awesome ctf resources

Une liste de capturez les cadres de drapeau (CTF), les bibliothèques, les ressources et les logiciels pour les joueurs CTF démarrés / expérimentés

Toute contribution est la bienvenue, envoyez-moi un PR! ❤️

-Les logiciels et ressources collectés ne m'appartiennent pas et ont été compilés à des fins éducatives

• Créer

  • Plates-formes
  • Médico-légal
  • Stéganographie
  • Web

• Résoudre

  • Cryptographie
  • Exploitant / pwn
  • Médico-légal
  • Mission
  • Inversion
  • Stéganographie
  • Web

• Ressources

  • Plateformes en ligne
  • Outils collaboratifs
  • Réductions des référentiels
  • Cours

• Bibliographie

Outils utilisés pour créer des défis CTF

Frameworks qui peuvent être utilisés pour héberger un CTF

• CTFD - Plateforme pour héberger des CTF de style Jeopardy.
• FBCTF - Facebook CTF Platform pour accueillir les compétitions de CTF de Jeopardy et "King of the Hill".
• HackThearch - Scoring Server pour les concours CTF.
• KCTF - Infrastructure basée sur Kubernetes pour les compétitions CTF.
• LibreCtF - Platform CTF à partir de EasyCTF.
• Mellivora - CTF Engine écrit en PHP.
• NightShade - Simple CTF Framework.
• PICOCTF - Infrastructure utilisée pour exécuter PICOCTF.
• RCTF - plate-forme CTF maintenue par l'équipe REDPWN CTF.
• ROOTHEBOX - MOTEUR DE SCORING CTF pour Wargames.
• ImaginaryCTF - plate-forme pour héberger CTFS.

Outils utilisés pour créer des défis médico-légaux

• Belkasoft RAM Capturer - outil d'acquisition de mémoire volatile.
• DNSCAT2 - Hôte la communication via DNS.
• Aizier Axiom 2.0 - outil DFIR centré sur l'artefact.
• Registre Dumper - outil pour vider le registre Windows.

Outils utilisés pour créer des défis Stego

Vérifiez la section Solve pour la stéganographie.

Outils utilisés pour créer des défis Web

• METASPLOIT JavaScript Obfuscator - Comment obscurcir JavaScript dans Metasploit.

Outils utilisés pour résoudre les défis cryptographiques

• Base65536 - Réponse d'Unicode à Base64.
• Traducteur en braille - Traduire du braille en texte.
• Ciphey - outil pour décrypter automatiquement les cryptage sans connaître la clé ou le chiffre, décoder les encodages et les hachages de fissure.
• Cyberchef - Une application Web pour le chiffrement, le codage, la compression et l'analyse des données.
• Cryptii - Conversion modulaire, codage et chiffrement en ligne.
• DCODE.FR - Solvers pour crypto, mathématiques et encodages en ligne.
• Décoder - détecter et décoder les chaînes codées, récursivement.
• Machine Enigma - Universal Enigma Machine Simulator.
• FeatherDuster - un outil de cryptanalyse automatisé et modulaire.
• Galois - Une bibliothèque / boîte à outils arithmétique de champ Fast Galois.
• Hashextender - outil pour effectuer des attaques d'extension de longueur de hachage.
• Identificateur de hachage - identifiant d'algorithme de hachage simple.
• Padding-oracle-Attacker - CLI Tool and Library Pour exécuter le padding Oracle Attaque facilement.
• Padbuster - Script automatisé pour effectuer des attaques Oracle de rembourrage.
• PEMCRACK - Fissure des fichiers SSL PEM qui contiennent des clés privées cryptées. Forces brutes ou fissures du dictionnaire.
• PKCRACK - Cracker de cryptage PKZIP.
• Polybius Square Cipher - Table qui permet à quelqu'un de traduire des lettres en chiffres.
• QUIPQIUP - Solveur de cryptogramme automatisé.
• RSACTFTOOL - outil RSA Multi Attacks.
• RSATOOL - outil pour calculer le paramètre RSA et RSA-CRT.
• Outils de chiffre de rhumkin - Collection d'outils Ciphhers / Encoders.
• Vigenere Solver - Outil en ligne qui rompt les chiffres de Vigenère sans connaître la clé.
• XOR CRACKER - Outil de décryptage XOR en ligne capable de deviner la longueur de la clé et la clé de chiffre pour décrypter n'importe quel fichier.
• Xortool - Un outil pour analyser le chiffre XOR multi-octets.
• Yagu - Factorisation en entier automatisée.
• CrackStation - Hash Cracker (base de données).
• Encyclopédie en ligne de séquences entières - OEIS: L'encyclopédie en ligne des séquences entières

Outils utilisés pour résoudre les défis PWN

• AFL - Fuzzer orienté vers la sécurité.
• Honggfuzz - Fuzzer logiciel orienté vers la sécurité. Prend en charge le fuzzing évolutif et axé sur les commentaires en fonction de la couverture du code.
• libFormatStr - Simplifiez l'exploitation de chaîne de format.
• One_gadget - outil pour trouver un gadget RCE.
• PWNTOOLS - Framework CTF pour l'écriture d'exploits.
• ROPGADGET - Framework pour l'exploitation ROP.
• ROPPER - Afficher les informations sur les fichiers dans différents formats de fichiers et trouver des gadgets pour créer des chaînes ROP pour différentes architectures.
• Base de données Shellcodes - une base de données Shellcodes massive.

Outils utilisés pour résoudre les défis de la médecine légale

• A-PACKETS - Analyse de fichiers PCAP sans effort dans votre navigateur.
• Autopsie - plate-forme médico-légale numérique open source de bout en bout.
• Binwalk - outil d'analyse du micrologiciel.
• Bulk-Extracteur - Outil d'exploitation numérique haute performance.
• BKHIVE & SAMDUmp2 - Dump System et SAM Files.
• ChromeCacheView - Small Utility qui lit le dossier de cache du navigateur Web Google Chrome et affiche la liste de tous les fichiers actuellement stockés dans le cache.
• CredDump - vider les informations d'identification Windows.
• EXIFTOOL - Lire, écrire et modifier les métadonnées du fichier.
• EXTUNDELETE - Utilitaire qui peut récupérer les fichiers supprimés d'une partition EXT3 ou EXT4.
• Firmware-mod-kit - Modifiez les images du micrologiciel sans recompilation.
• PROGRIÈME DE CONSOCHIE PROPS - Console pour récupérer des fichiers en fonction de leurs en-têtes, de leur pied de page et de leurs structures de données internes.
• Boîte à outils médico-légale - Il scanne un disque dur à la recherche de diverses informations. Il peut potentiellement localiser les e-mails supprimés et scanner un disque pour les chaînes de texte afin de les utiliser comme dictionnaire de mot de passe pour crypter le cryptage.
• Forensitical - outil en ligne gratuit pour analyser l'image Cet outil a de nombreuses fonctionnalités.
• MzcacheView - Petit utilitaire qui lit le dossier de cache des navigateurs Web Firefox / Mozilla / Netscape, et affiche la liste de tous les fichiers actuellement stockés dans le cache.
• Outil d'analyse médico-légale (NFAT) du réseau réseau Network.
• OfflineRegistryView - outil simple pour Windows qui vous permet de lire les fichiers de registre hors ligne à partir du lecteur externe.
• Photorec - Logiciel de récupération de données de fichiers conçu pour récupérer des fichiers perdus, y compris les vidéos, les documents et les archives à partir de disques durs, de CD-ROM et d'images perdues (donc le nom de récupération de la photo) à partir de la mémoire de l'appareil photo numérique.
• Visionneuse de registre - outil pour afficher les registres Windows.
• Scalpel - outil de sculpture de données open source.
• Le Kit Sleuth - Collection d'outils de ligne de commande et une bibliothèque C qui vous permet d'analyser les images de disque et de récupérer des fichiers à partir d'eux.
• USBRIP - outil de criminalistique CLI simple pour suivre les artefacts de l'appareil USB (historique des événements USB) sur GNU / Linux.
• Volatilité - Un cadre avancé de médecine légale.
• Wireshark - outil pour analyser les fichiers PCAP ou PCAPNG.
• X-WAY - Environnement de travail avancé pour les examinateurs médico-légaux informatiques.

Outils utilisés pour résoudre les défis divers

• Boofuzz ​​- Fuzzing de protocole de réseau pour les humains.
• Veles - outil d'analyse et de visualisation des données binaires.

Bruteforcers:

• Changeme - un scanner d'identification par défaut.
• Hashcat - Récupération avancée de mot de passe.
• Hydra - Cracker de connexion parallélisée qui prend en charge de nombreux protocoles à attaquer.
• John the Ripper - Audit de sécurité de mot de passe open source et récupération de mot de passe.
• JWT_TOOL - Une boîte à outils pour tester, peaufiner et craquer les jetons Web JSON.
• Ophcrack - Cracker de mot de passe Windows gratuit basé sur des tables arc-en-ciel.
• Patator - Multifléchi-force brute, avec une conception modulaire et une utilisation flexible.
• Turbo Intruder - Burp Suite Extension pour envoyer un grand nombre de demandes HTTP et analyser les résultats.

Langues ésotériques:

• BrainFuck - BrainFuck Esoteric Programming Language IDE.
• Cow - C'est une variante BrainFuck conçue avec humour avec Bovinae à l'esprit.
• Malbolge - Solveur de langage de programmation ésotérique de Malbolge.
• Ook! - Outil de décodage / codage dans OOK!
• Piet - compilateur de langage de programmation PIET.
• Rockstar - Une langue destinée à ressembler à des paroles de chansons.
• Essayez-le en ligne - un outil en ligne qui a une tonne d'interprètes en langue ésotérique.

Sandboxs:

• Any.run - service de chasse aux logiciels malveillants interactifs.
• Analyse Intezer - plate-forme d'analyse de logiciels malveillants.
• Triage - bac à sable d'analyse malveillante de pointe conçue pour le support multiplateforme.

Outils utilisés pour résoudre les défis de renversement

• Androguard - Androguard est un outil Python complet pour lire avec les fichiers Android.
• ANGR - Une plate-forme d'analyse binaire puissante et conviviale.
• APK2GOLD - outil CLI pour décompliquer les applications Android à Java.
• APKTool - Un outil pour les applications Android binaires fermées, fermées.
• Ninja binaire - Cadre d'analyse binaire.
• Binutils - Collection d'outils binaires.
• CTF_IMPORT - Exécutez des fonctions de base à partir de binaires dépouillés.
• Explorateur du compilateur - Outil de compilateur en ligne.
• CWE_CHECKER - Trouve des modèles vulnérables dans les exécutables binaires.
• Demovfuscator - Un déobfuscateur de travail en cours pour les binaires movfuscés.
• Disassebler.io - Disassement à la demande. Un service léger et en ligne lorsque vous n'avez pas le temps, les ressources ou les exigences pour utiliser une alternative plus lourde.
• DNSPY - .NET Debugger et éditeur d'assemblage.
• EasypyThonDecompiller - Une petite application de GUI .exe qui "décompiler" bytecode python, souvent vues dans .pyc extension.
• FRIDA - Boîte à outils d'instrumentation dynamique pour les développeurs, les ingénieurs inversés et les chercheurs en sécurité.
• GDB - Le débogueur du projet GNU.
• GEF - Une expérience moderne pour GDB avec des fonctionnalités de débogage avancées pour les développeurs d'exploitation et les ingénieurs inverses.
• GHIDRA - A Software Reverse Engineering (SRE) Suite d'outils développée par la NSA.
• Hopper - outil d'ingénierie inverse (désassembleur) pour OSX et Linux.
• IDA Pro - Logiciel d'inversion le plus utilisé.
• JADX - outils de ligne de commande et d'interface graphique pour produire du code source Java à partir des fichiers Android Dex et APK.
• Java Decompilers - Un décompilateur en ligne pour Java et Android APKS.
• JSDETOX - Un outil d'analyse de logiciels malveillants JavaScript.
• MIASM - Cadre d'ingénierie inverse dans Python.
• Objection - Exploration mobile d'exécution.
• Assembleur / désassembleur en ligne - emballages en ligne autour des projets Keystone et Capstone.
• PEDA - Python Exploit Development Assistance pour GDB.
• PEFILE - Module Python à lire et à travailler avec des fichiers PE (exécutable portable).
• PWNDBG - Exploiter le développement et l'ingénierie inverse avec GDB facilite.
• RADARE2 - Framework d'ingénierie inverse de type UNIX et ensemble d'outils de ligne de commande.
• Rizin - Rizin est une fourche du cadre d'ingénierie inverse de Radare2 en mettant l'accent sur la convivialité, les fonctionnalités de travail et la propreté du code.
• Uncompyle - un décompilateur de code d'octet Python 2,7 (.pyc)
• Windbg - Windows Debugger distribué par Microsoft.
• Z3 - un prover de théorème de Microsoft Research.

Outils utilisés pour résoudre les défis Stego

• ApeRisolol - plate-forme qui effectue une analyse de couche sur les images.
• BPSTEGANO - STANIOGRAPHIE LSB BASÉE PYTHON3.
• DeepSound - Freeware Steganography Tool and Audio Converter qui masque les données secrètes en fichiers audio.
• Détection DTMF - fréquences audio communes à un bouton de téléphone.
• Tons DTMF - fréquences audio communes à un bouton de téléphone.
• EXIF - Affiche les informations EXIF ​​dans les fichiers JPEG.
• EXIV2 - outil de manipulation des métadonnées d'image.
• Fotoforensics - Fournit des chercheurs en herbe et des enquêteurs professionnels à l'accès aux outils de pointe pour la criminalistique photo numérique.
• Hipshot - Outil pour convertir un fichier vidéo ou une série de photographies en une seule image simulant une photographie à longue exposition.
• Analyseur de niveau d'erreur d'image - outil pour analyser les images numériques. Il est également gratuit et basé sur le Web. Il dispose d'une analyse du niveau d'erreur, d'une détection des clones et plus encore.
• Image Steganography - Tool JavaScript côté client pour masquer / unis steganiquement à l'intérieur des "bits" inférieurs d'autres images.
• ImageMagick - outil pour manipuler les images.
• JSTEG - outil de ligne de commande à utiliser contre les images JPEG.
• Magic Eye Solver - Obtenez des informations cachées des images.
• Out.
• PNGCheck - vérifie l'intégrité de PNG et vide toutes les informations au niveau des morceaux sous forme lisible par l'homme.
• PNGTOOLS - Pour diverses analyses liées aux PNG.
• SIGBITS - STANOGHOGRAMME DES BITS IMMICATURES DÉCODER.
• SmartDeblur - Restauration de photos / images décorées et floues.
• Outil de stéganographie de neige - Whitespace
• Visualiz-vision Sonic - Visualisation des fichiers audio.
• Steganography Online - Encodeur et décodeur de stéganographie en ligne.
• Stegbreak - lance des attaques de dictionnaire à force brute sur l'image JPG.
• Stegcracker - Utilitaire de force brute pour découvrir des données cachées à l'intérieur des fichiers.
• STEGEXTRACT - détecter les fichiers et le texte cachés dans les images.
• Steghide - Masquez des données dans divers types de fichiers d'image et d'audio.
• Stegonline - Effectuer un large éventail d'opérations de stéganographie d'image, telles que la dissimulation / révéler les fichiers cachés dans des bits.
• Stegosaurus - Un outil de stéganographie pour intégrer les charges utiles dans Python Bytecode.
• Stegoveritas - Encore un autre outil Stego.
• STEGPY - Programme de stéganographie simple basé sur la méthode LSB.
• Stegseek - Cracker à steghide rapide Lightning qui peut être utilisé pour extraire des données cachées à partir de fichiers.
• Stegsnow - Programme de stéganographie Whitespace.
• Stegsolve - Appliquez diverses techniques de stéganographie aux images.
• Analyse Zsteg - PNG / BMP.

Outils utilisés pour résoudre les défis Web

• Arachni - Framework Scanner de sécurité d'application Web.
• Embeltifier.io - Embellissement JavaScript en ligne.
• Burpsuite - Un outil graphique pour tester la sécurité du site Web.
• Commix - outil automatisé de l'exploitation d'injection de commande OS tout-en-un.
• Debughunter - Découvrez les paramètres de débogage caché et découvrez les secrets d'application Web.
• Dirhunt - Trouvez des répertoires Web sans bruteforce.
• DirSearch - Scanner de chemin Web.
• NOMORE403 - Outil pour contourner les erreurs 40X.
• FFUF - FUST WEB FUZZER Écrit dans Go.
• Git-Dumper - Un outil pour vider un référentiel GIT à partir d'un site Web.
• GOPHERUS - outil qui génère une liaison Gopher pour exploiter SSRF et obtenir RCE dans divers serveurs.
• Hookbin - Service gratuit qui vous permet de collecter, analyser et afficher les demandes HTTP.
• JSFiddle - Testez vos JavaScript, CSS, HTML ou CoffeeScript en ligne avec JSFiddle Code Editor.
• Ngrok - sécuriser les tunnels introspectables à localhost.
• OWASP ZAP - Intercepter le proxy pour rejouer, déboguer et fuzz http requêtes et réponses.
• PHPGGC - Bibliothèque de charges utiles PHP Unserialize () avec un outil pour les générer, à partir de la ligne de commande ou par programme.
• Postman - Addon pour Chrome pour le débogage des demandes de réseau.
• REQBIN - outil de test API de repos et de savon en ligne.
• Bin de demande - Un bac de demande moderne pour inspecter tout événement par PipeDream.
• Revelo - Analyser le code JavaScript obscurci.
• Smuggler - Un outil de test de contrebande / de désynchronisation HTTP écrit en Python3.
• SQLMAP - outil automatique d'injection SQL et de prise de base de données.
• W3AF - Framework d'attaque et d'audit d'application Web.
• XSSER - Testor XSS automatisé.
• YSOSERIAL - outil pour générer des charges utiles qui exploitent la désérialisation des objets Java dangereuse.

Toujours en ligne CTFS

• 0x0539 - Défis CTF en ligne.
• 247CTF - Capturez gratuitement l'environnement de piratage de drapeau.
• Archive.OOO - Archive en direct et jouable des défis Def Con CTF.
• ATENEA - Plateforme CCN-CERT CCNS espagnole.
• CTFLearn - Plateforme en ligne conçue pour aider les pirates éthiques à apprendre, à pratiquer et à rivaliser.
• CTF365 - Plateforme de formation de sécurité.
• Crackmes.one - Défis d'ingénierie inverse.
• CryptoHack - Défis de cryptographie.
• Cryptopals - Défis de cryptographie.
• Défendre le Web - une plate-forme de cybersécurité interactive.
• Dreamhack.io - Wargame en ligne.
• Echoctf.red - Laboratoires de piratage en ligne.
• Flagyard - un terrain de jeu en ligne des défis de cybersécurité pratiques.
• Hackbbs - Wargame en ligne.
• Hacker101 - plate-forme CTF par Hackerone.
• Hackropole - Cette plate-forme vous permet de rejouer les défis du France Cybersecurity Challenge.
• Hackthebox - Un terrain de jeu de piratage massif.
• Hackthissite - terrain de formation gratuit, sûr et juridique pour les pirates.
• HBH - Communauté conçue pour enseigner les méthodes et les tactiques utilisées par les pirates malveillants pour accéder aux systèmes et aux informations sensibles.
• KOMODO - Il s'agit d'un jeu conçu pour défier vos compétences de piratage d'applications.
• Microcorruption - CTF de sécurité intégrée.
• MNCTF - Défis de cybersécurité en ligne.
• Overthewire - Wargame offert par la communauté Overthewire.
• PICOCTF - plate-forme CTF pour les débutants.
• PWN.COLLEGE - Plateforme d'éducation à découvrir et à pratiquer les principaux concepts de cybersécurité.
• PWN.TN - Wargame éducatif et non commercial.
• Pwnable.kr - Pwn / plate-forme d'exploitation.
• Pwnable.tw - Pwn / plate-forme d'exploitation.
• Pwnable.xyz - Pwn / plate-forme d'exploitation.
• PwnChallenge - PWN / Plateforme d'exploitation.
• Inverse.kr - plate-forme d'ingénierie inverse.
• Root-me - plate-forme de formation CTF.
• Vibloctf - plate-forme de formation CTF.
• VulnHub - plate-forme de pentisting basée sur la machine virtuelle.
• W3Challs - Plateforme de piratage / CTF.
• WebHacking - Web Challenges Platform.
• WebSEC.FR - Plateforme Web Challenges.
• WECHALL - Répertoire des sites de défi et forum.
• YEHD 2015 - Défis en ligne YEHD CTF 2015.

CTFS HOSTÉ

• AWSGOAT - Une putain d'infrastructure AWS vulnérable.
• CICD-GOAT - Un environnement CI / CD délibérément vulnérable. Apprenez la sécurité CI / CD grâce à plusieurs défis.
• Damn Vulnérable Application Web - Application Web PHP / MySQL qui est sacrément vulnérable.
• GCPGOAT - Une putain d'infrastructure GCP vulnérable.
• Juice Shop - Capture-the-Flag (CTF) outils de configuration de l'environnement pour Owasp Juice Shop.

• CTFNOTE - outil collaboratif visant à aider les équipes CTF à organiser leur travail.

Référentiel des écrits CTF

• Courgettes.club - Finder de l'écriture CTF.
• CTFTime - collection CTFTime WRITSUPS.
• Github.com/ctfs - Collection des écrits CTF.

• ROPPERS BOOTCAMP - CTF BOOTCAMP.

Les ressources présentées ici ont été recueillies à partir de nombreuses sources. Cependant, les plus importants sont:

• apsdehal_awesome-cctf
• vavkamil_awesome-bugbounty-tools
• zardus_ctf-tools