CTF特訓營
內容簡介
本書由國內老牌CTF戰隊FlappyPig撰寫,戰隊成員曾多次榮獲XCTF國際聯賽冠軍、TCTF/0CTF冠軍、WCTF世界黑客大師挑戰賽季軍,多次入圍Defcon全球總決賽,具有豐富的實戰經驗。
本書圍繞CTF競賽需要的安全技術、解題方法和競賽技巧3個維度展開,旨在通過作者紮實的技術功底和豐富的競賽經驗,引領對CTF競賽感興趣的讀者快速入門。書中依據CTF競賽的特點,分別從Web、Reverse、PWN、Crypto、APK、IoT這6個方面系統地對CTF競賽的知識點、模式、技巧進行了深入講解,每一篇都搭配歷年真題,幫助讀者加深理解。
全書一共分六篇。
Web篇(第1~8章)
主要講解CTF比賽中Web類型題目的基礎知識點與常用的工具和插件,這些知識點和工具也可以用於部分滲透測試的實戰中。
Reverse篇(第9~10章)
主要講解CTF中逆向分析的主要方法、常用分析工具、逆向分析技術和破解方法,幫助讀者提高逆向分析能力。
PWN篇(第11~17章)
對PWN二進制漏洞挖掘與利用的詳細分析,主要講解了針對各種漏洞的利用方法和利用技巧,讀者可以結合實例題目加深理解。
Crypto篇(第18~22章)
對Crypto類型題目的知識和例題講解,主要從概述、編碼、古典密碼、現代密碼以及真題解析幾個方向闡述。
APK篇(第23~25章)
講解CTF中APK的相關內容,主要從APK的基礎知識點、Dalvik層的逆向分析技術,以及Native層的逆向分析技術3個方面介紹APK題目的基礎內容、解題方法和競賽技巧。
IoT篇(第26~30章)
對IoT類型題目的講解,內容涉及IoT、無線通信的基礎知識和相關題型的解題技巧,幫助讀者培養解決IoT相關題目的能力。
作者簡介
FlappyPig
國內老牌知名CTF戰隊,曾獲數十個各級CTF競賽冠亞季軍,具備國際CTF競賽水準,具備豐富的CTF參賽經驗。先後獲得XCTF聯賽總冠軍、XNUCA總決賽冠軍、CISCN冠軍、TCTF/0CTF(Defcon外卡賽)冠軍、WCTF世界黑客大師挑戰賽季軍,連續三年闖進Defcon決賽,Defcon最好成績第10名。戰隊開發維護了用於CTF賽事評級的CTFRank網站。
現在以r3kapig聯合戰隊的方式參賽。
戰隊成員挖掘並披露漏洞獲得CVE編號上百枚,向各類SRC報備漏洞數百個。戰隊成員在Geekpwn、天府杯、PWN2OWN等漏洞挖掘類競賽中也取得了不錯的成績。
戰隊主要成員目前就職於阿里巴巴、騰訊、京東等,從事網絡安全、漏洞挖掘相關工作。在網絡安全競賽、漏洞挖掘、滲透測試等領域具有非常深厚的經驗積累,擅長Web、應用層軟件、操作系統、區塊鏈、嵌入式等多領域的漏洞挖掘與利用。
書評
國內首本CTF賽事技術解析書籍,五年之約,兌現了!
每一個CTF戰隊的發展其實都面臨着一個問題,那就是「如何傳承」。作為一個聯合戰隊,隨着老成員走向工作崗位,如何用良好的機制實現新老更替,是戰隊管理者需要認真考慮的問題。我們也嘗試過在社會上公開招募成員,但是從他們實習期的表現來看,這種方式是很難獲得優秀血液的。戰隊在學校也做了很多招新和培養的嘗試,很多學生諮詢如何學習CTF。我們會耐心地詢問他們的情況,然後講述自己當時是如何學習的,並且推薦一些方法。但是我們發現,很多人並沒有耐心和足夠的時間學習,而是想一步登天。CTF是一門偏重於實踐的學問,僅靠讀一本書、一篇論文,或者學一門課是遠遠不夠的,它需要足夠的興趣和精力,不停地做題、實戰、鍛煉,並沒有捷徑可走。
道理雖然如此,但是對於初學者來說,缺少入門指引就會感到迷茫,不知道去做什麼題,也不知道去學什麼。因此寫一本書帶領新人入門CTF,是FlappyPig戰隊共同的想法。於是我們將CTF的知識按照題目類型進行了分類,然後根據戰隊中每個人的專長,將每一篇交由合適的人來負責撰寫,於是本書就誕生了。
《CTF特訓營:技術詳解、解題方法與競賽技巧》
FlappyPig戰隊 著
本書圍繞CTF競賽需要的安全技術、解題方法和競賽技巧3個維度展開,旨在通過作者紮實的技術功底和豐富的競賽經驗,引領對CTF競賽感興趣的讀者快速入門。書中依據CTF競賽的特點,分別從Web、Reverse、PWN、Crypto、APK、IoT這6個方面系統地對CTF競賽的知識點、模式、技巧進行了深入講解,每一篇都搭配歷年真題,幫助讀者加深理解。內容結構上,依據CTF競賽的知識點類別,分別從易至難進行了基礎知識的講解和真題的練習;實用性方面,不僅適合初學者,還可作為資深CTF選手的工具書,面對複雜問題時,通過梳理題目類別和邏輯,按照書中結構尋找題目突破點,具有較高的實用價值。寫作方式上,結合題目內容,將晦澀難懂的數學知識和計算機技術原理轉換為通俗易懂的語言進行描述;行文風格上,邏輯嚴密,語言清晰,詳細介紹了各類CTF問題的本質。全書一共分六篇。 FlappyPig戰隊 國內老牌知名CTF戰隊,曾獲數十個各級CTF競賽冠亞季軍,具備國際CTF競賽水準,具備豐富的CTF參賽經驗。先後獲得XCTF聯賽總冠軍、XNUCA總決賽冠軍、CISCN冠軍、TCTF/0CTF(Defcon外卡賽)冠軍、WCTF世界黑客大師挑戰賽季軍,連續三年闖進Defcon決賽,Defcon最好成績第10名。戰隊開發維護了用於CTF賽事評級的CTFRank網站。現在以r3kapig聯合戰隊的方式參賽。
戰隊主要成員目前就職於阿里巴巴、騰訊、京東等,從事網絡安全、漏洞挖掘相關工作。在網絡安全競賽、漏洞挖掘、滲透測試等領域具有非常深厚的經驗積累,擅長Web、應用層軟件、操作系統、區塊鏈、嵌入式等多領域的漏洞挖掘與利用。
CTF是安全從業人員入門和進階非常好的方式,寓學於練,以練促學,打一場好的CTF競賽如洗筋易髓。本書以拔尖題目為骨,化知識體系為肉,覆蓋了安全攻防技術的方方面面,實戰與理論結合,深入淺出,娓娓道來,不僅適合對CTF感興趣的初學者,更適合想在安全技術上精進的每位技術人員。
——何淇丹(Flanker) 三度Pwn2Own冠軍,納斯達克上市公司安全總監
近年來,CTF網絡安全大賽在全國如火如荼地開展,國內團隊在國際比賽中也頻頻獲得優異戰績。廣大自稱「萌新」的CTF愛好者們急切需要一本系統性介紹CTF競賽知識技能體系的好書,由國際著名戰隊r3kapig成員呈現的本書,於他們而言可說是「雪中送炭」。本書內容全面,覆蓋了CTF競賽中主流的Web安全、逆向分析、PWN二進制漏洞挖掘與利用、Crypto密碼學四大類別,還包含了移動安全與物聯網這兩個貼近實際的CTF賽題場景。書中內容循序漸進,以豐富的經典賽題案例引導讀者在實踐復盤中掌握各種解題方法與技巧,易於讀者理解並舉一反三進行拓展實踐,可謂是一本CTF實操寶典,在此強烈推薦。
——諸葛建偉 清華大學網絡研究院副研究員,博導,藍蓮花戰隊聯合創始人及領隊,XCTF國際聯賽發起人及技術委員會主任
CTF競賽有益於培養實踐型安全人才,近年來在中國開展得如火如荼,但市面上一直缺少一本系統化的參考書。本書是作者資深實戰經驗總結,書中內容全面覆蓋了CTF競賽的各個知識領域,並對歷年典型題目進行了剖析,具體且深入。對於想了解或參加CTF競賽的安全技術人員來說,本書值得參考。