CTF信息安全竞赛实战演练
CTF信息安全竞赛实战演练详细内容
CTF信息安全竞赛
实战演练训练营
|
|
2024年7月8-10日 | 南京 |
培训背景
CTF(Capture The Flag,夺旗赛)是一种流行于网络安全技术人员之间的一种信息安全技术竞赛。其前身是传统黑客之间网络技术比拼的游戏,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。起源于1996年第四届DEFCON。现在已成为全球范围网络安全圈流行的竞赛形式。
通常CTF分为三种赛制
解题赛(Jeopardy) | 攻防赛(Attack-Defence) | 混合赛 |
竞赛模式基本分为解题模式、攻防模式和混合模式。大多题目的内容基本包括web安全,密码学、逆向、二进制安全编程类题目等国内外有很多CTF比赛。
解题赛是线上赛通常采取的赛制,题目通常分为多个类型,如Web,Forensic(取证),Crypto(密码学),Binary(二进制)等。团队或个人可以通过解题获得一串具有一定格式的字符串,也就是flag。将flag提交到竞赛平台可以获得积分。题目的难度越大,分值就越高。当比赛结束后,得分最高者胜出。
攻防赛是另一种有趣的赛制,常见于线下决赛。攻防赛中,每个队伍都会被分配一台主机或虚拟机,称为gamebox,队员可以通过网络连接到gamebox。而所有队伍的gamebox通过内网连接在一起。每个队伍的gamebox上都运行着多个相同的服务。参赛队伍需要挖掘服务的漏洞,然后攻击其他队伍的服务来获取flag,并提交给计分服务器来获取积分。与此同时,参赛队伍还需要修补自身服务中的漏洞来防止丢分。攻防赛不仅考验了参赛选手的技术水平,还考验了参赛者的体力,因为通常参赛者需要连续混合赛可能采取解题赛和攻防赛的混合模式,也可能是其他形式。
日程安排
项目 | 内容 |
第一天 | |
CTF入门 | 1. CTF概念和入门 2. 国内外安全攻防比赛现状 3. 攻防比赛方式和题型介绍 4. 安全培训基础环境介绍和配置搭建 5. 实训期间所需工具包和资料分发 6. 操作系统命令和数据库基础 7. PHP和python程序入门 8. 数据库基础入门和SQL语言简述 9. 网络安全攻防渗透基础知识(搜集、定点、攻击等) 10. Linux安全基础(基本命令、系统管理、反弹shell等) 11. Windows安全基础(DOS/PS基本命令、用户权限、AD、网络协议等) |
数据隐写 | 1. 数据隐写基础和工具分发 2. 隐写比赛模式和题型分析 3. 隐写专项练习:图片隐写、视频隐写、音频隐写、网络协议隐藏、pdf隐写、压缩文件隐写等 |
MISC杂项 | 1. 常见MISC杂项题目分析 2. 网络流量协议分析基础 3. Wireshark工具实操 4. 系统日志分析思路 5. 社会工程学概念 6. 其他技术点探讨 |
项目 | 内容 |
第二天 | |
密码编码 | 1. 常见比赛密码学题型分析 2. 密码编码工具介绍和分发 3. 密码学理论基础(凯撒、栅栏、莫斯等) 4. 古典密码学题型分析 5. 编码解码基础入门 6. 常见编码解码题型分析 |
密码学进阶 | 1. 现代密码学入门 2. 算法加解密原理 3. 题型分析和关键代码学习 4. 其他算法介绍 |
综合训练 | 1. 隐写技术复习 2. 密码学复习 3. 题目答疑解惑 4. 杂项题目实操 |
WEB基础 | 1. Web漏洞基础和工具介绍 2. WEB爆破和burp实操 3. 任意文件下载和信息泄露 4. 文件上传和文件解析漏洞分析 5. XSS跨站攻击(反射、存储、DOM)靶场实操 6. 命令执行原理和OS命令强化 7. 代码执行和PHP代码强化 8. XXE原理分析和赛题解析 |
SQLI提高 | SQL注入基础(原理、工具、SQLMAP等) SQL注入进阶(报错、盲注、联合、宽字节、二阶注入、二次编码等注入) |
WEB强化 | 1. PHP反序列化题型分析 2. SSRF原理和题型分析 3. 弱类型技术原理 4. 变量覆盖和条件竞争 5. 文件包含强化(伪协议、结合上传、结合XSS等) 6. SSTI模板注入分析(flask等框架介绍) |
代码审计 | 1. python安全编程与代码审计 2. PHP安全编程与代码审计 3. Java、JSP安全编程与代码审计 4. 代码审计工具和真题分析 |
实操练习 | 典型题目实操练习和指导 |
第三天 | |
反序列化 | 1. 讲解反序列化原理 2. 反序列化结合代码审计考察点 3. 省级CTF竞赛中反序列化漏洞相关利用方式 4. POP链条在反序列化中的构造方法 5. 实例剖析ThinkPhp在ctf中的反序列化考点 6. 实战往年CTF大赛中的反序列化漏洞 7. 反序列化漏洞溢出与膨胀相关考点 8. Python反序列化漏洞原理剖析 9. Python脚本语法及编写技巧 |
CTF模拟训练 | 1. 线下比赛模式和平台介绍 2. AWD线下对战技巧和脚本 3. 渗透测试的基本概念、实施流程(扫描探测、漏洞利用、网络渗透、口令破解等) 4. 渗透测试常用技术手段与工具 5. 漏洞利用与权限提升(操作系统、数据库、中间件、Web应用等) 6. 安全加固技术和工具脚本 7. 攻防对抗赛红蓝对抗演练 |
CTF解题赛 | 提供赛题和比赛平台 |
授课专家
徐老师
十年信息安全工作经验,热爱研究网络安全技术。
擅长课程:Web、渗透测试、安全研究、漏洞挖掘、代码审计擅长web方向,热爱ctf和awd。项目经历:在web方向的php代码审计尤为擅长,曾参与审计某司自研项目并审计到高危漏洞。有丰富的政府,内网 外网项目渗透经验。多次在ctf比赛中获取名次,并担任出题者和裁判。曾任职国内某top10安全公司,奇安信及多个公司的特聘安全培训讲师。
赵老师
中国信息安全测评中心特聘安全研究员,工信部网络安全技能大赛专家。
擅长课程:网络攻防、渗透测试、漏洞挖掘、应用安全、逆向分析、木马病毒、主机数据库安全测试加固、安全编程。
项目经历:有贵阳大据及网络安全攻防演练,全国网络安全攻防大赛个人第三名/团队第一,湖北移动2020CTF集训-逆向(4天)、某部队2020-CTF集训-PWN+逆向(5天)/攻防渗透+web(5天)、广西电网2020CTF集训提高班(15天)、广西国税2020竞赛集训-逆向、网络空间安全精英集训营201908(讲师代表/技术评委)、中国电建网络安全集训等。
培训费用
培训费 | 7800元/人(含培训费、平台费、资料费及直播视频回放一年等费用) |
推荐课程
《孙子兵法与现代管理》 2025-04-06
《孙子兵法与现代管理》(1天)(2025年4月6日,3380元/人)课程目标: 深度解读孙子思想; 将孙子思想运用到现代管理; 将孙子思想用到人生与生活; 将孙子思想用到个人发展;课程内容:一、孙子的重要影响² 孙子学的文化思考² 孙子学的经学模式² 孙子的用间思想² 孙子的军事哲学思想二、孙子与诸子的地位与融合² 孙子与儒家² 孙子与道家² 孙子与法家² ...
讲师:鲍爱中详情
金牌店长执行力落地班 2025-04-08
金牌店长执行力落地班——中国式人性+美国式PDCA圈,消灭30个执行力死角,快速突破门店业绩【课程对象】店长经理、储备店长、培训经理、总经理、运营总监、 区域经理等追求卓越门店管理技能人士。老板带队建立同频团队,落地效果最好。特别建议黄金团队组合:老板带队+5名核心店长!一、店长,给你一个门店,你会怎么管?店长强,门店就强!业绩是管理出来的!门店管理的核心就...
讲师:程姣详情
非财务经理的财务管理 2025-04-08
非财务经理的财务管理培训时间/地点:2025年4月89日(星期二 星期三)/上 海2025年11月1112日(星期二 星期三)/苏 州收费标准:¥4800/人含授课费、证书费、资料费、午餐费、茶点费、会务费、税费不包含学员往返培训场地的交通费用、住宿费用、早餐及晚餐课程收益:通过学习,快速提炼财务报表的关键数据信息,并能通过老师案例讲解,透视数据背后传递的公...
讲师:安老师详情
实战商务礼仪与品质商务场景沟通 2025-04-09
《实战商务礼仪与品质商务场景沟通》课程费用:2980元/人 (含培训费、教材费、场地费、午餐、茶歇费及税金)参训对象:适合企业外勤或窗口员工、企业中层、管理层、商务人士、高净值自由职业者。课程地点:上海课程时间:2天第一期第二期第二期5月15-16日9月25-26日11月28-29日2025年课程费用:2980元/人 (含培训费、教材费、场地费、午餐、茶歇费...
讲师:林郁青详情
VDA6.5 产品审核培训 2025-04-09
课程解读课程背景面对您的顾客,是否经常接受他们的产品审核,且由此存在诸多顾客的不满意项?对您的供应商,如何提高新产品量产前的质量保证信心?或者降低质量风险?对新产品新项目或者工程变更的管理,怎样测试产品的设计开发满足要求?由此可见,产品审核的学习运用,无疑为质量管理体系和产品质量在评价符合性上起了决定性作用。课程目标对于学员,掌握产品审核的目的、意义、程序及...
讲师:踪老师详情
现场质量管理与突破性快速改善(质量问题分析与解决) 2025-04-09
现场质量管理与突破性快速改善(质量问题分析与解决)培训时间/地点:2025年3月1920日(星期三 星期四)/苏 州2025年4月2829日(星期一 星期二)/成 都2025年6月1112日(星期三 星期四)/嘉 兴2025年9月1718日(星期三 星期四)/苏 州2025年11月1920日(星期三 星期四)/嘉 兴2025年4月911日(星期三 星期五)/...
讲师:刘老师详情
供应链数字化转型及先进实践 2025-04-09
供应链数字化转型及先进实践课程安排2025年4月910日(星期三 星期四)/上 海2025年9月1718日(星期三 星期四)/上 海课程费用¥5,200/人(含授课费、证书费、资料费、午餐费、茶点费、会务费、税费)课程背景 随着信息技术的快速发展,数据的获取成本变得越来越低,采购与供应链管理也迎来了“大数据”时代。如何从海量的数据中洞悉供应市场的变化,找到最...
讲师:夏烨详情
以过程和风险为基础的ISO 9001 & ISO 14001 & 2025-04-09
以过程和风险为基础的ISO 9001 amp; ISO 14001 amp; ISO 45001 三标管理体系内审员培训培训时间/地点:2025年4月911日(星期三星期五)/嘉 兴2025年7月911日(星期三星期五)/嘉 兴2025年10月1517日(星期三星期五)/嘉 兴2025年5月2023日(星期二星期五)/苏 州2025年11月1114日(星期二...
讲师:羊老师详情
QEHS(ISO9001 2025-04-09
QEHS(ISO9001amp;ISO14001amp;ISO45001)管理体系标准理解、实施及内审技巧培训课程时间2025年4月9-12日,4天(24H)(第一天9:30-16:30;第二、三、四天9:00-16:00)第一、二天:ISO9001:2015第三、四天:ISO14001:2015amp;ISO45001:2018整合讲解课程地点苏州:姑苏区...
讲师:资深讲师详情
中层经理管理能力提升 2025-04-09
《中层经理管理能力提升》讲师/Lecturer:姜老师费用/Price:¥4800元/人课程概述/Overview课程背景:中层经理是连接高层和基层的桥梁,起着承上启下的纽带作用,高层的理念、战略要靠中层执行落实到基层,方能落地生根实现企业目标。然而,中层经理半路出家的现象较多,他们缺少对管理角色、管理方法的认知,没有及时实现角色转换,也没有系统掌握系统管理...
讲师:姜老师详情
- [潘文富]薪资考核的初步改善措施
- [潘文富]新开门店的白板期要做些什
- [潘文富]经销商终端建设的基本推进
- [潘文富]中小企业招聘广告的内容完
- [潘文富]优化考核方式,减少员工抵
- [王晓楠]辅警转正方式,定向招录成为
- [王晓楠]西安老师招聘要求,西安各区
- [王晓楠]西安中小学教师薪资福利待遇
- [王晓楠]什么是备案制教师?备案制教
- [王晓楠]2024年陕西省及西安市最