CTF信息安全竞赛实战演练
CTF信息安全竞赛实战演练详细内容
CTF信息安全竞赛
实战演练训练营
|
|
2024年7月8-10日 | 南京 |
培训背景
CTF(Capture The Flag,夺旗赛)是一种流行于网络安全技术人员之间的一种信息安全技术竞赛。其前身是传统黑客之间网络技术比拼的游戏,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。起源于1996年第四届DEFCON。现在已成为全球范围网络安全圈流行的竞赛形式。
通常CTF分为三种赛制
解题赛(Jeopardy) | 攻防赛(Attack-Defence) | 混合赛 |
竞赛模式基本分为解题模式、攻防模式和混合模式。大多题目的内容基本包括web安全,密码学、逆向、二进制安全编程类题目等国内外有很多CTF比赛。
解题赛是线上赛通常采取的赛制,题目通常分为多个类型,如Web,Forensic(取证),Crypto(密码学),Binary(二进制)等。团队或个人可以通过解题获得一串具有一定格式的字符串,也就是flag。将flag提交到竞赛平台可以获得积分。题目的难度越大,分值就越高。当比赛结束后,得分最高者胜出。
攻防赛是另一种有趣的赛制,常见于线下决赛。攻防赛中,每个队伍都会被分配一台主机或虚拟机,称为gamebox,队员可以通过网络连接到gamebox。而所有队伍的gamebox通过内网连接在一起。每个队伍的gamebox上都运行着多个相同的服务。参赛队伍需要挖掘服务的漏洞,然后攻击其他队伍的服务来获取flag,并提交给计分服务器来获取积分。与此同时,参赛队伍还需要修补自身服务中的漏洞来防止丢分。攻防赛不仅考验了参赛选手的技术水平,还考验了参赛者的体力,因为通常参赛者需要连续混合赛可能采取解题赛和攻防赛的混合模式,也可能是其他形式。
日程安排
项目 | 内容 |
第一天 | |
CTF入门 | 1. CTF概念和入门 2. 国内外安全攻防比赛现状 3. 攻防比赛方式和题型介绍 4. 安全培训基础环境介绍和配置搭建 5. 实训期间所需工具包和资料分发 6. 操作系统命令和数据库基础 7. PHP和python程序入门 8. 数据库基础入门和SQL语言简述 9. 网络安全攻防渗透基础知识(搜集、定点、攻击等) 10. Linux安全基础(基本命令、系统管理、反弹shell等) 11. Windows安全基础(DOS/PS基本命令、用户权限、AD、网络协议等) |
数据隐写 | 1. 数据隐写基础和工具分发 2. 隐写比赛模式和题型分析 3. 隐写专项练习:图片隐写、视频隐写、音频隐写、网络协议隐藏、pdf隐写、压缩文件隐写等 |
MISC杂项 | 1. 常见MISC杂项题目分析 2. 网络流量协议分析基础 3. Wireshark工具实操 4. 系统日志分析思路 5. 社会工程学概念 6. 其他技术点探讨 |
项目 | 内容 |
第二天 | |
密码编码 | 1. 常见比赛密码学题型分析 2. 密码编码工具介绍和分发 3. 密码学理论基础(凯撒、栅栏、莫斯等) 4. 古典密码学题型分析 5. 编码解码基础入门 6. 常见编码解码题型分析 |
密码学进阶 | 1. 现代密码学入门 2. 算法加解密原理 3. 题型分析和关键代码学习 4. 其他算法介绍 |
综合训练 | 1. 隐写技术复习 2. 密码学复习 3. 题目答疑解惑 4. 杂项题目实操 |
WEB基础 | 1. Web漏洞基础和工具介绍 2. WEB爆破和burp实操 3. 任意文件下载和信息泄露 4. 文件上传和文件解析漏洞分析 5. XSS跨站攻击(反射、存储、DOM)靶场实操 6. 命令执行原理和OS命令强化 7. 代码执行和PHP代码强化 8. XXE原理分析和赛题解析 |
SQLI提高 | SQL注入基础(原理、工具、SQLMAP等) SQL注入进阶(报错、盲注、联合、宽字节、二阶注入、二次编码等注入) |
WEB强化 | 1. PHP反序列化题型分析 2. SSRF原理和题型分析 3. 弱类型技术原理 4. 变量覆盖和条件竞争 5. 文件包含强化(伪协议、结合上传、结合XSS等) 6. SSTI模板注入分析(flask等框架介绍) |
代码审计 | 1. python安全编程与代码审计 2. PHP安全编程与代码审计 3. Java、JSP安全编程与代码审计 4. 代码审计工具和真题分析 |
实操练习 | 典型题目实操练习和指导 |
第三天 | |
反序列化 | 1. 讲解反序列化原理 2. 反序列化结合代码审计考察点 3. 省级CTF竞赛中反序列化漏洞相关利用方式 4. POP链条在反序列化中的构造方法 5. 实例剖析ThinkPhp在ctf中的反序列化考点 6. 实战往年CTF大赛中的反序列化漏洞 7. 反序列化漏洞溢出与膨胀相关考点 8. Python反序列化漏洞原理剖析 9. Python脚本语法及编写技巧 |
CTF模拟训练 | 1. 线下比赛模式和平台介绍 2. AWD线下对战技巧和脚本 3. 渗透测试的基本概念、实施流程(扫描探测、漏洞利用、网络渗透、口令破解等) 4. 渗透测试常用技术手段与工具 5. 漏洞利用与权限提升(操作系统、数据库、中间件、Web应用等) 6. 安全加固技术和工具脚本 7. 攻防对抗赛红蓝对抗演练 |
CTF解题赛 | 提供赛题和比赛平台 |
授课专家
徐老师
十年信息安全工作经验,热爱研究网络安全技术。
擅长课程:Web、渗透测试、安全研究、漏洞挖掘、代码审计擅长web方向,热爱ctf和awd。项目经历:在web方向的php代码审计尤为擅长,曾参与审计某司自研项目并审计到高危漏洞。有丰富的政府,内网 外网项目渗透经验。多次在ctf比赛中获取名次,并担任出题者和裁判。曾任职国内某top10安全公司,奇安信及多个公司的特聘安全培训讲师。
赵老师
中国信息安全测评中心特聘安全研究员,工信部网络安全技能大赛专家。
擅长课程:网络攻防、渗透测试、漏洞挖掘、应用安全、逆向分析、木马病毒、主机数据库安全测试加固、安全编程。
项目经历:有贵阳大据及网络安全攻防演练,全国网络安全攻防大赛个人第三名/团队第一,湖北移动2020CTF集训-逆向(4天)、某部队2020-CTF集训-PWN+逆向(5天)/攻防渗透+web(5天)、广西电网2020CTF集训提高班(15天)、广西国税2020竞赛集训-逆向、网络空间安全精英集训营201908(讲师代表/技术评委)、中国电建网络安全集训等。
培训费用
培训费 | 7800元/人(含培训费、平台费、资料费及直播视频回放一年等费用) |
推荐课程
课程开发与设计 2024-11-20
精品课程—《课程开发与设计》课程费用:2980元/人 (含培训费、教材费、场地费、午餐、茶歇费及税金)参训对象:有课程开发任务的专兼职讲师、课程开发人员、业务专家、培训经理,人力资源管理者等课程地点:上海课程时间:2天第一期第二期第三期4月18-19日7月17-18日11月20-21日课程背景:企业的竞争不仅来自于产品、资源的竞争,同时也是人才的竞争。人才的...
讲师:丁亮亮详情
职场高效沟通心理学 2024-11-20
《职场高效沟通心理学》讲师/Lecturer:纪老师 费用/Price:¥4580元/人课程排期/Scheduling深圳:2024年06月20日-21日深圳:2024年11月20日-21日课程概述/Overview课程背景:在职场中,沟通不仅是一门艺术,更是一项生存必备的技能。工作汇报、同事相处、解决争议、带领团队、增进关系等等,职场工作的各个方面都离不开...
讲师:纪老师 详情
企业培训体系构建与培训管理实务 2024-11-20
2024年01月12-13上海 2024年02月24-25上海2024年03月08-09上海 2024年04月29-30上海2024年05月25-26北京 2024年06月06-07上海2024年07月19-20上海 2024年08月16-17上海2024年09月13-14上海 2024年10月25-26上海2024年11月20-21北京 2024年11月2...
讲师:田胜波详情
公文写作规范与技巧提升暨办公室行政管理核心技能提升 2024-11-20
公文写作规范与技巧提升暨办公室行政管理核心技能提升时间地点:5月10-12日重庆5月15-17日北京5月22-24日长沙6月12-14日桂林6月19-21日武汉6月26-28日青岛7月05-07日苏州7月10-12日厦门7月17-19日贵阳7月24-26日成都7月26-28日乌鲁木齐8月02-04日西宁8月07-09日大连8月14-16日上海8月16-18日...
讲师:资深讲师详情
如何建立企业的胜任力模型 2024-11-20
如何建立企业的胜任力模型(1天)【时间/地点】 2024年01月24日 - 2024年01月24日 北京 2024年02月28日 - 2024年02月28日 北京 2024年03月20日 - 2024年03月20日 北京 2024年04月17日 - 2024年04月17日 北京 2024年05月22日 - 2024年05月22日 北京 2024年06月26日...
讲师:张老师 Robert详情
高级采购管理--采购经理必修课 2024-11-20
高级采购管理--采购经理必修课时间地点:2024年5月22-24日上海7月18-20日深圳11月20-22日上海12月05-07日深圳学员对象:企业总经理、采购总监/经理/主管、生产/品质/计划/物料经理、资深采购工程师等。费 用:6800元/人 (包含:课程、讲义、午餐、茶点等费用)认证费用:中级证书1000元/人;高级证书1200元/人(参加认证考试的...
讲师:王保华详情
采购必备的财务知识与合同管理 2024-11-20
采购必备的财务知识与合同管理˜培训时间:5月16-17日北京 11月20-21日北京˜培训费用: 4680元/人(含培训费、教材费、午餐费、茶点费等)˜主讲老师:沙炜˜培训对象:采购员、采购主管及经理、采购总监、物流主管及经理、供应链经理、运营经理、运营总监和总经理及供应链管理人员、与商务活动相关的管理人员以及其他涉及到采购供应链管理的专业管理人士等。[课程...
讲师:沙炜老师详情
如何有效证明员工“不能胜任工作”及合法调岗调薪操作实务技巧 2024-11-20
如何有效证明员工“不能胜任工作”及合法调岗调薪操作技巧时间地点:2024年5月17日北京、5月22日上海、5月28日深圳7月19日深圳、7月19日北京、7月24日上海9月20日深圳、9月25日北京、9月25日上海11月20日上海、11月22日深圳、11月27日北京费 用:3500元/人 (包含:课程、讲义、午餐、茶点等费用)认证费用:中级证书1000元/人...
讲师:庞律师 曾律师 郝律师详情
打造数据驱动的数字化营销战略体系 2024-11-20
《打造数据驱动的数字化营销战略体系》培训讲师:吴老师培训时间地点:2024年03月20-21日 深圳2024年04月17-18日 深圳2024年05月29-30日深圳2024年06月19-20日 深圳2024年07月17-18日 深圳2024年08月08-09日 深圳2024年09月25-26日 深圳2024年10月10-11日 深圳2024年11月20-2...
讲师:吴老师详情
- [潘文富] 中小企业招聘广告的内容完
- [潘文富] 优化考核方式,减少员工抵
- [潘文富] 厂家心目中的理想化经销商
- [潘文富] 经销商的产品驱动与管理驱
- [潘文富] 消费行为的背后
- [王晓楠] 辅警转正方式,定向招录成为
- [王晓楠] 西安老师招聘要求,西安各区
- [王晓楠] 西安中小学教师薪资福利待遇
- [王晓楠] 什么是备案制教师?备案制教
- [王晓楠] 2024年陕西省及西安市最
