正如 this.josh 所提到的，您可以在这个问题中查看多个已经存在的易受攻击的应用程序，或者您可以尝试查找现有的 CTF 源代码 - 例如，查看OWASP hackademic Challenges。您可以只采用其中之一，并为您的学生稍微修改它们。此外，尝试联系过去 CTF 的作者——他们可能会通过提供源代码来帮助您。这是一个带有适当链接的各种 CTF 挑战的方便日历。

我曾经偶然发现了一个名为 Metasploitable 的 OS VM 机器，它是由 Metasploit 的创建者制作的，用作练习的目标机器。

是的，这是来自页面的引用：

Ubuntu 8.04 服务器安装在 VMWare 6.5 映像上。>包括了许多易受攻击的软件包，包括安装的tomcat 5.5（具有弱凭据）、distcc、tikiwiki、>twiki 和较旧的 mysql。

如果您自己经历了一些漏洞，您可以将这些任务分配给您的学生并给他们一些指导。

链接在这里：

Metasploitable

以及 metasploit 框架的链接

Metasploit

最后但并非最不重要的是，Backtrack 5，如果您还没有向您的学生介绍这个操作系统和渗透测试软件的编译：

回溯

与其从头开始创建带有故意漏洞的新演示系统，不如先看看现有的：

Google 的 Gruyere 代码实验室，“Web 应用程序漏洞利用和防御” http://google-gruyere.appspot.com/

OWASP 的 WebGoat：https ://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

以前 CTF 活动的组织者在这里。

首先，写下一个简单的记分牌系统，然后决定您希望在您的活动中设置多少以及哪些类别。如果你看这张照片https://p.twimg.com/Ad_ncp0CAAE7L_I.jpg:large < 这是我在 codebits.eu 组织的最后一次 CTF，这是一个有 10 个团队的活动，每个团队有 4 个元素。

它有4个类别：

• 网络应用
• 取证
• Pwnables
• 琐事

如果您想查看一些示例 CTF 挑战，我有一个网站列表，我可以为您提供：

-http://balgan.eu/?page_id=67 <<（我的网站）

-http://hackerschool.org/DefconCTF/17/B300.html

-http://nopsr.us/

-http://leetmore.ctf.su/hack-lu-2010/

-http://www.routards.org/2010/06/defcon-17-quals-forensics-300.html

-http://www.vnsecurity.net/2010/05/defcon-18-quals-writeups-collection/

-http://www.vnsecurity.net/c/capture-the-flag/

希望对您有所帮助，如果您需要帮助，请随时提出更多问题！