CTF信息安全竞赛实战演练
CTF信息安全竞赛实战演练详细内容
CTF信息安全竞赛
实战演练训练营
|
|
2024年7月8-10日 | 南京 |
培训背景
CTF(Capture The Flag,夺旗赛)是一种流行于网络安全技术人员之间的一种信息安全技术竞赛。其前身是传统黑客之间网络技术比拼的游戏,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。起源于1996年第四届DEFCON。现在已成为全球范围网络安全圈流行的竞赛形式。
通常CTF分为三种赛制
解题赛(Jeopardy) | 攻防赛(Attack-Defence) | 混合赛 |
竞赛模式基本分为解题模式、攻防模式和混合模式。大多题目的内容基本包括web安全,密码学、逆向、二进制安全编程类题目等国内外有很多CTF比赛。
解题赛是线上赛通常采取的赛制,题目通常分为多个类型,如Web,Forensic(取证),Crypto(密码学),Binary(二进制)等。团队或个人可以通过解题获得一串具有一定格式的字符串,也就是flag。将flag提交到竞赛平台可以获得积分。题目的难度越大,分值就越高。当比赛结束后,得分最高者胜出。
攻防赛是另一种有趣的赛制,常见于线下决赛。攻防赛中,每个队伍都会被分配一台主机或虚拟机,称为gamebox,队员可以通过网络连接到gamebox。而所有队伍的gamebox通过内网连接在一起。每个队伍的gamebox上都运行着多个相同的服务。参赛队伍需要挖掘服务的漏洞,然后攻击其他队伍的服务来获取flag,并提交给计分服务器来获取积分。与此同时,参赛队伍还需要修补自身服务中的漏洞来防止丢分。攻防赛不仅考验了参赛选手的技术水平,还考验了参赛者的体力,因为通常参赛者需要连续混合赛可能采取解题赛和攻防赛的混合模式,也可能是其他形式。
日程安排
项目 | 内容 |
第一天 | |
CTF入门 | 1. CTF概念和入门 2. 国内外安全攻防比赛现状 3. 攻防比赛方式和题型介绍 4. 安全培训基础环境介绍和配置搭建 5. 实训期间所需工具包和资料分发 6. 操作系统命令和数据库基础 7. PHP和python程序入门 8. 数据库基础入门和SQL语言简述 9. 网络安全攻防渗透基础知识(搜集、定点、攻击等) 10. Linux安全基础(基本命令、系统管理、反弹shell等) 11. Windows安全基础(DOS/PS基本命令、用户权限、AD、网络协议等) |
数据隐写 | 1. 数据隐写基础和工具分发 2. 隐写比赛模式和题型分析 3. 隐写专项练习:图片隐写、视频隐写、音频隐写、网络协议隐藏、pdf隐写、压缩文件隐写等 |
MISC杂项 | 1. 常见MISC杂项题目分析 2. 网络流量协议分析基础 3. Wireshark工具实操 4. 系统日志分析思路 5. 社会工程学概念 6. 其他技术点探讨 |
项目 | 内容 |
第二天 | |
密码编码 | 1. 常见比赛密码学题型分析 2. 密码编码工具介绍和分发 3. 密码学理论基础(凯撒、栅栏、莫斯等) 4. 古典密码学题型分析 5. 编码解码基础入门 6. 常见编码解码题型分析 |
密码学进阶 | 1. 现代密码学入门 2. 算法加解密原理 3. 题型分析和关键代码学习 4. 其他算法介绍 |
综合训练 | 1. 隐写技术复习 2. 密码学复习 3. 题目答疑解惑 4. 杂项题目实操 |
WEB基础 | 1. Web漏洞基础和工具介绍 2. WEB爆破和burp实操 3. 任意文件下载和信息泄露 4. 文件上传和文件解析漏洞分析 5. XSS跨站攻击(反射、存储、DOM)靶场实操 6. 命令执行原理和OS命令强化 7. 代码执行和PHP代码强化 8. XXE原理分析和赛题解析 |
SQLI提高 | SQL注入基础(原理、工具、SQLMAP等) SQL注入进阶(报错、盲注、联合、宽字节、二阶注入、二次编码等注入) |
WEB强化 | 1. PHP反序列化题型分析 2. SSRF原理和题型分析 3. 弱类型技术原理 4. 变量覆盖和条件竞争 5. 文件包含强化(伪协议、结合上传、结合XSS等) 6. SSTI模板注入分析(flask等框架介绍) |
代码审计 | 1. python安全编程与代码审计 2. PHP安全编程与代码审计 3. Java、JSP安全编程与代码审计 4. 代码审计工具和真题分析 |
实操练习 | 典型题目实操练习和指导 |
第三天 | |
反序列化 | 1. 讲解反序列化原理 2. 反序列化结合代码审计考察点 3. 省级CTF竞赛中反序列化漏洞相关利用方式 4. POP链条在反序列化中的构造方法 5. 实例剖析ThinkPhp在ctf中的反序列化考点 6. 实战往年CTF大赛中的反序列化漏洞 7. 反序列化漏洞溢出与膨胀相关考点 8. Python反序列化漏洞原理剖析 9. Python脚本语法及编写技巧 |
CTF模拟训练 | 1. 线下比赛模式和平台介绍 2. AWD线下对战技巧和脚本 3. 渗透测试的基本概念、实施流程(扫描探测、漏洞利用、网络渗透、口令破解等) 4. 渗透测试常用技术手段与工具 5. 漏洞利用与权限提升(操作系统、数据库、中间件、Web应用等) 6. 安全加固技术和工具脚本 7. 攻防对抗赛红蓝对抗演练 |
CTF解题赛 | 提供赛题和比赛平台 |
授课专家
徐老师
十年信息安全工作经验,热爱研究网络安全技术。
擅长课程:Web、渗透测试、安全研究、漏洞挖掘、代码审计擅长web方向,热爱ctf和awd。项目经历:在web方向的php代码审计尤为擅长,曾参与审计某司自研项目并审计到高危漏洞。有丰富的政府,内网 外网项目渗透经验。多次在ctf比赛中获取名次,并担任出题者和裁判。曾任职国内某top10安全公司,奇安信及多个公司的特聘安全培训讲师。
赵老师
中国信息安全测评中心特聘安全研究员,工信部网络安全技能大赛专家。
擅长课程:网络攻防、渗透测试、漏洞挖掘、应用安全、逆向分析、木马病毒、主机数据库安全测试加固、安全编程。
项目经历:有贵阳大据及网络安全攻防演练,全国网络安全攻防大赛个人第三名/团队第一,湖北移动2020CTF集训-逆向(4天)、某部队2020-CTF集训-PWN+逆向(5天)/攻防渗透+web(5天)、广西电网2020CTF集训提高班(15天)、广西国税2020竞赛集训-逆向、网络空间安全精英集训营201908(讲师代表/技术评委)、中国电建网络安全集训等。
培训费用
培训费 | 7800元/人(含培训费、平台费、资料费及直播视频回放一年等费用) |
推荐课程
RDM004如何打造高效的研发团队--研发人员选、育、用、留之道 2024-11-25
RDM004如何打造高效的研发团队 --研发人员选、育、用、留之道【培训课时】2天(12课时)【参加对象】公司总经理、研发总监、人力资源总监、产品线总监、研发部经理、项目经理、技术部门主管、研发骨干、人力资源管理专员【培训费用】3980元/人,6600元2人。(含指定教材、茶点、证书,含午餐)■课程背景高科技企业的竞争一定是团队的竞争,不同的...
讲师:Jay详情
用数据说话——职场数据化沟通和呈现(Excel+PPT) 2024-11-25
用数据说话——职场数据化沟通和呈现(Excel+PPT)培训时间/地点:2024年5月2223日(星期三 星期四)/上 海2024年11月2526日(星期三 星期四)/苏 州收费标准:¥4000/人Ø含授课费、证书费、资料费、午餐费、茶点费、会务费、税费Ø不包含学员往返培训场地的交通费用、住宿费用、早餐及晚餐课程收益:1、通过实例,让学员掌握正确组织经营...
讲师:张老师详情
产品需求分析与需求管理 2024-11-25
产品需求分析与需求管理【培训课时】2天(12课时)【参加对象】企业CEO/总经理、研发总监、研发经理/项目经理/技术经理/产品经理、产品规划专家等【培训费用】3980元/人,6600元2人。(含指定教材、茶点、证书,含午餐) 课程背景通过和众多国内科技企业接触,发现这些企业中普遍存在:1. 技术很牛,但最终倒闭的公司一大推;被技术人员嗤之以鼻的公司,反而活的...
讲师:董老师详情
可靠性工程 2024-11-25
可靠性工程培训时间/地点:2024年11月2526日(星期一星期二)/上 海收费标准:¥4800/人含授课费、证书费、资料费、午餐费、茶点费、会务费、税费不包含学员往返培训场地的交通费用、住宿费用、早餐及晚餐课程背景:随着市场经济的发展,竞争日益加剧,人们不仅要求产品价廉物美,而且十分重视产品的可靠性(Reliability)与安全性。如日本的汽车、家用电器...
讲师:闵老师详情
SQE-供应商质量管理高级研修班 2024-11-25
SQE-供应商质量管理课程安排2024年03月18-19日上海 07月08-09日苏州 09月09-10日 合肥 11月25-26日 上海课程费用¥4,800/人(含授课费、证书费、资料费、午餐费、茶点费、会务费、税费)课程对象 SQE,品质工程师/经理、IQC来料检验主管、体系工程师/主管、采购工程师/经理、供应商辅导项目工程师/经理、研发经理、市场经理等...
讲师:马老师详情
中层管理者职业技能提升训练 2024-11-25
中层管理者职业技能提升训练(2天)【时间/地点】 2024年01月22日 - 2024年01月23日 北京 2024年02月22日 - 2024年02月23日 北京2024年03月25日 - 2024年03月26日 北京 2024年04月25日 - 2024年04月26日 北京 2024年05月27日 - 2024年05月28日 北京2024年06月24日 ...
讲师:张老师 Robert详情
SQE-供应商质量管理 2024-11-25
培训时间/地点:2024年3月1819日(星期一 星期二)/上 海2024年7月89日(星期一 星期二)/苏 州2024年8月1213日(星期一 星期二)/长春2024年9月910日(星期一 星期二)/合 肥2024年11月2526日(星期一 星期二)/上 海收费标准:¥4800/人Ø含授课费、证书费、资料费、午餐费、茶点费、会务费、税费Ø不包含学员...
讲师:马老师详情
产品平台与CBB技术管理——加速产品研发速度的利器 2024-11-25
产品平台与CBB技术管理——加速产品研发速度的利器上课时间:2023年11月23日 - 2023年11月24日 上海 课程费用:3980讲 师:James■【课程背景】 随着产品生命周期越来越短,市场竞争日趋激烈,能否快速地推出客户/市场需要的产品将直接关系到一个企业能否保持持续赢利的能力。 作为企业的领导者及研发管理者,您一定面临着以下问题或挑战: ...
讲师:James详情
- [潘文富] 中小企业招聘广告的内容完
- [潘文富] 优化考核方式,减少员工抵
- [潘文富] 厂家心目中的理想化经销商
- [潘文富] 经销商的产品驱动与管理驱
- [潘文富] 消费行为的背后
- [王晓楠] 辅警转正方式,定向招录成为
- [王晓楠] 西安老师招聘要求,西安各区
- [王晓楠] 西安中小学教师薪资福利待遇
- [王晓楠] 什么是备案制教师?备案制教
- [王晓楠] 2024年陕西省及西安市最
