CTF實(shí)戰(zhàn)：從入門到提升

🚀前言

沒有網(wǎng)絡(luò)安全就沒有國家安全，網(wǎng)絡(luò)安全不僅關(guān)系到國家整體信息安全，也關(guān)系到民生安全。近年來，隨著全國各行各業(yè)信息化的發(fā)展，網(wǎng)絡(luò)與信息安全得到了進(jìn)一步重視，越來越多的網(wǎng)絡(luò)安全競賽也開始進(jìn)入人們的視野。網(wǎng)絡(luò)安全競賽對于主辦方來說，在某種程度上能完成對網(wǎng)絡(luò)安全人才的選拔，對于參賽者來說，也是一個(gè)很好的交流學(xué)習(xí)平臺，更是很多人接觸網(wǎng)絡(luò)安全、學(xué)習(xí)網(wǎng)絡(luò)安全、深入了解網(wǎng)絡(luò)安全的重要渠道。

CTF是Capture The Flag（奪旗賽）的縮寫，它是一種網(wǎng)絡(luò)安全競賽。在CTF比賽中，參賽者需要解決一系列與網(wǎng)絡(luò)安全相關(guān)的難題，包括密碼學(xué)、逆向工程、漏洞利用等等。其中的“旗幟”代表著問題的答案，參賽者需要通過解決問題來獲取旗幟。CTF比賽不僅可以提高參賽者的網(wǎng)絡(luò)安全技術(shù)，還可以培養(yǎng)他們的團(tuán)隊(duì)合作能力和問題解決能力。

CTF作為網(wǎng)絡(luò)安全競賽中最為傳統(tǒng)的競賽模式，最為直接地考察了選手在各個(gè)領(lǐng)域?qū)?yīng)知識點(diǎn)的掌握情況，從檢驗(yàn)和學(xué)習(xí)的角度考慮也更具有針對性。本書選取CTF實(shí)戰(zhàn)中所需知識和技能進(jìn)行講解，希望從競賽維度來促進(jìn)大家對網(wǎng)絡(luò)安全各個(gè)領(lǐng)域相關(guān)技能的學(xué)習(xí)。CTF的覆蓋面大于傳統(tǒng)的攻防滲透，因此對于初學(xué)者來說不僅僅是掌握競賽中可能遇到的技能，更希望能夠拓展對網(wǎng)絡(luò)安全其他領(lǐng)域的了解，并通過CTF的學(xué)習(xí)找到自己想去深入研究的方向。

🚀一、CTF實(shí)戰(zhàn)：從入門到提升

本書編寫的人員都來自于安恒信息的“恒星實(shí)驗(yàn)室”,近年來恒星實(shí)驗(yàn)室在眾多網(wǎng)絡(luò)安全競賽中都取得了優(yōu)異的成績，同時(shí)本書的編寫人員也參與支撐了國內(nèi)眾多網(wǎng)絡(luò)安全競賽的舉辦，因此能夠從出題人和做題人兩方視角進(jìn)行講解。在編寫書稿時(shí)先進(jìn)行體系設(shè)計(jì)，而后將自身經(jīng)驗(yàn)轉(zhuǎn)化輸出，重點(diǎn)講解實(shí)戰(zhàn)所需知識和技能，希望能幫助更多的人更加高效地學(xué)習(xí)，更希望能為國家的網(wǎng)絡(luò)空間安全建設(shè)貢獻(xiàn)一份力量。

CTF作為競賽模式中的一種，覆蓋面非常廣泛，解題思路非常多，本書開發(fā)中我們也只是選取了部分角度進(jìn)行切入，內(nèi)容上沒有辦法完全覆蓋所有CTF競賽內(nèi)容。限于作者水平，書中疏漏之處在所難免，希望讀者批評指正。

為了方便讀者學(xué)習(xí)，提升學(xué)習(xí)效率，本書特意附贈了實(shí)驗(yàn)平臺，相關(guān)地址可以通過關(guān)注以下公眾號獲取。本書其他的配套資源（視頻、工具、內(nèi)容更新等），作者也會在此公眾號同步發(fā)布。
最后，由于網(wǎng)絡(luò)安全的特殊性，本書相關(guān)內(nèi)容僅限于學(xué)習(xí)網(wǎng)絡(luò)安全技術(shù)，嚴(yán)禁利用書中所提及的相關(guān)技術(shù)及手段進(jìn)行非法攻擊，否則將受到法律的嚴(yán)懲！

🚀二、書籍推薦

推薦語：

本書采用理論與案例相結(jié)合的形式，全面講解傳統(tǒng)網(wǎng)絡(luò)安全競賽CTF解題賽中五大類重點(diǎn)知識和技能。

全書共17章，其中第1_{3章為第1篇Web安全，從原理層面講解了最常見的PHP相關(guān)安全問題，以及文件上傳漏洞、文件包含漏洞、命令執(zhí)行漏洞、SQL注入漏洞、SSRF漏洞等常見Web漏洞的原理與利用；第4}6章為第2篇Crypto密碼，主要介紹了密碼學(xué)基礎(chǔ)、常見編碼、古典密碼學(xué)和現(xiàn)代密碼學(xué)等相關(guān)內(nèi)容；第7_{10章為第3篇MISC安全，主要介紹了隱寫術(shù)、壓縮包分析、流量分析和取證分析等相關(guān)內(nèi)容；第11}13章為第4篇Reverse逆向工程，主要介紹了逆向工程基本概念、計(jì)算機(jī)相關(guān)原理、逆向相關(guān)基礎(chǔ)、常規(guī)逆向分析思路、反調(diào)試對抗技術(shù)等內(nèi)容；第14~17章為第5篇PWN，主要介紹了基礎(chǔ)環(huán)境準(zhǔn)備、棧溢出、堆溢出等漏洞的原理與利用。

本書所有案例都配有相關(guān)實(shí)踐內(nèi)容，能夠更有效地幫助讀者進(jìn)一步理解相關(guān)技能。

本書旨在幫助讀者相對快速且完整地構(gòu)建一個(gè)CTF實(shí)戰(zhàn)所需的基礎(chǔ)知識框架，并通過案例學(xué)習(xí)相關(guān)技能，完成從入門到提升，適合所有網(wǎng)絡(luò)安全愛好者及從業(yè)者參考閱讀，也可作為高等院校網(wǎng)絡(luò)安全相關(guān)實(shí)踐課程的參考用書。