CTF信息安全竞赛实战演练
CTF信息安全竞赛实战演练详细内容
CTF信息安全竞赛
实战演练训练营
|
|
2024年7月8-10日 | 南京 |
培训背景
CTF(Capture The Flag,夺旗赛)是一种流行于网络安全技术人员之间的一种信息安全技术竞赛。其前身是传统黑客之间网络技术比拼的游戏,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。起源于1996年第四届DEFCON。现在已成为全球范围网络安全圈流行的竞赛形式。
通常CTF分为三种赛制
解题赛(Jeopardy) | 攻防赛(Attack-Defence) | 混合赛 |
竞赛模式基本分为解题模式、攻防模式和混合模式。大多题目的内容基本包括web安全,密码学、逆向、二进制安全编程类题目等国内外有很多CTF比赛。
解题赛是线上赛通常采取的赛制,题目通常分为多个类型,如Web,Forensic(取证),Crypto(密码学),Binary(二进制)等。团队或个人可以通过解题获得一串具有一定格式的字符串,也就是flag。将flag提交到竞赛平台可以获得积分。题目的难度越大,分值就越高。当比赛结束后,得分最高者胜出。
攻防赛是另一种有趣的赛制,常见于线下决赛。攻防赛中,每个队伍都会被分配一台主机或虚拟机,称为gamebox,队员可以通过网络连接到gamebox。而所有队伍的gamebox通过内网连接在一起。每个队伍的gamebox上都运行着多个相同的服务。参赛队伍需要挖掘服务的漏洞,然后攻击其他队伍的服务来获取flag,并提交给计分服务器来获取积分。与此同时,参赛队伍还需要修补自身服务中的漏洞来防止丢分。攻防赛不仅考验了参赛选手的技术水平,还考验了参赛者的体力,因为通常参赛者需要连续混合赛可能采取解题赛和攻防赛的混合模式,也可能是其他形式。
日程安排
项目 | 内容 |
第一天 | |
CTF入门 | 1. CTF概念和入门 2. 国内外安全攻防比赛现状 3. 攻防比赛方式和题型介绍 4. 安全培训基础环境介绍和配置搭建 5. 实训期间所需工具包和资料分发 6. 操作系统命令和数据库基础 7. PHP和python程序入门 8. 数据库基础入门和SQL语言简述 9. 网络安全攻防渗透基础知识(搜集、定点、攻击等) 10. Linux安全基础(基本命令、系统管理、反弹shell等) 11. Windows安全基础(DOS/PS基本命令、用户权限、AD、网络协议等) |
数据隐写 | 1. 数据隐写基础和工具分发 2. 隐写比赛模式和题型分析 3. 隐写专项练习:图片隐写、视频隐写、音频隐写、网络协议隐藏、pdf隐写、压缩文件隐写等 |
MISC杂项 | 1. 常见MISC杂项题目分析 2. 网络流量协议分析基础 3. Wireshark工具实操 4. 系统日志分析思路 5. 社会工程学概念 6. 其他技术点探讨 |
项目 | 内容 |
第二天 | |
密码编码 | 1. 常见比赛密码学题型分析 2. 密码编码工具介绍和分发 3. 密码学理论基础(凯撒、栅栏、莫斯等) 4. 古典密码学题型分析 5. 编码解码基础入门 6. 常见编码解码题型分析 |
密码学进阶 | 1. 现代密码学入门 2. 算法加解密原理 3. 题型分析和关键代码学习 4. 其他算法介绍 |
综合训练 | 1. 隐写技术复习 2. 密码学复习 3. 题目答疑解惑 4. 杂项题目实操 |
WEB基础 | 1. Web漏洞基础和工具介绍 2. WEB爆破和burp实操 3. 任意文件下载和信息泄露 4. 文件上传和文件解析漏洞分析 5. XSS跨站攻击(反射、存储、DOM)靶场实操 6. 命令执行原理和OS命令强化 7. 代码执行和PHP代码强化 8. XXE原理分析和赛题解析 |
SQLI提高 | SQL注入基础(原理、工具、SQLMAP等) SQL注入进阶(报错、盲注、联合、宽字节、二阶注入、二次编码等注入) |
WEB强化 | 1. PHP反序列化题型分析 2. SSRF原理和题型分析 3. 弱类型技术原理 4. 变量覆盖和条件竞争 5. 文件包含强化(伪协议、结合上传、结合XSS等) 6. SSTI模板注入分析(flask等框架介绍) |
代码审计 | 1. python安全编程与代码审计 2. PHP安全编程与代码审计 3. Java、JSP安全编程与代码审计 4. 代码审计工具和真题分析 |
实操练习 | 典型题目实操练习和指导 |
第三天 | |
反序列化 | 1. 讲解反序列化原理 2. 反序列化结合代码审计考察点 3. 省级CTF竞赛中反序列化漏洞相关利用方式 4. POP链条在反序列化中的构造方法 5. 实例剖析ThinkPhp在ctf中的反序列化考点 6. 实战往年CTF大赛中的反序列化漏洞 7. 反序列化漏洞溢出与膨胀相关考点 8. Python反序列化漏洞原理剖析 9. Python脚本语法及编写技巧 |
CTF模拟训练 | 1. 线下比赛模式和平台介绍 2. AWD线下对战技巧和脚本 3. 渗透测试的基本概念、实施流程(扫描探测、漏洞利用、网络渗透、口令破解等) 4. 渗透测试常用技术手段与工具 5. 漏洞利用与权限提升(操作系统、数据库、中间件、Web应用等) 6. 安全加固技术和工具脚本 7. 攻防对抗赛红蓝对抗演练 |
CTF解题赛 | 提供赛题和比赛平台 |
授课专家
徐老师
十年信息安全工作经验,热爱研究网络安全技术。
擅长课程:Web、渗透测试、安全研究、漏洞挖掘、代码审计擅长web方向,热爱ctf和awd。项目经历:在web方向的php代码审计尤为擅长,曾参与审计某司自研项目并审计到高危漏洞。有丰富的政府,内网 外网项目渗透经验。多次在ctf比赛中获取名次,并担任出题者和裁判。曾任职国内某top10安全公司,奇安信及多个公司的特聘安全培训讲师。
赵老师
中国信息安全测评中心特聘安全研究员,工信部网络安全技能大赛专家。
擅长课程:网络攻防、渗透测试、漏洞挖掘、应用安全、逆向分析、木马病毒、主机数据库安全测试加固、安全编程。
项目经历:有贵阳大据及网络安全攻防演练,全国网络安全攻防大赛个人第三名/团队第一,湖北移动2020CTF集训-逆向(4天)、某部队2020-CTF集训-PWN+逆向(5天)/攻防渗透+web(5天)、广西电网2020CTF集训提高班(15天)、广西国税2020竞赛集训-逆向、网络空间安全精英集训营201908(讲师代表/技术评委)、中国电建网络安全集训等。
培训费用
培训费 | 7800元/人(含培训费、平台费、资料费及直播视频回放一年等费用) |
推荐课程
研发人员的考核与激励 2025-05-26
研发人员的考核与激励上课时间:2025年05月19日 - 2025年05月20日 广东深圳2025年05月22日 - 2025年05月23日 上海2025年05月26日 - 2025年05月27日 北京2025年12月22日 - 2025年12月23日 广东深圳2025年12月25日 - 2025年12月26日 上海 讲 师:曾老师参训对象:企业CEO/总...
讲师:曾老师详情
从技术走向管理——研发经理的领导力与执行力 2025-05-26
从技术走向管理——研发经理的领导力与执行力 (Giles朱)【参加对象】企业CEO/总经理、研发总经理/副总、公司总工/技术总监、研发项目经理/产品经理、中试部经理、研发质量部经理、PMO(项目管理办公室)主任、走上管理岗位的技术人员【培训课时】12小时【学习费用】单独报名3980元/人,优惠活动6600元2人,不再折扣。(含教材、茶点、证书,含午餐)■课程...
讲师:Giles朱详情
云原生架构与容器化部署实战训练营 2025-05-26
云原生架构与容器化部署实战训练营培训方式专家面授 在线直播 精品录播课程信息课程时长3天6小时面授+直播+视频回放面授地点时间成都5月26-28日大连7月28-30日北京10月25-27日直播时间面授同步直播增值服务提供视频回放免费学习一年学习平台PC端:https://it.zpedu.com/ 移动端APP:IT云课培训背景近些年,随着新技术的不断发展,...
详情
产品需求分析与需求管理 2025-05-26
产品需求分析与需求管理【培训课时】2天(12课时)【参加对象】企业CEO/总经理、研发总监、研发经理/项目经理/技术经理/产品经理、产品规划专家等【培训费用】3980元/人,6600元2人。(含指定教材、茶点、证书,含午餐) 课程背景通过和众多国内科技企业接触,发现这些企业中普遍存在:1. 技术很牛,但最终倒闭的公司一大推;被技术人员嗤之以鼻的公司,反而活的...
讲师:董老师详情
精益生产全景式推行 2025-05-26
精益生产全景式推行培训时间/地点:2025年5月2627日(星期一 星期二)/上 海收费标准:¥4500/人含授课费、证书费、资料费、午餐费、茶点费、会务费、税费不包含学员往返培训场地的交通费用、住宿费用、早餐及晚餐课程背景:在当今经济经营进入全面寒冬的时代及工厂运营全面进入精益生产运营的今天,精益生产作为一种寻找浪费、降低成本提高企业利润,备受全球精益专家...
讲师:白老师详情
高级质量经理人管理魔方—质量经理人核心技能训练 2025-05-26
高级质量经理人管理魔方——质量经理人核心技能训练课程时间5月27-28日、2天(第一天9:30-16:30;第二天9:00-16:00;6H/天)课程地点苏州:姑苏区宝带西路1177号培训费用:3500元/人(含教材、午餐、茶点和证书);一、课程背景质量是企业的生命,也是企业的核心竞争能力之一。企业对质量部门的负责人的设置也越来越重视,由最初的生产部门领导下...
讲师:严老师详情
数智赋能—走在AI浪潮之巅—对标商汤科技&百度 2025-05-26
数智赋能—走在AI浪潮之巅—对标商汤科技amp;百度学习时间:2025年5月26-27日学习地点:上海学习对象:企业管理者、人工智能从业者、科技创新从业者等项目背景AIGC(人工智能生成内容)的兴起,正在为企业人员效率的提升带来了革命性的变革。利用AI,企业能够自动化许多重复性工作,如数据分析、报告撰写等,这不但释放了员工的时间,也减少了人为错误。此外,通过...
详情
成功的产品经理——产品经理的野蛮成长 2025-05-26
成功的产品经理——产品经理的野蛮成长【2024年度计划时间地点安排】9月26-27北京 9月23-24上海 9月19-20深圳10月28-29杭州 11月7-8日成都曾老师(新增)12月26-27北京 12月26-27上海 12月23-24深圳【参加对象】企业CEO/总经理、研发总经理/副总、公司总工/技术总监、公司人力资源总监、产品线总监、产品经理/项...
讲师:Charles曹详情
人工智能实践项目案例分析与实战应用 2025-05-26
人工智能实践项目案例分析与实战应用培训方式专家面授 在线直播 精品录播课程信息课程时长4天6小时面授+直播+视频回放面授地点时间西安5月26-29日北京8月24-27日成都10月26-29日直播时间面授同步直播面授同步直播面授同步直播增值服务提供视频回放免费学习一年学习平台PC端:https://it.zpedu.com/移动端APP:IT云课课程背景人工智...
详情
- [潘文富]厂家招商之前的简单自我评
- [潘文富]连锁零售系统的打补丁
- [潘文富]销售业绩不好时的反思点
- [潘文富]烟酒店一定要靠卖酒赚钱吗
- [潘文富]薪资考核的初步改善措施
- [王晓楠]辅警转正方式,定向招录成为
- [王晓楠]西安老师招聘要求,西安各区
- [王晓楠]西安中小学教师薪资福利待遇
- [王晓楠]什么是备案制教师?备案制教
- [王晓楠]2024年陕西省及西安市最
