• RootHebox - Motor de puntuación de CTF para juegos de guerra.
• ImaginarCTF - Plataforma para alojar CTFS.

Herramientas utilizadas para crear desafíos forenses

• Belkasoft Ram Capturer - Herramienta de adquisición de memoria volátil.
• DNSCAT2: aloja la comunicación a través de DNS.
• Axioma magnet 2.0 - Herramienta DFIR centrada en el artefacto.
• Registro Dumper - Herramienta para volcar el Registro de Windows.

Herramientas utilizadas para crear desafíos de Stego

Verifique la sección Resolver la esteganografía.

Herramientas utilizadas para crear desafíos web

• MetaSploit JavaScript Obfuscator - Cómo ofuscar JavaScript en MetaSploit.

Herramientas utilizadas para resolver desafíos criptográficos

• Base65536 - Respuesta de Unicode a Base64.
• Braille Translator - Traducir de Braille al texto.
• CIPHEY: herramienta para descifrar automáticamente las cifras sin conocer la clave o el cifrado, las codificaciones de decodificación y los hash de crack.
• Cyberchef: una aplicación web para cifrado, codificación, compresión y análisis de datos.
• Cryptii: conversión modular, codificación y cifrado en línea.
• dcode.fr - solucionadores para cripto, matemáticas y codificaciones en línea.
• Decodificar: detectar y decodificar cadenas codificadas, recursivamente.
• Enigma Machine - Simulador de máquina de Enigma Universal.
• FeatherDuster: una herramienta de criptoanálisis modular automatizada.
• GALOIS - Una biblioteca aritmética de campo de galo rápido/kit de herramientas.
• Hashextender: herramienta para realizar ataques de extensión de longitud hash.
• Identificador hash - Identificador de algoritmo de hash simple.
• Padding-Oracle-Attacker-Herramienta y biblioteca CLI para ejecutar ataques de Oracle fácilmente.
• Padbuster - Script automatizado para realizar ataques Oracle de relleno.
• PEMCRACK - Cracks Arches SSL PEM que contienen claves privadas cifradas. Fuerzas brutas o grietas en el diccionario.
• PKCRACK - Cracker de cifrado PKZIP.
• Cifrado cuadrado de Polybius: tabla que permite a alguien traducir las letras en números.
• Quipqiup - Solucionador de criptograma automatizado.
• RSACTFTOOL - herramienta RSA Multi Attacks.
• RSATOOL - Herramienta para calcular el parámetro RSA y RSA -CRT.
• Herramientas de cifrado Rumkin - Colección de cifras/herramientas de codificadores.
• Vigenere Solucion: herramienta en línea que rompe los cifrados de vigene sin conocer la clave.
• Xor Cracker - Herramienta de descifrado XOR en línea capaz de adivinar la longitud de la tecla y la tecla cifrado para descifrar cualquier archivo.
• XORTOOL: una herramienta para analizar CiPher XOR múltiple byte.
• Yagu - factorización entera automatizada.
• Crackstation - Cracker hash (base de datos).
• Enciclopedia en línea de secuencias enteras - OEIS: la enciclopedia en línea de secuencias enteras

Herramientas utilizadas para resolver los desafíos de PWN

• AFL - Fuzzer orientado a la seguridad.
• Honggfuzz - Fuzzer de software orientado a la seguridad. Admite fuzzing evolutivo basado en retroalimentación basado en la cobertura de código.
• LibFormatStr: simplificar la explotación de cadenas de formato.
• One_gadget - herramienta para encontrar un gadget RCE.
• PwnTools - Marco CTF para escribir hazañas.
• RopGadget - Marco para la explotación de ROP.
• Ropper: muestre información sobre archivos en diferentes formatos de archivo y busque dispositivos para crear cadenas ROP para diferentes arquitecturas.
• Base de datos de shellcodes: una base de datos enorme de shellcodes.

Herramientas utilizadas para resolver desafíos forenses

• Packets A: análisis de archivos PCAP sin esfuerzo en su navegador.
• Autopsia: plataforma forense digital de código abierto de extremo a extremo.
• Binwalk - Herramienta de análisis de firmware.
• Bulk-Extractor: herramienta de explotación forense digital de alto rendimiento.
• Bkhive y Samdump2 - Sistema de volcado y archivos SAM.
• Chromecacheview: pequeña utilidad que lee la carpeta de caché del navegador web de Google Chrome y muestra la lista de todos los archivos almacenados actualmente en el caché.
• Creddump - Volcar las credenciales de Windows.
• ExifTool - Leer, escribir y editar metadatos del archivo.
• Extundelete: utilidad que puede recuperar archivos eliminados de una partición ext3 o ext4.
• Firmware-Mod-kit: modifique las imágenes de firmware sin recompensar.
• Foremost: programa de consola para recuperar archivos en función de sus encabezados, pies de página y estructuras de datos internos.
• Kit de herramientas forenses: escanea un disco duro en busca de diversas información. Puede, potencialmente, ubicar correos electrónicos eliminados y escanear un disco para que las cadenas de texto las usen como un diccionario de contraseña para descriptar el cifrado.
• Forensicamente: herramienta en línea gratuita para análisis de imagen Esta herramienta tiene muchas características.
• MZCACHEVIEW: pequeña utilidad que lee la carpeta de caché de los navegadores web Firefox/Mozilla/Netscape, y muestra la lista de todos los archivos almacenados actualmente en el caché.
• Herramienta de análisis forense de red NetworkMiner (NFAT).
• OffLineRegistryView: herramienta simple para Windows que le permite leer archivos de registro fuera de línea desde la unidad externa.
• Photorec: software de recuperación de datos de archivos diseñado para recuperar archivos perdidos, incluidos videos, documentos y archivos de discos duros, CD -ROM e imágenes perdidas (por lo tanto, el nombre de recuperación de fotos) de la memoria de la cámara digital.
• Visor de registro: herramienta para ver los registros de Windows.
• Herramienta de tallado de datos de código abierto.
• El Kit Sleuth - Colección de herramientas de línea de comandos y una biblioteca C que le permite analizar las imágenes de disco y recuperar archivos de ellas.
• USBRIP - Herramienta Simple CLI Forensics para rastrear artefactos de dispositivos USB (Historia de eventos USB) en GNU/Linux.
• Volatilidad: un marco forense de memoria avanzado.
• Wireshark: herramienta para analizar archivos PCAP o PCAPNG.
• X -Ways - Entorno de trabajo avanzado para examinadores forenses de computadora.

Herramientas utilizadas para resolver desafíos misceláneos

• Boofuzz ​​- Protocolo de red Fuzzing para humanos.
• Veles - Herramienta de análisis y visualización de datos binarios.

Fuerzones brutos:

• Changeme: un escáner de credencial predeterminado.
• Hashcat: recuperación avanzada de contraseña.
• Hydra: galleta de inicio de sesión paralelo que admite numerosos protocolos para atacar.
• John the Ripper: auditoría de seguridad de contraseña de código abierto y recuperación de contraseña.
• JWT_TOOL: un conjunto de herramientas para probar, ajustar y agrietarse los tokens web JSON.
• OPHCRACK - Cracker de contraseña de Windows gratuito basada en tablas Rainbow.
• Patadora: fuerza bruta multipropósito, con un diseño modular y un uso flexible.
• Turbo Intruder: extensión de la suite Burp para enviar grandes cantidades de solicitudes HTTP y analizar los resultados.

Idiomas esotéricos:

• Brainfuck - Brainfuck esotérico Language Language IDE.
• VACA: es una variante Brainfuck diseñada con humor con Bovinae en mente.
• Malbolge - Solucionador de lenguaje de programación esotérico de Malbolge.
• ¡Ook! - ¡Herramienta para decodificar / codificar en OOK!
• PIET - PIET Programación del compilador de lenguaje.
• Rockstar: un idioma destinado a parecer letras de canciones.
• Pruébelo en línea, una herramienta en línea que tiene un montón de intérpretes de idiomas esotéricos.

Sandboxes:

• Any.run - Servicio de caza de malware interactivo.
• Análisis Intezer - Plataforma de análisis de malware.
• Triage-Análisis de malware de última generación Sandbox diseñado para soporte multiplataforma.

Herramientas utilizadas para resolver los desafíos de reversión

• ANDROGUARD - Androguard es una herramienta de Python completa para jugar con archivos Android.
• ANGR: una plataforma de análisis binaria potente y fácil de usar.
• APK2Gold - Herramienta CLI para descomponer las aplicaciones de Android a Java.
• APKTOOL: una herramienta para la ingeniería inversa de terceros, aplicaciones de Android binarias cerradas.
• Ninja binario - Marco de análisis binario.
• Binutils - Colección de herramientas binarias.
• CTF_Import: ejecute funciones básicas de la plataforma cruzada de binarios despojados.
• Compilador Explorer - Herramienta de compilador en línea.
• CWE_CHECKER: encuentra patrones vulnerables en ejecutables binarios.
• DeMovfuscator: un deobfuscator de trabajo en progreso para binarios movfuscados.
• Dissembler.io - Desmontar a pedido. Un servicio liviano en línea para cuando no tiene el tiempo, los recursos o los requisitos para utilizar una alternativa de peso más pesado.
• DNSPY - .NET Debugger y editor de ensamblaje.
• Easypythondecompiler: una pequeña aplicación de GUI .exe que "descompilará" el bytecodo Python, a menudo visto en la extensión .pyc.
• Frida: juego de herramientas de instrumentación dinámica para desarrolladores, ingenieros inversos e investigadores de seguridad.
• GDB - El depurador del proyecto GNU.
• GEF: una experiencia moderna para GDB con funciones de depuración avanzadas para desarrolladores de exploit e ingenieros inversos.
• GHIDRA - Un conjunto de herramientas de Ingeniería Inversa de Software Inversevas desarrolladas por NSA.
• HOLPER - HERRAMIENTA DE INGENIERÍA INVREGRADA (DESSEMBLER) para OSX y Linux.
• Ida Pro: la mayoría utiliza el software de inversión.
• JADX - Línea de comandos y herramientas GUI para producir el código fuente Java a partir de archivos Android Dex y APK.
• Java Decompilers: un descompilador en línea para Java y Android APKS.
• JSDETOX - Una herramienta de análisis de malware JavaScript.
• MISM - Marco de ingeniería inversa en Python.
• Objeción - Exploración móvil de tiempo de ejecución.
• Ensamblador/desapsilador en línea: envoltorios en línea alrededor de los proyectos Keystone y Capstone.
• PEDA - Asistencia de desarrollo de exploit de Python para GDB.
• PEFILE - Módulo Python para leer y trabajar con archivos PE (ejecutables portátiles).
• PWNDBG - Desarrollo de explotación e ingeniería inversa con GDB hecho fácil.
• RADARE2-Marco de ingeniería inversa de UNIX y conjunto de herramientas de línea de comandos.
• Rizin - Rizin es una bifurcación del marco de ingeniería inversa de RADARE2 con un enfoque en la usabilidad, las características de trabajo y la limpieza del código.
• Uncomptile: un descompilador de código de byte Python 2.7 (.pyc)
• Windbg - Windows Debugger distribuido por Microsoft.
• Z3: un prover del teorema de Microsoft Research.

Herramientas utilizadas para resolver desafíos de Stego

• APERISOLVE - Plataforma que realiza un análisis de capa en las imágenes.
• BPSTegano - LSB Steganografía con sede en Python3.
• Deepsound: herramienta de esteganografía Freeware y convertidor de audio que oculta datos secretos en archivos de audio.
• Detección DTMF: frecuencias de audio comunes a un botón de teléfono.
• Tonos DTMF: frecuencias de audio comunes a un botón de teléfono.
• EXIF - Muestra información EXIF ​​en archivos JPEG.
• Exiv2 - Herramienta de manipulación de metadatos de imagen.
• FOTOFORENSICS: proporciona a los investigadores en ciernes e investigadores profesionales acceso a herramientas de vanguardia para fotografías digitales.
• Hipshot: herramienta para convertir un archivo de video o una serie de fotografías en una sola imagen que simula una fotografía de larga exposición.
• Analizador de nivel de error de imagen: herramienta para analizar imágenes digitales. También es gratuito y basado en la web. Cuenta con análisis de nivel de error, detección de clones y más.
• Esteganografía de imagen: herramienta JavaScript del lado del cliente para ocultar las imágenes de Steganográficamente/Unhide dentro de los "bits" inferiores de otras imágenes.
• ImageMagick: herramienta para manipular imágenes.
• JSTEG - Herramienta de línea de comandos para usar contra imágenes JPEG.
• Magic Eye Solver: obtenga información oculta de las imágenes.
• Outguess - Herramienta esteganográfica universal.
• PNGCHECK: verifica la integridad de PNG y descarga toda la información de nivel de fragmento en forma legible por humanos.
• PNGTOOLS - Para varios análisis relacionados con PNG.
• Sigbits - Esteganografía Decodificador de imágenes de bits significativos.
• SmartDebblur - Restauración de fotos/imágenes desenfocadas y borrosas.
• Snow - Herramienta de esteganografía de espacio blanco
• Sonic Visualizer - Visualización de archivos de audio.
• Esteganografía en línea - Codador de esteganografía en línea y decodificador.
• Stegbreak: lanza ataques del diccionario de fuerza bruta en la imagen JPG.
• Stegcracker: utilidad Brute -Force para descubrir datos ocultos dentro de los archivos.
• StegExtract: detecte archivos ocultos y texto en imágenes.
• Steghide: oculte datos en varios tipos de archivos de imagen y audio.
• Stegonline: realice una amplia gama de operaciones de esteganografía de imagen, como ocultar/revelar archivos ocultos dentro de BIT.
• Stegosaurus: una herramienta de esteganografía para integrar las cargas útiles dentro del bytecodo de Python.
• STEGOVERITAS - Otra herramienta de Stego.
• Stegpy - Programa de esteganografía simple basado en el método LSB.
• Stegseek - Cracker Steghide rápido de Lightning que se puede usar para extraer datos ocultos de los archivos.
• Stegsnow - Programa de esteganografía Whitespace.
• Stegsolve: aplique varias técnicas de esteganografía a las imágenes.
• ZSTEG - Análisis PNG/BMP.

Herramientas utilizadas para resolver desafíos web

• Arachni - Marco de escáner de seguridad de aplicaciones web.
• Beautifier.io - Beautifier en línea de JavaScript.
• BURPSUITE: una herramienta gráfica para probar la seguridad del sitio web.
• Commix: herramienta de explotación de inyección de comando OS automatizada todo en uno.
• Descanso: descubra los parámetros de depuración oculta y descubra los secretos de la aplicación web.
• Dirhunt: encuentre directorios web sin Bruteforce.
• DirSearch - escáner de ruta web.
• Nomore403 - Herramienta para evitar 40x errores.
• FFUF - Fuzzer web rápido escrito en Go.
• Git -Dumper: una herramienta para arrojar un repositorio GIT de un sitio web.
• Gopherus - Herramienta que genera un enlace Gopher para explotar SSRF y obtener RCE en varios servidores.
• Hookbin: servicio gratuito que le permite recopilar, analizar y ver las solicitudes HTTP.
• JSFIDDLE - Pon a prueba tu JavaScript, CSS, HTML o Coffeescript en línea con el editor de código JSFIDDLE.
• Ngrok: túneles seguros introspectables a Localhost.
• OWASP ZAP - Interceptando el proxy para reproducir, depurar y fuzz solicitudes y respuestas HTTP.
• PHPGGC - Library of Php Unserialize () cargas útiles junto con una herramienta para generarlas, desde la línea de comando o programáticamente.
• Postman: complemento para Chrome para las solicitudes de red de depuración.
• REQBIN - Herramienta de prueba de API de descanso y jabón en línea.
• Bin de solicitud: un contenedor moderno de solicitud para inspeccionar cualquier evento por PipeDream.
• Revelo - Analice el código JavaScript ofuscado.
• Smuggler: una herramienta de prueba de contrabando / desync de solicitud HTTP escrita en Python3.
• SQLMAP - Herramienta automática de inyección SQL y adquisición de bases de datos.
• W3AF - Ataque de aplicaciones web y marco de auditoría.
• XSSer - Testor XSS automatizado.
• Ysoserial: herramienta para generar cargas útiles que explotan la deserialización de objetos Java inseguro.

Siempre ctfs en línea

• 0x0539 - Desafíos de CTF en línea.
• 247ctf - Captura gratuita El entorno de piratería de la bandera.
• Archive.ooo - Archivo en vivo y jugable de los desafíos de Def Con CTF.
• Atenea - Plataforma CTF de CCN -CERT español.
• CTFLearn: plataforma en línea construida para ayudar a los piratas informáticos éticos a aprender, practicar y competir.
• CTF365 - Plataforma de capacitación de seguridad.
• Crackmes. One - Desafíos de ingeniería inversa.
• Cryptohack - Desafíos de criptografía.
• Cryptopals - Desafíos de criptografía.
• Defiende la web: una plataforma de seguridad cibernética interactiva.
• Dreamhack.io - juego de guerra en línea.
• Ecoctf.Red - Laboratorios de piratería en línea.
• Flagyard: un patio de recreo en línea de desafíos prácticos de ciberseguridad.
• Hackbbs - juego de guerra en línea.
• Hacker101 - Plataforma CTF de Hackerone.
• Hackropole: esta plataforma le permite reproducir los desafíos del desafío de seguridad cibernética de Francia.
• HackheBox: un patio masivo de piratería.
• Hackthissite: campo de capacitación gratuito, seguro y legal para piratas informáticos.
• HBH: comunidad diseñada para enseñar métodos y tácticas utilizados por los piratas informáticos maliciosos para acceder a sistemas e información confidencial.
• KOMODO: este es un juego diseñado para desafiar sus habilidades de piratería de aplicaciones.
• Microcorrupción: seguridad incrustada CTF.
• MNCTF - Desafíos de ciberseguridad en línea.
• Overthewire - Guame de guerra ofrecido por la comunidad de Overthewire.
• Picoctf - Plataforma CTF amigable para principiantes.
• PWN.College - Plataforma de educación para aprender y practicar conceptos básicos de ciberseguridad.
• PWN.TN - juego de guerra educativo y no comercial.
• Pwnable.kr - PWN/Plataforma de explotación.
• Pwnable.tw - PWN/Plataforma de explotación.
• Pwnable.xyz - Plataforma PWN/Explotación.
• PWNCHALLENGE - Plataforma PWN/Explotación.
• Reversing.KR - Plataforma de ingeniería inversa.
• Root -Me - Plataforma de capacitación CTF.
• VIBLOCTF - Plataforma de capacitación CTF.
• Vulnhub: plataforma Pentesting basada en VM.
• W3Challs - plataforma de piratería/CTF.
• Webhacking - plataforma de desafíos web.
• WebSEC.FR - Plataforma de desafíos web.
• WeChall - Directorio de sitios de desafío y foro.
• YEHD 2015 - YEHD CTF 2015 Desafíos en línea.

CTFS autohostado

• AWSGOAT - Una maldita infraestructura de AWS de AWS.
• CICD -Goat: un entorno CI/CD deliberadamente vulnerable. Aprenda la seguridad de CI/CD a través de múltiples desafíos.
• Maldita aplicación web vulnerable: aplicación web PHP/MySQL que es muy vulnerable.
• GCPGOAT: una maldita infraestructura de GCP vulnerable.
• Tienda de jugo: herramientas de configuración de entorno Capture-the Flag (CTF) para Owasp Juice Shop.

• CTFNOTE - Herramienta de colaboración con el objetivo de ayudar a los equipos de CTF a organizar su trabajo.

Repositorio de reseñas de CTF

• Calierras. Club - Finder de redacción de CTF.
• CTFTME - COLECCIÓN DE CRIMIENTES CTFTime.
• Github.com/ctfs - Colección de reseñas de CTF.

• Roppers Bootcamp - CTF Bootcamp.

Los recursos presentados aquí se han reunido de numerosas fuentes. Sin embargo, los más importantes son:

• apsdehal_awesome-ctf
• Vavkamil_Awesome-Bugbounty-Tools
• Zardus_Ctf-Tools