CTF信息安全競賽實(shí)戰(zhàn)演練培訓(xùn)班(北京�,4月18-24日)
【舉辦單位】北京曼頓培訓(xùn)網(wǎng) www.mdpxb.com
【咨詢電話】4006820825 010-56133998 13810210257
【培訓(xùn)日期】2021年4月18-24日
【培訓(xùn)地點(diǎn)】北京
【課程背景】
CTF(Capture The Flag,奪旗賽)是一種流行于網(wǎng)絡(luò)安全技術(shù)人員之間的一種信息安全技術(shù)競賽�����。其前身是傳統(tǒng)黑客之間網(wǎng)絡(luò)技術(shù)比拼的游戲�����,以代替之前黑客們通過互相發(fā)起真實(shí)攻擊進(jìn)行技術(shù)比拼的方式����。起源于1996年第四屆DEFCON。現(xiàn)在已成為全球范圍網(wǎng)絡(luò)安全圈流行的競賽形式�。
通常CTF分為三種賽制:解題賽(Jeopardy)、攻防賽(Attack-Defence)和混合賽��。
競賽模式基本分為解題模式�、攻防模式和混合模式。大多題目的內(nèi)容基本包括web安全�,密碼學(xué)、逆向�、二進(jìn)制安全編程類題目等國內(nèi)外有很多CTF比賽。
解題賽是線上賽通常采取的賽制�����,題目通常分為多個(gè)類型���,如Web��,F(xiàn)orensic(取證)����,Crypto(密碼學(xué)),Binary(二進(jìn)制)等�。團(tuán)隊(duì)或個(gè)人可以通過解題獲得一串具有一定格式的字符串,也就是flag�。將flag提交到競賽平臺可以獲得積分。題目的難度越大����,分值就越高。當(dāng)比賽結(jié)束后��,得分最高者勝出��。
攻防賽是另一種有趣的賽制���,常見于線下決賽�����。攻防賽中�,每個(gè)隊(duì)伍都會被分配一臺主機(jī)或虛擬機(jī)�,稱為gamebox,隊(duì)員可以通過網(wǎng)絡(luò)連接到gamebox�����。而所有隊(duì)伍的gamebox通過內(nèi)網(wǎng)連接在一起�����。每個(gè)隊(duì)伍的gamebox上都運(yùn)行著多個(gè)相同的服務(wù)��。參賽隊(duì)伍需要挖掘服務(wù)的漏洞�,然后攻擊其他隊(duì)伍的服務(wù)來獲取flag,并提交給計(jì)分服務(wù)器來獲取積分����。與此同時(shí),參賽隊(duì)伍還需要修補(bǔ)自身服務(wù)中的漏洞來防止丟分��。攻防賽不僅考驗(yàn)了參賽選手的技術(shù)水平�����,還考驗(yàn)了參賽者的體力�,因?yàn)橥ǔ①愓咝枰B續(xù)混合賽可能采取解題賽和攻防賽的混合模式,也可能是其他形式����。
【課程大綱】
1CTF入門
1.CTF概念和入門
2.國內(nèi)外安全攻防比賽現(xiàn)狀
3.攻防比賽方式和題型介紹
4.安全培訓(xùn)基礎(chǔ)環(huán)境介紹和配置搭建
5.實(shí)訓(xùn)期間所需工具包和資料分發(fā)
6.操作系統(tǒng)命令和數(shù)據(jù)庫基礎(chǔ)
7.PHP和python程序入門
8.數(shù)據(jù)庫基礎(chǔ)入門和SQL語言簡述
9.網(wǎng)絡(luò)安全攻防滲透基礎(chǔ)知識(搜集��、定點(diǎn)�、攻擊等)
10.Linux安全基礎(chǔ)(基本命令�、系統(tǒng)管理、反彈shell等)
11.Windows安全基礎(chǔ)(DOS/PS基本命令���、用戶權(quán)限���、AD、網(wǎng)絡(luò)協(xié)議等)
2數(shù)據(jù)隱寫
1.數(shù)據(jù)隱寫基礎(chǔ)和工具分發(fā)
2.隱寫比賽模式和題型分析
3.隱寫專項(xiàng)練習(xí):圖片隱寫���、視頻隱寫����、音頻隱寫�����、網(wǎng)絡(luò)協(xié)議隱藏�、pdf隱寫、壓縮文件隱寫等
■MISC雜項(xiàng)
1.常見MISC雜項(xiàng)題目分析
2.網(wǎng)絡(luò)流量協(xié)議分析基礎(chǔ)
3.Wireshark工具實(shí)操
4.系統(tǒng)日志分析思路
5.社會工程學(xué)概念
6.其他技術(shù)點(diǎn)探討
3■密碼編碼
1.常見比賽密碼學(xué)題型分析
2.密碼編碼工具介紹和分發(fā)
3.密碼學(xué)理論基礎(chǔ)(凱撒�、柵欄、莫斯等)
4.古典密碼學(xué)題型分析
5.編碼解碼基礎(chǔ)入門
6.常見編碼解碼題型分析
■密碼學(xué)進(jìn)階
1.現(xiàn)代密碼學(xué)入門
2.算法加解密原理
3.題型分析和關(guān)鍵代碼學(xué)習(xí)
4.其他算法介紹
■綜合訓(xùn)練
1.隱寫技術(shù)復(fù)習(xí)
2.密碼學(xué)復(fù)習(xí)
3.題目答疑解惑
4.雜項(xiàng)題目實(shí)操
4■WEB基礎(chǔ)
1.Web漏洞基礎(chǔ)和工具介紹
2.WEB爆破和burp實(shí)操
3.任意文件下載和信息泄露
4.文件上傳和文件解析漏洞分析
5.XSS跨站攻擊(反射����、存儲�、DOM)靶場實(shí)操
6.命令執(zhí)行原理和OS命令強(qiáng)化
7.代碼執(zhí)行和PHP代碼強(qiáng)化
8.XXE原理分析和賽題解析
■SQLI提高
■SQL注入基礎(chǔ)(原理����、工具��、SQLMAP等)
SQL注入進(jìn)階(報(bào)錯(cuò)�����、盲注�����、聯(lián)合�����、寬字節(jié)�、二階注入、二次編碼等注入)
■WEB強(qiáng)化
1.PHP反序列化題型分析
2.SSRF原理和題型分析
3.弱類型技術(shù)原理
4.變量覆蓋和條件競爭
5.文件包含強(qiáng)化(偽協(xié)議��、結(jié)合上傳�、結(jié)合XSS等)
6.SSTI模板注入分析(flask等框架介紹)
■代碼審計(jì)
1.python安全編程與代碼審計(jì)
2.PHP安全編程與代碼審計(jì)
3.Java�����、JSP安全編程與代碼審計(jì)
4.代碼審計(jì)工具和真題分析
■實(shí)操練習(xí)
■典型題目實(shí)操練習(xí)和指導(dǎo)
5逆向工程
1.逆向工程入門
2.匯編語言基礎(chǔ)和關(guān)鍵語句詳解
3.PE格式介紹和X86/X64平臺原理
4.靜態(tài)分析和動態(tài)調(diào)試工具介紹
5.代碼和數(shù)據(jù)結(jié)構(gòu)分析
6.逆向題目技術(shù)點(diǎn)分析和題型介紹
7.Android基礎(chǔ)和逆向題型
8.逆向題目實(shí)操和技能強(qiáng)化
9.【PWN入門和題型概述】(酌情)
6■CTF模擬訓(xùn)練
■個(gè)人奪旗戰(zhàn)和AWD攻防混戰(zhàn)(0.5天)
■CTF解題賽
■(提供賽題和比賽平臺�,1.5天)
【講師介紹】
趙老師,曼頓培訓(xùn)網(wǎng)(www.mdpxb.com)資深講師����。從事信息安全技術(shù)研究和管理工作十余年多,擅長網(wǎng)絡(luò)攻防���、滲透測試�����、漏洞挖掘���、應(yīng)用安全、逆向分析���、木馬病毒����、主機(jī)數(shù)據(jù)庫安全測試加固、安全編程��,積累了豐富的管理顧問實(shí)戰(zhàn)經(jīng)驗(yàn)���,精通網(wǎng)絡(luò)安全架構(gòu)及安全評估����、精通WEB滲透及防御技術(shù)���。曾參與國內(nèi)多家網(wǎng)絡(luò)安全競賽攻防項(xiàng)目。
郭老師,曼頓培訓(xùn)網(wǎng)(www.mdpxb.com)資深講師����。取得認(rèn)證:安全 CCIE,SP CCIE�,UC 統(tǒng)一通信 CCIE,CCSI���,CCDP�����,MCSE����,CISP-PTE,CISSP����、CISP等,專業(yè)技能: 計(jì)算機(jī)語言:Python��、C++�����、匯編���、PHP�����; 了解基本二進(jìn)制漏洞���,熟悉Web攻防,熟練掌握各類Web漏洞的成因/利用方式/危害性/繞過思路�����,以及正確修復(fù)方法; 有豐富的滲透測試經(jīng)驗(yàn)���,熟練掌握metasploit等攻擊框架���,以及內(nèi)網(wǎng)滲透、系統(tǒng)漏洞利用����、權(quán)限提升、服務(wù)器加固等相關(guān)技術(shù)�����; 深入了解 TCP/IP 理論和 ISO 網(wǎng)絡(luò)模型�, 具備深厚��、全面的路由交換技術(shù)以及 VOIP�����、Wireless LAN����、網(wǎng)管技術(shù);有若干大型 IP 網(wǎng)絡(luò)建設(shè)工程的設(shè)計(jì)及項(xiàng)目實(shí)施經(jīng)驗(yàn);熟悉主流的信息安全產(chǎn)品及解決方案���; 熟練掌握網(wǎng)絡(luò)數(shù)通產(chǎn)品調(diào)試��、故障排除����、軟件系統(tǒng)升級等技術(shù)(思科/微軟/Juniper/綠盟/華為/H3C 等)�。 熟悉 Frame Relay,ATM�,SDH,光傳輸��,CA server���,AAA server�����, CallManager server����,CiscoWorks����,SSL VPN���, IPSec VPN,MPLS VPN�,等常用網(wǎng)絡(luò)的安裝調(diào)試及故障檢測;深入掌握信息安全相關(guān)知識及技術(shù)技能經(jīng)驗(yàn)要求�; 能熟練使用各主流網(wǎng)絡(luò)安全廠商的安全設(shè)備(綠盟 IPS,IDS,WAF;思科及山石防火墻,網(wǎng)康上網(wǎng)行為管理����,科來網(wǎng)絡(luò)行為回溯分析平 臺,堡壘機(jī)�����,VPN 網(wǎng)關(guān)���,廣州天懋非法違規(guī)外聯(lián)平臺,主流態(tài)勢感知平臺���,反垃圾郵件系統(tǒng)……) 具有 IT 管理流程創(chuàng)立及規(guī)范化經(jīng)驗(yàn)�,具備 ITIL 管理模式的相關(guān)經(jīng)驗(yàn)�����;具 10 年以上大型信息系統(tǒng)維護(hù)和技術(shù)管理工作經(jīng)驗(yàn)。
高老師,曼頓培訓(xùn)網(wǎng)(www.mdpxb.com)資深講師�����。 曾任北京頂牛�,安全部,滲透測試組組長���,中國金融認(rèn)證中心����,信息安全服務(wù)部�����,信息安全工程師����,獲得銀聯(lián)系統(tǒng)CTF線下賽-三等獎(jiǎng),主要項(xiàng)目經(jīng)歷包括Web滲透�����、APP安全測試(android)、微信小程序�、API接口、CTF�、逆向、后滲透及持久化方面�,知識面比較廣。只列主要舉項(xiàng)目名稱��,對具體漏洞無法列舉����;由于某些項(xiàng)目的特殊性,只能大概描述下項(xiàng)目/任務(wù)名稱:中國聯(lián)通滲透測試項(xiàng)目���,中國石化滲透測試項(xiàng)目�,中遠(yuǎn)集團(tuán)滲透測試項(xiàng)目���,南方電網(wǎng)滲透測試項(xiàng)目�����,南方航空滲透測試項(xiàng)目,委內(nèi)瑞拉國際培訓(xùn)項(xiàng)目�,某部隊(duì)CTF賽前培訓(xùn)�����,第二屆強(qiáng)網(wǎng)杯CTF挑戰(zhàn)賽(線上三等獎(jiǎng)�����,線下三等獎(jiǎng))�,網(wǎng)信辦滲透測試任務(wù)����,無人機(jī)takeover項(xiàng)目,聯(lián)通支付平臺滲透測試項(xiàng)目等���。
【費(fèi)用及報(bào)名】
1�、費(fèi)用:培訓(xùn)費(fèi)9800元(含培訓(xùn)費(fèi)����、講義費(fèi));如需食宿�,會務(wù)組可統(tǒng)一安排,費(fèi)用自理。
2��、報(bào)名咨詢:4006820825 010-56133998 56028090 13810210257 鮑老師
3����、報(bào)名流程:電話登記-->填寫報(bào)名表-->發(fā)出培訓(xùn)確認(rèn)函
4��、備注:如課程已過期�,請?jiān)L問我們的網(wǎng)站�,查詢最新課程
5、詳細(xì)資料請?jiān)L問北京曼頓培訓(xùn)網(wǎng):www.mdpxb.com (每月在全國開設(shè)四百多門公開課�����,歡迎報(bào)名學(xué)習(xí))
已認(rèn)證
