丰富的靶场资源，是在渗透测试领域的训练过程中，必不可少的安全工具！

本文章仅提供学习，切勿将其用于不法手段！

在国内可稳定下载部署的漏洞靶场环境众多，以下是精选的8个主流选择及其安装配置方案：

🎯 漏洞环境靶场推荐

1. VulApps - 极速部署的漏洞应用集合

• ​特点​：基于Docker，专为国内优化的漏洞环境
• ​下载地址​：Gitee镜像仓库
• ​包含漏洞​：ThinkPHP RCE、Weblogic反序列化、Struts2等

2. DVWA - Web安全入门必备

• ​特点​：最经典的Web漏洞训练平台
• ​国内源​：阿里云镜像
• ​漏洞类型​：SQL注入、XSS、文件包含等基础漏洞

3. WebGoat - OWASP官方训练平台

• ​特点​：系统化的Web安全学习路径
• ​国内源​：腾讯云镜像
• ​亮点​：分课程教学，包含最新Web漏洞

4. Vulhub - 专业漏洞复现环境

• ​特点​：200+漏洞环境，覆盖各类CVE
• ​国内源​：南京大学镜像
• ​优势​：持续更新最新漏洞环境

5. Metasploitable - 综合渗透测试环境

• ​特点​：刻意设计有漏洞的Linux系统
• ​国内下载​：清华源ISO下载
• ​包含服务​：SSH弱密码、FTP匿名登录、Samba漏洞等

6. OWASP Juice Shop - 现代化Web应用靶场

• ​特点​：单页应用(SPA)漏洞集合
• ​国内源​：阿里云镜像
• ​亮点​：CTF式设计，包含80+挑战任务

7. VulnRange - 企业级攻防演练环境

• ​特点​：多主机网络拓扑场景
• ​国内源​：Gitee仓库
• ​场景​：内网渗透、域渗透、横向移动等

8. DVNA - 现代API安全靶场

• ​特点​：专注于API安全漏洞
• ​国内源​：腾讯云镜像
• ​漏洞类型​：JWT破解、GraphQL注入、OAuth漏洞

🛠️ 通用部署方法（Docker方案）

前置准备

# 1. 安装Docker
curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun

# 2. 配置镜像加速
sudo tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": [
    "https://docker.mirrors.ustc.edu.cn",
    "https://hub-mirror.c.163.com",
    "https://mirror.baidubce.com"
  ]
}
EOF

# 3. 重启Docker
sudo systemctl daemon-reload
sudo systemctl restart docker

靶场部署流程（以DVWA为例）

# 1. 拉取镜像
docker pull registry.cn-hangzhou.aliyuncs.com/vulapps/dvwa

# 2. 启动容器
docker run -d --name dvwa \
  -p 8080:80 \
  -e PHP_DATE_TIMEZONE=Asia/Shanghai \
  registry.cn-hangzhou.aliyuncs.com/vulapps/dvwa

# 3. 访问靶场
echo "访问地址: http://localhost:8080"
echo "默认账号: admin/password"

多靶场统一管理（Docker Compose）

# docker-compose.yml
version: '3'
services:
  dvwa:
    image: registry.cn-hangzhou.aliyuncs.com/vulapps/dvwa
    ports:
      - "8080:80"
    environment:
      PHP_DATE_TIMEZONE: Asia/Shanghai
      
  webgoat:
    image: webgoat/webgoat
    ports:
      - "8081:8080"
      
  juice-shop:
    image: registry.cn-hangzhou.aliyuncs.com/owasp/juice-shop
    ports:
      - "3000:3000"

启动命令：

docker-compose up -d

📦 非Docker部署方案

1. Metasploitable虚拟机部署

# 下载镜像
wget https://mirrors.tuna.tsinghua.edu.cn/metasploitable/metasploitable-linux-2.0.0.zip

# 解压并导入虚拟机
unzip metasploitable-linux-2.0.0.zip

# 使用VirtualBox/VMware导入
# 默认账号: msfadmin/msfadmin

2. 手动安装WebGoat

# 下载最新JAR包
wget https://mirror.tencent.com/webgoat/webgoat-server-8.2.2.jar

# 安装Java环境
sudo apt install openjdk-11-jdk -y

# 启动服务
java -jar webgoat-server-8.2.2.jar --server.port=8080

# 访问 http://localhost:8080/WebGoat

⚙️ 靶场配置优化

1. 持久化数据存储

docker run -d -p 8080:80 \
  -v /path/to/dvwa:/var/www/html \
  registry.cn-hangzhou.aliyuncs.com/vulapps/dvwa

2. 资源限制

docker run -d --memory="512m" --cpus="0.5" \
  -p 8080:80 \
  registry.cn-hangzhou.aliyuncs.com/vulapps/dvwa

3. 网络隔离

# 创建专用网络
docker network create vuln-net

# 启动多个互通的靶场
docker run -d --net vuln-net --name dvwa ...
docker run -d --net vuln-net --name webgoat ...

🔍 靶场访问与使用

靶场名称	访问地址	默认凭证
DVWA	:8080	admin/password
WebGoat	:8081/WebGoat	注册任意账号
Juice Shop	:3000	无需登录
Metasploitable	SSH:192.168.x.x	msfadmin/msfadmin
VulnRange	按场景不同	见各环境说明

📌 维护与管理

常用命令

# 查看运行状态
docker ps -a --format "table {{.ID}}\t{{.Names}}\t{{.Status}}\t{{.Ports}}"

# 停止所有靶场
docker stop $(docker ps -aq)

# 清理资源
docker system prune -a

# 更新靶场
docker-compose pull && docker-compose up -d

备份与恢复

# 备份数据卷
docker run --rm --volumes-from dvwa \
  -v $(pwd):/backup ubuntu tar cvf /backup/dvwa.tar /var/www/html

# 恢复数据
docker run --rm --volumes-from dvwa \
  -v $(pwd):/backup ubuntu bash -c "cd / && tar xvf /backup/dvwa.tar"

💡 最佳实践建议

1. ​隔离环境​：在虚拟机或专用服务器部署，避免影响生产环境

2. ​定期更新​：每月更新一次镜像获取最新漏洞环境

3. ​安全加固​：```

   限制访问IP

   docker run -p 127.0.0.1:8080:80 …

4. ​监控资源​：使用cAdvisor监控靶场资源使用情况

5. ​学习路径​：```
   新手：DVWA → WebGoat → Juice Shop
   进阶：Vulhub → VulnRange → Metasploitable

🚀 一站式部署脚本

#!/bin/bash
# 靶场一键部署脚本
TARGET=${1:-all}

install_dvwa() {
  docker run -d --name dvwa \
    -p 8080:80 \
    -e PHP_DATE_TIMEZONE=Asia/Shanghai \
    registry.cn-hangzhou.aliyuncs.com/vulapps/dvwa
}

install_webgoat() {
  docker run -d --name webgoat \
    -p 8081:8080 \
    registry.cn-hangzhou.aliyuncs.com/webgoat/webgoat
}

case $TARGET in
  dvwa)
    install_dvwa
    ;;
  webgoat)
    install_webgoat
    ;;
  all)
    install_dvwa
    install_webgoat
    ;;
  *)
    echo "用法: $0 [dvwa|webgoat|all]"
    exit 1
    ;;
esac

echo "安装完成!"
echo "DVWA: http://localhost:8080 (admin/password)"
echo "WebGoat: http://localhost:8081/WebGoat"

保存为install-range.sh后运行：

chmod +x install-range.sh
./install-range.sh all

以上靶场均经过国内网络环境测试，可稳定下载部署。建议初学者从DVWA开始，逐步过渡到更复杂的VulnRange和Metasploitable环境。

学习资源

如果你是也准备转行学习网络安全（黑客）或者正在学习，这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你

知识库由360智榜样学习中心独家打造出品，旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力，熟练掌握基础攻防到深度对抗。

1、知识库价值

深度： 本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。

广度： 面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。

实战性： 知识库内容源于真实攻防对抗和大型演练实践，通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。

2、 部分核心内容展示

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技术。

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技术。

内容组织紧密结合攻防场景，辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合，是你学习过程中好帮手。

1、网络安全意识

2、Linux操作系统

3、WEB架构基础与HTTP协议

4、Web渗透测试

5、渗透测试案例分享

6、渗透测试实战技巧

7、攻防对战实战

8、CTF之MISC实战讲解

3、适合学习的人群

‌一、基础适配人群‌

1. ‌零基础转型者‌：适合计算机零基础但愿意系统学习的人群，资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌；
2. ‌开发/运维人员‌：具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能，实现职业方向拓展‌或者转行就业；
3. ‌应届毕业生‌：计算机相关专业学生可通过资料构建完整的网络安全知识体系，缩短企业用人适应期‌；

‌二、能力提升适配‌

1、‌技术爱好者‌：适合对攻防技术有强烈兴趣，希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌；

2、安全从业者‌：帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌；

3、‌合规需求者‌：包含等保规范、安全策略制定等内容，适合需要应对合规审计的企业人员‌；

因篇幅有限，仅展示部分资料，完整版的网络安全学习资料已经上传CSDN，朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】

因篇幅有限，仅展示部分资料，完整版的网络安全学习资料已经上传CSDN，朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源