CTF實戰：從入門到提升

🚀前言

沒有網絡安全就沒有國家安全，網絡安全不僅關系到國家整體信息安全，也關系到民生安全。近年來，隨著全國各行各業信息化的發展，網絡與信息安全得到了進一步重視，越來越多的網絡安全競賽也開始進入人們的視野。網絡安全競賽對于主辦方來說，在某種程度上能完成對網絡安全人才的選拔，對于參賽者來說，也是一個很好的交流學習平臺，更是很多人接觸網絡安全、學習網絡安全、深入了解網絡安全的重要渠道。

CTF是Capture The Flag（奪旗賽）的縮寫，它是一種網絡安全競賽。在CTF比賽中，參賽者需要解決一系列與網絡安全相關的難題，包括密碼學、逆向工程、漏洞利用等等。其中的“旗幟”代表著問題的答案，參賽者需要通過解決問題來獲取旗幟。CTF比賽不僅可以提高參賽者的網絡安全技術，還可以培養他們的團隊合作能力和問題解決能力。

CTF作為網絡安全競賽中最為傳統的競賽模式，最為直接地考察了選手在各個領域對應知識點的掌握情況，從檢驗和學習的角度考慮也更具有針對性。本書選取CTF實戰中所需知識和技能進行講解，希望從競賽維度來促進大家對網絡安全各個領域相關技能的學習。CTF的覆蓋面大于傳統的攻防滲透，因此對于初學者來說不僅僅是掌握競賽中可能遇到的技能，更希望能夠拓展對網絡安全其他領域的了解，并通過CTF的學習找到自己想去深入研究的方向。

🚀一、CTF實戰：從入門到提升

本書編寫的人員都來自于安恒信息的“恒星實驗室”,近年來恒星實驗室在眾多網絡安全競賽中都取得了優異的成績，同時本書的編寫人員也參與支撐了國內眾多網絡安全競賽的舉辦，因此能夠從出題人和做題人兩方視角進行講解。在編寫書稿時先進行體系設計，而后將自身經驗轉化輸出，重點講解實戰所需知識和技能，希望能幫助更多的人更加高效地學習，更希望能為國家的網絡空間安全建設貢獻一份力量。

CTF作為競賽模式中的一種，覆蓋面非常廣泛，解題思路非常多，本書開發中我們也只是選取了部分角度進行切入，內容上沒有辦法完全覆蓋所有CTF競賽內容。限于作者水平，書中疏漏之處在所難免，希望讀者批評指正。

為了方便讀者學習，提升學習效率，本書特意附贈了實驗平臺，相關地址可以通過關注以下公眾號獲取。本書其他的配套資源（視頻、工具、內容更新等），作者也會在此公眾號同步發布。
最后，由于網絡安全的特殊性，本書相關內容僅限于學習網絡安全技術，嚴禁利用書中所提及的相關技術及手段進行非法攻擊，否則將受到法律的嚴懲！

🚀二、書籍推薦

推薦語：

本書采用理論與案例相結合的形式，全面講解傳統網絡安全競賽CTF解題賽中五大類重點知識和技能。

全書共17章，其中第1_{3章為第1篇Web安全，從原理層面講解了最常見的PHP相關安全問題，以及文件上傳漏洞、文件包含漏洞、命令執行漏洞、SQL注入漏洞、SSRF漏洞等常見Web漏洞的原理與利用；第4}6章為第2篇Crypto密碼，主要介紹了密碼學基礎、常見編碼、古典密碼學和現代密碼學等相關內容；第7_{10章為第3篇MISC安全，主要介紹了隱寫術、壓縮包分析、流量分析和取證分析等相關內容；第11}13章為第4篇Reverse逆向工程，主要介紹了逆向工程基本概念、計算機相關原理、逆向相關基礎、常規逆向分析思路、反調試對抗技術等內容；第14~17章為第5篇PWN，主要介紹了基礎環境準備、棧溢出、堆溢出等漏洞的原理與利用。

本書所有案例都配有相關實踐內容，能夠更有效地幫助讀者進一步理解相關技能。

本書旨在幫助讀者相對快速且完整地構建一個CTF實戰所需的基礎知識框架，并通過案例學習相關技能，完成從入門到提升，適合所有網絡安全愛好者及從業者參考閱讀，也可作為高等院校網絡安全相關實踐課程的參考用書。