【现货速发】CTF安全竞赛入门

当前国内外网络安全形势错综复杂，每天在互联网上发生的攻击有成百上千次。无论是企业还是政府单位，也无论是国内还是国外，都面临着巨大的安全威胁。安全人才的紧缺已成为当前网络安全形势的一大重要因素。为促进对网络安全人才的培养，从2016年开始，我国的一些高校陆续设立网络空间安全学院及信息安全等专业以满足市场的需要。但在高校的人才培养过程中如何提升大家的动手实践能力是一大问题，而CTF(夺旗赛)作为一项很好的赛事可促进学生网络安全实战技能的提升。
目前市面上几乎没有关于CTF方面的中文书籍，互联网上也都是各类真题的解题思路，而且大部分写得比较简单晦涩，为了让更多的人快速有效地掌握CTF竞技技巧，我们撰写了《CTF安全竞赛入门》。
纵观各个行业，都已经逐渐形成自己的竞赛体系，例如运营商行业每年的“通信网络安全知识技能竞赛”、电力行业的“红蓝对抗赛”等赛事已成为相关企业选拔人才的重要渠道。在我们接触的培训客户中，经常有一些学员咨询该如何学习网络安全以及如何在CTF中取得好成绩。鉴于此，我们特意将近几年培训工作中积累的赛事题目编写成教材，希望为网络安全行业贡献一份微薄之力。
因此，《CTF安全竞赛入门》的宗旨是为对CTF感兴趣的人员提供学习上的帮助和指导。通过知识点的讲解，使得学员对每一道题目的考点都能找到相对应的知识原理。
无论是信息安全爱好者、相关专业学生还是安全从业者，都可以通过阅读《CTF安全竞赛入门》获得CTF的相关知识并扩展安全视野。《CTF安全竞赛入门》并不要求读者具备渗透测试等相关背景，而只需要掌握基础的计算机原理即可。当然，拥有相关经验对理解《CTF安全竞赛入门》内容会更有帮助。
《CTF安全竞赛入门》将理论讲解和实验操作相结合，抛弃了传统的学术性和纯理论性的内容，按照CTF的内容进行分块，讲解了Web安全、密码学、信息隐写、逆向工程、PWN、攻防对抗等不同类别题目的解题思路和技巧。
《CTF安全竞赛入门》结构
《CTF安全竞赛入门》各章相互独立，读者可以逐章阅读，也可以按需阅读。
第1章“CTF概述”主要讲解CTF起源、发展和竞赛模式，并且介绍相关学习路线和基础平台的环境搭建。
第2章“Web安全”主要介绍当前竞赛Web安全类别中题目的考点和做题技巧，包括实验环境的搭建、工具的使用以及信息收集、SQL注入、代码审计等内容。
第3章“密码学”主要介绍密码学的发展历史和分类，包括哈希算法、对称算法、非对称算法等不同算法的出题点。
第4章“信息隐写”主要介绍信息隐写技术的发展、隐写题目的分类和常见隐写题目用到的相关工具的使用方法。
第5章“逆向工程”主要介绍逆向工程的概念和应用，说明学习逆向所需的基础知识，同时重点介绍常用的PE、反编译、调试等相关工具的基本使用方法。
第6章“取证”主要介绍取证的常规思路，通过从日志、流量数据包、内存等方面获取信息，掌握相关工具的使用。
第7章“杂项”的内容比较杂，不属于其他章节的题目一般都归到该章中。
第8章“PWN”主要介绍PWN知识，包括如何搭建PWN实验环境、GDB调试方法、格式化字符串漏洞的利用，以及一些公开赛题目的讲解。
第9章“攻防对抗”主要介绍攻防对抗模式的内容，包括比赛规则、对抗策略等，后通过PHP和Java漏洞靶机的练习介绍实战比赛中的操作和注意事项。
勘误与更新
《CTF安全竞赛入门》由启明星辰网络空间安全学院主编，参与编写的主要人员有张镇、王新卫、刘岗。陈栋、万海军、黄金坤、庄志诚、温志宇、詹英也做了部分工作。
由于作者水平有限，加之时间仓促，书中疏漏之处在所难免，恳请广大读者批评指正，大家可以通过出版社或“知白讲堂”向我们反馈问题或提建议。在《CTF安全竞赛入门》的后续再版中，我们将不断完善CTF知识体系内容的深度、广度和新度。
配套学习资源下载
《CTF安全竞赛入门》中的所有题目、代码与相关工具资源都是经过实际测试的，由于容量比较大，因此采用分卷压缩的方式。读者可以通过扫描下方的二维码，下载获取8卷压缩包，整体解压后得到《CTF安全竞赛入门》的全套配套学习资源，包括每个章节的题目源代码文件、URL以及相关解题工具。

《CTF安全竞赛入门》主要介绍目前主流CTF(夺旗赛)的比赛内容和常见的题目类型，从Web安全、密码学、信息隐写、逆向工程、PWN等方面分析题目要求并给出解题技巧。 《CTF安全竞赛入门》题量丰富，实操性强，可供准备参加CTF和想要了解安全实战技能的高校学生、IT安全人员及运维人员阅读。

张镇
CISI认证信息安全高级讲师、“中国通信企业协会网络安全人员能力认证”讲师、网络安全尖峰训练营尖峰导师、软件设计师、CWASP-L2 Web安全专家，获得过金园丁奖(安全培训)以及CISA、CISD、CCSK、ISO 27001 Foundation、Cobit5、OCP等认证，曾参与OWASP Top 10 2017-RC1中文版的翻译。
从2003年开始进入信息安全领域，熟悉安全攻防的各类技术细节，有丰富的渗透测试经验，开发过多款安全工具(如高强度安全隧道、黑洞服务器、临侦工具等)，给多家金融机构、政府、企事业单位做过渗透测试与安全加固服务。现在负责启明星辰网络空间安全学院的实训平台与安全培训业务。
王新卫
CISI认证信息安全高级讲师、“中国通信企业协会网络安全人员能力认证”讲师，已获得CISP、CCSK、Cobit5等安全认证。
2014年进入信息安全领域，熟悉各类网络安全设备配置与原理，有丰富的渗透测试经验，擅长Web安全与安全漏洞研究工作。现负责启明星辰网络空间安全学院的课程开发教学工作。
刘岗
UNIX系统工程师、系统集成高级项目经理，曾长期从事网络安全系统的设计、开发、测试、工程实施等工作。1994年北京航空航天大学自动控制系硕士毕业，现任启明星辰网络空间安全学院常务副院长。

《CTF安全竞赛入门》主要介绍目前主流CTF(夺旗赛)的比赛内容和常见的题目类型，从Web安全、密码学、信息隐写、逆向工程、PWN等方面分析题目要求并给出解题技巧。 《CTF安全竞赛入门》题量丰富，实操性强，可供准备参加CTF和想要了解安全实战技能的高校学生、IT安全人员及运维人员阅读。

张镇
CISI认证信息安全高级讲师、“中国通信企业协会网络安全人员能力认证”讲师、网络安全尖峰训练营尖峰导师、软件设计师、CWASP-L2 Web安全专家，获得过金园丁奖(安全培训)以及CISA、CISD、CCSK、ISO 27001 Foundation、Cobit5、OCP等认证，曾参与OWASP Top 10 2017-RC1中文版的翻译。
从2003年开始进入信息安全领域，熟悉安全攻防的各类技术细节，有丰富的渗透测试经验，开发过多款安全工具(如高强度安全隧道、黑洞服务器、临侦工具等)，给多家金融机构、政府、企事业单位做过渗透测试与安全加固服务。现在负责启明星辰网络空间安全学院的实训平台与安全培训业务。
王新卫
CISI认证信息安全高级讲师、“中国通信企业协会网络安全人员能力认证”讲师，已获得CISP、CCSK、Cobit5等安全认证。
2014年进入信息安全领域，熟悉各类网络安全设备配置与原理，有丰富的渗透测试经验，擅长Web安全与安全漏洞研究工作。现负责启明星辰网络空间安全学院的课程开发教学工作。
刘岗
UNIX系统工程师、系统集成高级项目经理，曾长期从事网络安全系统的设计、开发、测试、工程实施等工作。1994年北京航空航天大学自动控制系硕士毕业，现任启明星辰网络空间安全学院常务副院长。