书籍介绍
《从0到1:CTFer成长之路》主要面向CTF入门者,融入了CTF比赛的方方面面,让读者可以进行系统性的学习。本书包括13章内容,技术介绍分为线上赛和线下赛两部分。线上赛包括10章,涵盖Web、PWN、Reverse、APK、Misc、Crypto、区块链、代码审计。线下赛包括2章,分别为AWD和靶场渗透。第13章通过Nu1L战队成员的故事和联合战队管理等内容来分享CTF战队组建和管理、运营的经验。
本书为当前众多CTF入门的参赛者提供了一份不可多得的参考教材。由于CTF覆盖知识点庞杂,而且近年来赛事题目越来越难,对于CTF入门的选手来说很难把握,市面上系统地介绍CTF的书目前并不多见。本书的内容不仅覆盖了传统CTF线上、线下赛常见的知识领域,如Web攻防、逆向工程、漏洞利用、密码分析等,还增加了AWD攻防赛、区块链等新的内容。特别是本书最后加入了Nu1L战队的成长史和Nu1L两位队员的故事,融入了付浩本人对CTF竞赛的期望和情怀,其中关于CTF联合战队管理、如何组织竞赛、如何吸收新鲜血液等内容,都是独一无二的。这些内容融合了Nu1L整个团队多年的知识、经验和感情。我相信,本书不仅对CTF爱好者学习技术有重要帮助,也对CTF战队的组织管理者提供了难得的参考。
随着日益严峻的网络安全形势及人们对网络安全重视程度的提高,以人才发现、培养和选拔为目的的网络安全赛事不断涌现,成为发现人才的一种创新形式。目前,国内高水平的网络安全赛事普遍以CTF形式存在,竞赛水平差异较大,直接参加高于自身技术过多的竞赛犹如空中楼阁,不仅很难学到东西,也可能打击自信。参加过于简单的竞赛则浪费时间而无所得。此外,CTF比赛题目因涉及网络安全技术、计算机技术、硬件技术等领域,内容十分繁杂,迭代更新时间快,初学者往往一头雾水地参与其中,难以发现CTF的乐趣。
希望这本书可以让CTF入门者进行系统性的学习,于是决定尽可能地将CTF比赛中的方方面面融入此书。同时,为了避免这本书成为一本只是罗列知识点的普通安全基础书籍,除了围绕CTF涉及的大量知识点,我们还将做题的技巧、个人经验穿插其中,以便让读者更好地融入。除了技术层面的内容,我们还会介绍Nu1L战队的成长史和联合战队的管理经验。
目录
CTF之线上赛
第1章 Web入门
1.1 举足轻重的信息收集
1.2 CTF中的SQL注入
1.3 任意文件读取漏洞
第2章 Web进阶
2.1 SSRF漏洞
2.2 命令执行漏洞
2.3 XSS的魔力
2.4 Web文件上传漏洞
第3章 Web拓展
3.1 反序列化漏洞
3.2 Python的安全问题
3.3 密码学和逆向知识
3.4 逻辑漏洞
第4章 APK
4.1 Android开发基础
4.2 APK逆向工具
4.3 APK逆向之反调试
4.4 APK逆向之脱壳
4.5 APK真题解析
第5章 逆向工程
5.1 逆向工程基础
5.2 静态分析
5.3 动态调试和分析
5.4 常见算法识别
5.5 二进制代码保护和混淆
5.6 高级语言逆向
5.7 现代逆向工程技巧
5.8 逆向中的技巧
第6章 PWN
6.1 PWN基础
6.2 整数溢出
6.3 栈溢出
6.4 返回导向编程
6.5 格式化字符串漏洞
6.6 堆利用
6.7 Linux内核PWN
6.8 Windows系统的PWN
6.9 Windows内核PWN
第7章 Crypto
7.1 编码
7.2 古典密码
7.3 分组密码
7.4 流密码
7.5 公钥密码
7.6 其他常见密码学应用
第8章 智能合约
8.1 智能合约概述
8.2 以太坊智能合约题目实例
第9章 Misc
9.1 隐写术
9.2 压缩包加密
9.3 取证技术
第10章 代码审计
10.1 PHP代码审计
10.2 Java代码审计
CTF之线下赛
第11章 AWD
11.1 比赛前期准备
11.2 比赛技巧
11.3 流量分析
11.4 漏洞修复
第12章 靶场渗透
12.1 打造渗透环境
12.2 端口转发和代理
12.3 常见漏洞利用方式
12.4 获取认证凭证
12.5 横向移动
12.6 靶场渗透案例
下载地址
-
