# 书籍介绍
-
《从 0 到 1:CTFer 成长之路》主要面向 CTF 入门者,融入了 CTF 比赛的方方面面,让读者可以进行系统性的学习。本书包括 13 章内容,技术介绍分为线上赛和线下赛两部分。线上赛包括 10 章,涵盖 Web、PWN、Reverse、APK、Misc、Crypto、区块链、代码审计。线下赛包括 2 章,分别为 AWD 和靶场渗透。第 13 章通过 Nu1L 战队成员的故事和联合战队管理等内容来分享 CTF 战队组建和管理、运营的经验。
-
本书为当前众多 CTF 入门的参赛者提供了一份不可多得的参考教材。由于 CTF 覆盖知识点庞杂,而且近年来赛事题目越来越难,对于 CTF 入门的选手来说很难把握,市面上系统地介绍 CTF 的书目前并不多见。本书的内容不仅覆盖了传统 CTF 线上、线下赛常见的知识领域,如 Web 攻防、逆向工程、漏洞利用、密码分析等,还增加了 AWD 攻防赛、区块链等新的内容。特别是本书最后加入了 Nu1L 战队的成长史和 Nu1L 两位队员的故事,融入了付浩本人对 CTF 竞赛的期望和情怀,其中关于 CTF 联合战队管理、如何组织竞赛、如何吸收新鲜血液等内容,都是独一无二的。这些内容融合了 Nu1L 整个团队多年的知识、经验和感情。我相信,本书不仅对 CTF 爱好者学习技术有重要帮助,也对 CTF 战队的组织管理者提供了难得的参考。
-
随着日益严峻的网络安全形势及人们对网络安全重视程度的提高,以人才发现、培养和选拔为目的的网络安全赛事不断涌现,成为发现人才的一种创新形式。目前,国内高水平的网络安全赛事普遍以 CTF 形式存在,竞赛水平差异较大,直接参加高于自身技术过多的竞赛犹如空中楼阁,不仅很难学到东西,也可能打击自信。参加过于简单的竞赛则浪费时间而无所得。此外,CTF 比赛题目因涉及网络安全技术、计算机技术、硬件技术等领域,内容十分繁杂,迭代更新时间快,初学者往往一头雾水地参与其中,难以发现 CTF 的乐趣。
-
希望这本书可以让 CTF 入门者进行系统性的学习,于是决定尽可能地将 CTF 比赛中的方方面面融入此书。同时,为了避免这本书成为一本只是罗列知识点的普通安全基础书籍,除了围绕 CTF 涉及的大量知识点,我们还将做题的技巧、个人经验穿插其中,以便让读者更好地融入。除了技术层面的内容,我们还会介绍 Nu1L 战队的成长史和联合战队的管理经验。
# 目录
# CTF 之线上赛
# 第 1 章 Web 入门
1.1 举足轻重的信息收集
1.2 CTF 中的 SQL 注入
1.3 任意文件读取漏洞
# 第 2 章 Web 进阶
2.1 SSRF 漏洞
2.2 命令执行漏洞
2.3 XSS 的魔力
2.4 Web 文件上传漏洞
# 第 3 章 Web 拓展
3.1 反序列化漏洞
3.2 Python 的安全问题
3.3 密码学和逆向知识
3.4 逻辑漏洞
# 第 4 章 APK
4.1 Android 开发基础
4.2 APK 逆向工具
4.3 APK 逆向之反调试
4.4 APK 逆向之脱壳
4.5 APK 真题解析
# 第 5 章 逆向工程
5.1 逆向工程基础
5.2 静态分析
5.3 动态调试和分析
5.4 常见算法识别
5.5 二进制代码保护和混淆
5.6 高级语言逆向
5.7 现代逆向工程技巧
5.8 逆向中的技巧
# 第 6 章 PWN
6.1 PWN 基础
6.2 整数溢出
6.3 栈溢出
6.4 返回导向编程
6.5 格式化字符串漏洞
6.6 堆利用
6.7 Linux 内核 PWN
6.8 Windows 系统的 PWN
6.9 Windows 内核 PWN
# 第 7 章 Crypto
7.1 编码
7.2 古典密码
7.3 分组密码
7.4 流密码
7.5 公钥密码
7.6 其他常见密码学应用
# 第 8 章 智能合约
8.1 智能合约概述
8.2 以太坊智能合约题目实例
# 第 9 章 Misc
9.1 隐写术
9.2 压缩包加密
9.3 取证技术
# 第 10 章 代码审计
10.1 PHP 代码审计
10.2 Java 代码审计
# CTF 之线下赛
# 第 11 章 AWD
11.1 比赛前期准备
11.2 比赛技巧
11.3 流量分析
11.4 漏洞修复
# 第 12 章 靶场渗透
12.1 打造渗透环境
12.2 端口转发和代理
12.3 常见漏洞利用方式
12.4 获取认证凭证
12.5 横向移动
12.6 靶场渗透案例
