http://www.irongeek.com/i.php?page=security/wargames

网络山羊。WebGoat 是一组故意不安全的 Java 服务器页面

http://www.hackthissite.org/

http://www.smashthestack.org/wargames

从他们的常见问题解答中：

Smash the Stack 兵棋推演网络托管了多个兵棋推演。在我们的上下文中，兵棋推演可以被描述为支持模拟现实世界软件漏洞理论或概念并允许合法执行利用技术的道德黑客环境。软件可以是操作系统、网络协议或任何用户级应用程序。

http://www.astalavista.com/page/wargames.html

http://www.governmentsecurity.org/forum/index.php?showtopic=15442

http://www.overthewire.org/wargames/

清单很长……有些在，有些没有……

2011 年 2 月 26 日更新，我从http://r00tsec.blogspot.com/2011/02/pentest-lab-vulnerable-servers.html找到了一篇不错的帖子。某些链接可能已损坏。我从那里复制：

Holynix 与 de-ice Cd 和 pWnOS 类似，holynix 是一个 ubuntu 服务器 vmware 映像，为了渗透测试的目的而故意构建有安全漏洞。与其说是现实世界的例子，不如说是一个障碍课程。 http://pynstrom.net/index.php?page=holynix.php

WackoPicko WackoPicko 是一个包含已知漏洞的网站。它首先用于论文Why Johnny Can't Pentest: An Analysis of Black-box Web Vulnerability Scanners 发现：http ://cs.ucsb.edu/~adoupe/static/black-box-scanners-dimva2010.pdf https ://github.com/adamdoupe/WackoPicko

De-ICE PenTest LiveCD PenTest LiveCD 是 Thomas Wilhelm 的创作，他被调到他工作的公司的渗透测试团队。为了尽快了解渗透测试，Thomas 开始寻找工具和目标。他找到了许多工具，但没有可以练习的可用目标。最终，为了缩小学习差距，Thomas 使用 LiveCD 创建了 PenTest 场景。 http://de-ice.net/hackerpedia/index.php/De-ICE.net_PenTest_Disks

Metasploitable Metasploitable 是安装在 VMWare 6.5 映像上的 Ubuntu 8.04 服务器。包括许多易受攻击的软件包，包括安装的 tomcat 5.5（具有弱凭据）、distcc、tikiwiki、twiki 和旧版 mysql。 http://blog.metasploit.com/2010/05/introducing-metasploitable.html

Owaspbwa Open Web Application Security Project (OWASP) Broken Web Applications Project，一个易受攻击的 Web 应用程序的集合。 http://code.google.com/p/owaspbwa/

Web Security Dojo 一个免费的开源自包含培训环境，用于 Web 应用程序安全渗透测试。工具 + 目标 = Dojo http://www.mavensecurity.com/web_security_dojo/

Lampsecurity LAMPSecurity 培训旨在提供一系列易受攻击的虚拟机映像以及旨在教授 linux、apache、php、mysql 安全性的补充文档。 http://sourceforge.net/projects/lampsecurity/files/

Damn Vulnerable Web App (DVWA) Damn Vulnerable Web App 是一个非常容易受到攻击的 PHP/MySQL Web 应用程序。其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具，帮助 Web 开发人员更好地了解保护 Web 应用程序的过程，并帮助教师/学生在课堂环境中教授/学习 Web 应用程序安全性. www.dvwa.co.uk

Hacking-Lab 这是 Hacking-Lab LiveCD 项目。它目前在测试体育场。live-cd 是一个标准化的客户端环境，用于远程解决我们的 Hacking-Lab 兵棋挑战。 http://www.hacking-lab.com/hl_livecd/

Moth Moth 是带有一组易受攻击的 Web 应用程序和脚本的 VMware 映像，您可以将其用于： http: //www.bonsai-sec.com/en/research/moth.php

Damn Vulnerable Linux (DVL) Damn Vulnerable Linux 是一个好的 Linux 发行版所不具备的一切。它的开发人员花费了数小时的时间来填充损坏、配置错误、过时和可利用的软件，使其容易受到攻击。DVL 不是为在您的桌面上运行而构建的——它是安全学生的学习工具。 http://www.damnvulnerablelinux.org

pWnOS pWnOS 位于“VM 映像”上，它创建了一个用于练习渗透测试的目标；“最终目标”是扎根。它旨在练习利用漏洞，具有多个入口点 http://www.backtrack-linux.org/forums/backtrack-videos/2748-%5Bvideo%5D-attacking-pwnos.html http://www.krash。在/bond00/pWnOS%20v1.0.zip

虚拟黑客实验室 故意不安全的应用程序和具有已知漏洞的旧软件的镜像。用于概念验证/安全培训/学习目的。以虚拟图像或实时 iso 或独立格式提供。 http://sourceforge.net/projects/virtualhacking/files/

Badstore Badstore.net 致力于帮助您了解黑客如何利用 Web 应用程序漏洞，并向您展示如何减少您的暴露。 http://www.badstore.net/

Katana Katana 是一个便携式多启动安全套件，它汇集了许多当今最好的安全发行版和便携式应用程序，可在单个闪存驱动器上运行。它包括专注于渗透测试、审计、取证、系统恢复、网络分析和恶意软件删除的发行版。Katana 还带有 100 多个可移植的 Windows 应用程序；例如 Wireshark、Metasploit、NMAP、Cain & Able 等等。www.hackfromacave.com/katana.html

有几个选项可用于设置要运行的测试网络。这个问题中有一个很好的已知易受攻击的操作系统列表，其中包括 DVL 和 Metasploitable。

要将它们设置为网络上的服务器，您主要需要一些有效的虚拟化软件。

不确定您在使用 Virtualbox 时遇到的问题是什么，您可以尝试VMWare Player。这是一个免费且相对简单的虚拟化系统，它应该允许您安装上面提到的易受攻击的操作系统。一旦你让它工作，你应该能够将软件安装到虚拟机中，这些虚拟机可以通过虚拟网络从你的主机访问，你应该能够在这些虚拟机上进行测试。

Metasploitable 和 UltimateLAMP-0.2 是非常适合测试的目标虚拟机。

我试图在同一台机器上设置一个服务器（通过virtualbox）并将其作为目标，但它失败了

使用虚拟机可能是解决问题的正确方法——如果你说为什么你没有让这些启动和运行，那么也许你可以得到一些帮助来解决这些问题（服务器故障可能是一个更合适的讨论场所构建虚拟机）。