本教程針對新手學習的特點,選擇近幾年相關賽事真題講解。主要包括:CTF的賽制、賽事介紹,競賽相關的計算機網(wǎng)絡、數(shù)據(jù)庫、操作系統(tǒng)、程序設計、密碼學等必備知識。重點剖析CTF競賽中常用的MISC、Web、逆向、PWN等題型的求解思路。
(1)作者經(jīng)驗豐富:專門從事網(wǎng)絡安全人才培養(yǎng),具有豐富的CTF帶隊經(jīng)驗,對賽題、賽情分析精到。
(2)內容針對性強:本書建立起以CTF為原點的網(wǎng)絡安全理論體系,細分專項,將基本原理融入真題,助你集中精力攻克CTF。
內容實戰(zhàn)性強:本書分門別類地整理、分析了國內外大量真題,提供比賽實戰(zhàn)技巧,讓CTF新手快速入門。
2014年2月27日,習近平總書記在中央網(wǎng)絡安全和信息化領導小組的第一次會議上指出:沒有網(wǎng)絡安全就沒有國家安全。該小組將著眼國家安全和長遠發(fā)展,統(tǒng)籌協(xié)調涉及經(jīng)濟、政治、文化、社會及軍事等各個領域的網(wǎng)絡安全和信息化重大問題,研究制定網(wǎng)絡安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策,推動國家網(wǎng)絡安全和信息化法治建設,不斷增強安全保障能力。
2015年批準設立了網(wǎng)絡空間安全一級學科。目前,很多高校網(wǎng)絡空間安全相關的學科專業(yè)建設及人才培養(yǎng)尚處于探索階段,培養(yǎng)規(guī)模與質量遠遠滯后于網(wǎng)絡安全產(chǎn)業(yè)的發(fā)展。
為貫徹落實《關于加強網(wǎng)絡安全學科建設和人才培養(yǎng)的意見》(中網(wǎng)辦發(fā)文〔2016〕4號),河南省計算機學會發(fā)起成立了“河南省網(wǎng)絡安全高校戰(zhàn)隊聯(lián)盟”,并邀請網(wǎng)絡安全領域的權威專家,舉辦“河南省網(wǎng)絡安全高校戰(zhàn)隊聯(lián)盟成立暨網(wǎng)絡安全人才培養(yǎng)高峰論壇”。
河南省網(wǎng)絡安全高校戰(zhàn)隊聯(lián)盟將通過戰(zhàn)隊的組建、培育,提升高校學生的網(wǎng)絡安全素養(yǎng),提高網(wǎng)絡安全相關專業(yè)學生及愛好者的攻防對抗能力,為網(wǎng)絡安全行業(yè)的發(fā)展培養(yǎng)高水平人才,為國家的網(wǎng)絡強國戰(zhàn)略提供智力支持。
CTF(Capture The Flag,奪旗賽)是網(wǎng)絡安全領域信息安全競賽的一種形式,參賽團隊之間通過攻防對抗等形式,從主辦方給出的比賽環(huán)境中得到一串具有一定格式的字符串或其他內容,并提交給主辦方,從而獲取分數(shù)。
CTF比賽對培養(yǎng)網(wǎng)絡安全技術人才起到了很重要的作用,吸引著越來越多的年輕人參與其中。但對初學者來說,當務之急是快速入門CTF。
在此背景下,我們創(chuàng)作本書以饗讀者。
在本書的編寫過程中,我們首先分析了CTF涉及的主要內容和基本原理,然后針對不同知識點,廣泛收集并深入分析了國內外主要的CTF比賽真題,精心選取了一些具有代表性的題目,并整理了相應的解題思路(Write Up),以便初學者體味相關知識點并加以驗證,從而快速入門。
本書主要由王瑞民、宋玉、劉磊、王肖麗、秦衛(wèi)麗、常玉存等執(zhí)筆,宋玉對全書架構做了整體設計,王瑞民對全書進行了審閱修改。
在本書的編寫過程中,我們對所涉及的網(wǎng)絡安全問題慎之又慎,唯恐出現(xiàn)紕漏,歡迎各位讀者不吝批評、指正,以便本書日臻完善。
Contents?目 錄
前 言
第1章 CTF 簡介 1
1.1 CTF的由來 1
1.2 CTF競賽模式 2
1.2.1 解題模式 2
1.2.2 攻防模式 2
1.2.3 混合模式 3
1.3 國內部分CTF賽事介紹 3
1.3.1 強網(wǎng)杯 3
1.3.2 網(wǎng)鼎杯 6
1.3.3 護網(wǎng)杯 7
第2章 CTF 競賽基礎 10
2.1 計算機網(wǎng)絡基礎 10
2.1.1 計算機網(wǎng)絡的組成 10
2.1.2 TCP/IP 11
2.1.3 IP地址 14
2.1.4 路由基礎 16
2.1.5 文件傳輸協(xié)議 20
2.2 數(shù)據(jù)庫安全基礎 22
2.2.1 數(shù)據(jù)庫安全概述 22
2.2.2 數(shù)據(jù)庫安全語義 23
2.2.3 訪問控制策略與執(zhí)行 24
2.3 操作系統(tǒng)基礎 26
2.3.1 操作系統(tǒng)的類型 26
2.3.2 操作系統(tǒng)的功能 30
2.3.3 Windows基礎 32
2.3.4 Linux基礎 34
2.4 編程語言基礎 37
2.4.1 HTML 38
2.4.2 JavaScript 39
2.4.3 Python 40
2.4.4 PHP 40
2.4.5 匯編 42
第3章 CTF 密碼學 45
3.1 信息編碼 45
3.1.1 ASCII碼 45
3.1.2 Unicode編碼 47
3.1.3 URL編碼 47
3.1.4 Base64編碼 48
3.2 信息的加密及解密 49
3.2.1 密碼學的基本概念 49
3.2.2 古典密碼學 51
3.2.3 現(xiàn)代密碼學 55
3.3 綜合解題實戰(zhàn) 59
3.3.1 信息編碼類 59
3.3.2 古典密碼學類 64
3.3.3 現(xiàn)代密碼學類 67
第4章 CTF Web 78
4.1 CTF Web概述 78
4.2 主要知識點 79
4.2.1 SQL注入 79
4.2.2 XSS 81
4.2.3 CSRF 82
4.2.4 文件上傳與文件包含 84
4.2.5 命令執(zhí)行 84
4.3 綜合解題實戰(zhàn) 86
4.3.1 SQL注入類 86
4.3.2 XSS/CSRF類 90
4.3.3 文件上傳與文件包含類 94
4.3.4 命令執(zhí)行類 100
第5章 CTF 逆向 104
5.1 CTF逆向概述 104
5.2 主要知識點 106
5.2.1 基本分析流程 106
5.2.2 自動化逆向 109
5.2.3 腳本語言逆向 110
5.2.4 干擾逆向分析 111
5.3 綜合解題實戰(zhàn) 114
5.3.1 手工及自動化逆向類 114
5.3.2 腳本語言逆向類 122
5.3.3 干擾分析及破解類 124
第6章 CTF PWN 134
6.1 CTF PWN概述 134
6.1.1 CTF PWN的由來 134
6.1.2 PWN的解題過程 135
6.2 主要知識點 137
6.2.1 棧漏洞利用原理 137
6.2.2 堆漏洞利用原理 138
6.2.3 整型漏洞 140
6.3 綜合解題實戰(zhàn) 141
6.3.1 棧漏洞利用類 141
6.3.2 堆漏洞利用類 148
6.3.3 整型漏洞利用類 160
第7章 CTF Misc 166
7.1 CTF Misc概述 166
7.2 主要知識點 168
7.2.1 文件分析 168
7.2.2 信息隱藏 169
7.2.3 流量分析 172
7.3 綜合解題實戰(zhàn) 173
7.3.1 文件分析類 173
7.3.2 信息隱藏類 178
7.3.3 流量分析類 187
參考文獻 191