作为渗透测试的新手小伙伴们，学习的最佳方式就是实战，靶场就是一个非常好的练习平台。靶场里模拟了各种真实的漏洞场景，帮助大家熟悉攻击手法、了解漏洞的原理。下面推荐几款适合新手的靶场，每个都配有推荐理由、玩法特点和学习顺序哦～

1.Pikachu 靶场

• 推荐理由：非常适合新手入门，包含了常见的Web漏洞，界面简洁易懂，特别友好！
• 玩法：安装后通过访问Web界面进行操作，每个漏洞场景都有简单的介绍和提示，帮助你理解攻击思路。可以使用基础的SQL注入、XSS（跨站脚本攻击）、文件上传等漏洞进行演练。
• 特点：包含详细的漏洞说明，新手上手很快，带有一些提示小彩蛋。Pikachu内容虽不多，但都是精华，适合初学者迅速理解概念。
• 推荐学习顺序：SQL注入 -> XSS -> 文件上传漏洞

2.DVWA (Damn Vulnerable Web Application)

• 推荐理由：DVWA是学习基础Web安全的经典靶场，可以根据难度选择不同的攻击场景，从“简单”到“困难”逐步递进，非常适合新手。
• 玩法：通过Web浏览器进行攻击，DVWA包含SQL注入、命令执行、文件上传、CSRF等多种漏洞，每种攻击都有难易度选择，你可以从简单开始，逐渐挑战更复杂的场景。
• 特点：难度分级，可以自由选择，适合不断挑战自我。同时，漏洞类型较为丰富，覆盖面广，能让你全面了解各种常见Web漏洞的攻击方法。
• 推荐学习顺序：基础SQL注入 -> 命令执行 -> 文件上传 -> CSRF

3.Vulhub 靶场

• 推荐理由：Vulhub 是一个基于Docker的靶场，支持快速搭建各种流行的漏洞环境，非常方便！可以帮助你在本地搭建真实的漏洞环境来练手。
• 玩法：使用Docker容器搭建，几乎无需配置，可以快速启动。涵盖了OWASP Top 10、真实的CMS漏洞、历史上的经典漏洞等，是一个可以让你深入理解和动手实操的优秀平台。
• 特点：环境搭建快速、无需复杂配置，漏洞场景真实，还可以模拟企业级环境中的漏洞，实用性强。
• 推荐学习顺序：选择你感兴趣的环境逐个击破，例如：基于某个具体漏洞（如Jenkins漏洞、ThinkPHP漏洞）来逐步熟悉漏洞利用方法。

4.bWAPP (Buggy Web Application)

• 推荐理由：bWAPP是一个免费的、开放源代码的靶场，支持学习多种安全漏洞。它涵盖了从简单到复杂的Web漏洞，并且有详细的说明和教程。
• 玩法：安装完成后，访问Web界面，选择你想要的漏洞练习。支持多种类型的攻击，包括SQL注入、XSS、Clickjacking等。
• 特点：漏洞类型丰富（支持100多种漏洞类型），内容详尽，既适合新手入门，也适合有一定经验的安全爱好者深入研究。
• 推荐学习顺序：从基础SQL注入和XSS开始，然后逐渐挑战更复杂的漏洞类型。

5.OWASP Juice Shop

• 推荐理由：这是一个基于现代Web技术的靶场，专门用于学习和实践Web安全。Juice Shop的前端很现代化，看起来像一个普通的购物网站，但暗藏众多漏洞，适合那些有一定基础，想要挑战自己的新手。
• 玩法：Juice Shop看似是一个正常运行的电商网站，实际上它设计了非常多的漏洞场景。你需要通过漏洞攻击模拟，解锁“挑战”，类似于解谜游戏。
• 特点：非常有趣的游戏化设计，包含从简单到复杂的漏洞。前端现代化，真实感强，适合通过挑战形式学习漏洞攻击。
• 推荐学习顺序：先完成简单的SQL注入和XSS任务，再挑战高级漏洞如身份认证绕过、RCE等。

其他推荐靶场

• Metasploitable2：经典的漏洞环境，适合用来练习Metasploit框架的使用，入门学习漏洞利用和系统渗透。
• Hack The Box：在线靶场平台，提供众多挑战，但对新手来说难度较大，适合有一定基础后进行挑战。
• VulnHub：提供众多虚拟机靶场，适合下载后在本地进行渗透测试练习，内容丰富，选择自由。

学习顺序建议：

1. Pikachu -> 入门了解常见漏洞原理。
2. DVWA -> 挑战不同难度的经典漏洞，逐步进阶。
3. bWAPP -> 扩展知识面，挑战更多种类的漏洞。
4. Vulhub -> 深入Docker搭建的漏洞环境，接触更多实战场景。
5. Juice Shop -> 现代化Web渗透测试，通过解谜和任务提升实战能力。

温馨提示：

• 在练习靶场时，注意保护个人隐私和数据安全，避免在生产环境中直接操作漏洞。
• 每个靶场的学习不需要急于求成，重点是理解漏洞的原理和攻击方法。

希望大家都能在靶场中找到乐趣，逐步提升自己的渗透测试技能哦～