培训背景
CTF(Capture The Flag,夺旗赛)是一种流行于网络安全技术人员之间的一种信息安全技术竞赛。其前身是传统黑客之间网络技术比拼的游戏,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。起源于1996年第四届DEFCON。现在已成为全球范围网络安全圈流行的竞赛形式。
通常CTF分为三种赛制
|
解题赛(Jeopardy)
|
攻防赛(Attack-Defence)
|
混合赛
|
竞赛模式基本分为解题模式、攻防模式和混合模式。大多题目的内容基本包括web安全,密码学、逆向、二进制安全编程类题目等国内外有很多CTF比赛。
解题赛是线上赛通常采取的赛制,题目通常分为多个类型,如Web,Forensic(取证),Crypto(密码学),Binary(二进制)等。团队或个人可以通过解题获得一串具有一定格式的字符串,也就是flag。将flag提交到竞赛平台可以获得积分。题目的难度越大,分值就越高。当比赛结束后,得分最高者胜出。
攻防赛是另一种有趣的赛制,常见于线下决赛。攻防赛中,每个队伍都会被分配一台主机或虚拟机,称为gamebox,队员可以通过网络连接到gamebox。而所有队伍的gamebox通过内网连接在一起。每个队伍的gamebox上都运行着多个相同的服务。参赛队伍需要挖掘服务的漏洞,然后攻击其他队伍的服务来获取flag,并提交给计分服务器来获取积分。与此同时,参赛队伍还需要修补自身服务中的漏洞来防止丢分。攻防赛不仅考验了参赛选手的技术水平,还考验了参赛者的体力,因为通常参赛者需要连续混合赛可能采取解题赛和攻防赛的混合模式,也可能是其他形式。
日程安排
|
项目
|
内容
|
|
第一天
|
|
CTF入门
|
1. CTF概念和入门
2. 国内外安全攻防比赛现状
3. 攻防比赛方式和题型介绍
4. 安全培训基础环境介绍和配置搭建
5. 实训期间所需工具包和资料分发
6. 操作系统命令和数据库基础
7. PHP和python程序入门
8. 数据库基础入门和SQL语言简述
9. 网络安全攻防渗透基础知识(搜集、定点、攻击等)
10. Linux安全基础(基本命令、系统管理、反弹shell等)
11. Windows安全基础(DOS/PS基本命令、用户权限、AD、网络协议等)
|
|
数据隐写
|
1. 数据隐写基础和工具分发
2. 隐写比赛模式和题型分析
3. 隐写专项练习:图片隐写、视频隐写、音频隐写、网络协议隐藏、pdf隐写、压缩文件隐写等
|
|
MISC杂项
|
1. 常见MISC杂项题目分析
2. 网络流量协议分析基础
3. Wireshark工具实操
4. 系统日志分析思路
5. 社会工程学概念
6. 其他技术点探讨
|
|
项目
|
内容
|
|
第二天
|
|
密码编码
|
1. 常见比赛密码学题型分析
2. 密码编码工具介绍和分发
3. 密码学理论基础(凯撒、栅栏、莫斯等)
4. 古典密码学题型分析
5. 编码解码基础入门
6. 常见编码解码题型分析
|
|
密码学进阶
|
1. 现代密码学入门
2. 算法加解密原理
3. 题型分析和关键代码学习
4. 其他算法介绍
|
|
综合训练
|
1. 隐写技术复习
2. 密码学复习
3. 题目答疑解惑
4. 杂项题目实操
|
|
WEB基础
|
1. Web漏洞基础和工具介绍
2. WEB爆破和burp实操
3. 任意文件下载和信息泄露
4. 文件上传和文件解析漏洞分析
5. XSS跨站攻击(反射、存储、DOM)靶场实操
6. 命令执行原理和OS命令强化
7. 代码执行和PHP代码强化
8. XXE原理分析和赛题解析
|
|
SQLI提高
|
SQL注入基础(原理、工具、SQLMAP等)
SQL注入进阶(报错、盲注、联合、宽字节、二阶注入、二次编码等注入)
|
|
WEB强化
|
1. PHP反序列化题型分析
2. SSRF原理和题型分析
3. 弱类型技术原理
4. 变量覆盖和条件竞争
5. 文件包含强化(伪协议、结合上传、结合XSS等)
6. SSTI模板注入分析(flask等框架介绍)
|
|
代码审计
|
1. python安全编程与代码审计
2. PHP安全编程与代码审计
3. Java、JSP安全编程与代码审计
4. 代码审计工具和真题分析
|
|
实操练习
|
典型题目实操练习和指导
|
|
第三天
|
|
反序列化
|
1. 讲解反序列化原理
2. 反序列化结合代码审计考察点
3. 省级CTF竞赛中反序列化漏洞相关利用方式
4. POP链条在反序列化中的构造方法
5. 实例剖析ThinkPhp在ctf中的反序列化考点
6. 实战往年CTF大赛中的反序列化漏洞
7. 反序列化漏洞溢出与膨胀相关考点
8. Python反序列化漏洞原理剖析
9. Python脚本语法及编写技巧
|
|
CTF模拟训练
|
1. 线下比赛模式和平台介绍
2. AWD线下对战技巧和脚本
3. 渗透测试的基本概念、实施流程(扫描探测、漏洞利用、网络渗透、口令破解等)
4. 渗透测试常用技术手段与工具
5. 漏洞利用与权限提升(操作系统、数据库、中间件、Web应用等)
6. 安全加固技术和工具脚本
7. 攻防对抗赛红蓝对抗演练
|
|
CTF解题赛
|
提供赛题和比赛平台
|
授课专家
徐老师
十年信息安全工作经验,热爱研究网络安全技术。
擅长课程:Web、渗透测试、安全研究、漏洞挖掘、代码审计擅长web方向,热爱ctf和awd。项目经历:在web方向的php代码审计尤为擅长,曾参与审计某司自研项目并审计到高危漏洞。有丰富的政府,内网 外网项目渗透经验。多次在ctf比赛中获取名次,并担任出题者和裁判。曾任职国内某top10安全公司,奇安信及多个公司的特聘安全培训讲师。
赵老师
中国信息安全测评中心特聘安全研究员,工信部网络安全技能大赛专家。
擅长课程:网络攻防、渗透测试、漏洞挖掘、应用安全、逆向分析、木马病毒、主机数据库安全测试加固、安全编程。
项目经历:有贵阳大据及网络安全攻防演练,全国网络安全攻防大赛个人第三名/团队第一,湖北移动2020CTF集训-逆向(4天)、某部队2020-CTF集训-PWN+逆向(5天)/攻防渗透+web(5天)、广西电网2020CTF集训提高班(15天)、广西国税2020竞赛集训-逆向、网络空间安全精英集训营201908(讲师代表/技术评委)、中国电建网络安全集训等。
培训费用
|
培训费
|
7800元/人(含培训费、平台费、资料费及直播视频回放一年等费用)
|
400-808-2006
扫码加老师微信
微信服务号