CTF/AWD竞赛标准参考书+实战指南:《AWD特训营》

简介: CTF/AWD竞赛标准参考书+实战指南:《AWD特训营》

微信截图_20231016214628.png

前言

随着网络安全问题日益凸显,国家对网络安全人才的需求持续增长,其中,网络安全竞赛在国家以及企业的人才培养和选拔中扮演着至关重要的角色。


在数字化时代,企业为了应对日益增长的攻击威胁,一般都在大量部署安全产品、安全设备,忙于查看各种安全设备、安全运营中心(SOC)、安全态势感知平台中的告警数据,期望在早期阶段就捕获到攻击者行为并实现以下4个目标:一是 最大限度减少攻击者的入侵时间,尽可能让其丧失对目标的访问,或者令其攻击成功后的停留时间最短;二是 最大限度降低攻击者入侵成功后的横向移动速度,限制其在网络上的横向移动;三是 以最快的速度清理后门,防止其重新进入网络资产;四是 尽可能提高攻击溯源速度,掌握攻击者的动机和手法。在这个攻防博弈的过程中,你需要掌握丰富的攻防技术知识,懂得各类应用、服务、系统的防护手段及攻击手法,不断地提升自己对攻击者意图的理解水平,并通过丰富的实战场景来锻炼、培养自己的能力。于是,AWD竞赛应运而生。在AWD竞赛中,每个团队都有自己的网络资产,在攻击其他团队资产的同时,也要保护好自己团队的资产不被攻击。在不同的场景环境中,攻击手法和防御手段均不同。与传统的夺旗赛(CTF)相比,AWD更具趣味性和实战性。


在本书中,作者通过其丰富的参赛经验、长期的攻防对抗技术积累,围绕常见工具、常见加固措施、常见攻击手法、常见漏洞分析等展开“手把手”教学,帮助读者了解AWD竞赛的各项内容以及攻防技术与工具的实际应用。本书是包含技术解析和技巧的真正的“实战指南”。


内容简介

这是一本能指导你在AWD竞赛中速胜的标准参考书,也是一本能让你在高段位的CTF竞赛技高一筹的攻防秘籍,还是一本能全面提升你的网络安全攻防技术与水平的实战指南。


本书兼顾攻击与防守的双重视角,围绕AWD竞赛的内容全面展开,包括安全工具、主机安全加固、网络攻击、入侵检测、权限维持、应急响应、自动化攻防等技术主题。不仅剖析了AWD竞赛背后的技术细节,还总结了AWD竞赛的战略和战术。书中精选了大量真实案例和赛题,详细讲解了解题的方法和经验。此外,书中还有一个完整的AWD竞赛模拟演练,让读者能参与比赛的全过程并获得实战经验。

微信截图_20231016214642.png

读者对象

本书适用于以下读者:


- 网络安全爱好者

- 网络安全从业人员

- 企业IT运维人员

- 信息安全及相关专业的大学生

1

2

3

4


目录

目  录



前言


第1章 AWD竞赛概述1


1.1 CTF竞赛简介1


1.1.1 竞赛模式 1


1.1.2 知名赛事 2


1.2 AWD竞赛简介3


1.3 AWD竞赛内容4


第2章 AWD竞赛常用工具6


2.1 信息收集工具6


2.1.1 Nmap 6


2.1.2 Goby 9


2.1.3 dirsearch 15


2.2 后门木马检测工具16


2.2.1 D盾 16


2.2.2 河马WebShell查杀 17


2.3 代码审计工具18


2.3.1 Seay 18


2.3.2 其他代码审计工具 19


2.4 漏洞扫描工具20


2.4.1 Xray 20


2.4.2 其他漏洞扫描工具 23


2.5 流量采集工具25


2.5.1 BurpSuite 26


2.5.2 TCPDump 29


2.6 逆向分析工具31


2.6.1 IDA 31


2.6.2 Pwndbg和Pwngdb 35


第3章 主机安全加固37


3.1 Linux系统安全加固37


3.1.1 用户及权限安全排查 37


3.1.2 远程连接安全配置 40


3.1.3 SUID/SGID文件权限排查 44


3.1.4 Linux系统不安全服务排查 47


3.1.5 敏感数据排查与防护 50


3.2 Linux系统日志安全配置52


3.2.1 系统日志简介 52


3.2.2 系统日志备份 55


3.3 Web服务安全加固60


3.3.1 Apache中间件安全加固 60


3.3.2 Nginx中间件安全加固 65


3.3.3 Tomcat中间件安全加固 67


3.3.4 PHP安全加固 71


3.4 数据库安全加固75


3.4.1 MySQL数据库安全加固 75


3.4.2 Redis数据库安全加固 80


第4章 Web常见漏洞及修复83


4.1 常见Web环境及组件介绍83


4.1.1 常见的开源CMS 83


4.1.2 PHP站点 88


4.1.3 Python站点 90


4.2 文件写入漏洞和文件上传漏洞91


4.2.1 漏洞原理及利用 91


4.2.2 漏洞修复 98


4.2.3 赛题实战 99


4.3 文件读取漏洞和文件包含漏洞101


4.3.1 漏洞原理及利用 101


4.3.2 漏洞修复 106


4.3.3 赛题实战 108


4.4 代码执行漏洞和命令执行漏洞110


4.4.1 漏洞原理及利用 110


4.4.2 漏洞修复 116


4.4.3 赛题实战 117


4.5 反序列化漏洞120


4.5.1 漏洞原理及利用 120


4.5.2 漏洞修复 126


4.5.3 赛题实战 126


4.6 Python模板注入漏洞134


4.6.1 漏洞原理及利用 134


4.6.2 漏洞修复 138


4.6.3 赛题实战 139


第5章 PWN常见漏洞及修复141


5.1 汇编语言基础141


5.1.1 通用寄存器 141


5.1.2 重点汇编知识 142


5.2 栈溢出漏洞143


5.2.1 漏洞原理及利用 143


5.2.2 漏洞修复 147


5.3 堆漏洞149


5.3.1 堆结构简介 149


5.3.2 堆中bin类型简介 152


5.3.3 libc中main_arena偏移


计算 154


5.3.4 释放再利用漏洞 156


5.3.5 堆溢出漏洞 165


5.3.6 Tcache机制 187


5.4 格式化字符串漏洞193


5.5 ORW漏洞201


第6章 主机权限维持213


6.1 一句话木马后门213


6.1.1 一句话木马及其变种 213


6.1.2 冰蝎木马 217


6.1.3 一句话不死马 224


6.2 系统账户后门230


6.3 时间计划后门231


6.4 SSH类后门232


6.4.1 SSH软连接后门 232


6.4.2 SSH Server Wrapper后门 234


6.4.3 SSH公钥免密登录 234


6.5 PAM后门236


第7章 安全监控与应急处置239


7.1 主机安全监控239


7.1.1 日志监控 239


7.1.2 文件监控 242


7.1.3 流量监控 249


7.2 主机应急处置256


7.2.1 入侵排查及木马清理 256


7.2.2 安全防御策略 263


第8章 构建自动化攻防系统271


8.1 自动化漏洞利用与木马植入271


8.1.1 漏洞批量利用 271


8.1.2 木马批量植入 275


8.2 自动化flag提交278


8.2.1 利用BurpSuite自动


提交flag 278


8.2.2 利用BurpSuite插件编写


自动提交脚本 281


8.2.3 漏洞利用结合自动提交 284


8.3 开源自动化利用工具286


8.3.1 Pocsuite3 286


8.3.2 AWD-Predator-Framework 293


第9章 AWD竞赛模拟演练295


9.1 场景描述295


9.2 风险排查和安全加固295


9.3 漏洞利用和自动化工具308


9.4 安全监控和应急响应315



介绍

微信截图_20231016214720.png

相关文章
|
NoSQL 安全 Redis
Bugku S3 AWD排位赛-3(带你入门awd流程)
Bugku S3 AWD排位赛-3(带你入门awd流程)
776 1
|
6月前
|
存储 网络协议 数据建模
程序与技术分享:2021年第一届“东软杯”网络安全CTF竞赛
程序与技术分享:2021年第一届“东软杯”网络安全CTF竞赛
|
6月前
|
安全 网络安全 数据安全/隐私保护
CTF竞赛:一场网络安全技术的盛宴
CTF竞赛:一场网络安全技术的盛宴
193 0
|
7月前
|
测试技术 数据库 开发工具
高校奖学金评定系统的设计与实现(论文+源码)_kaic
高校奖学金评定系统的设计与实现(论文+源码)_kaic
|
安全 网络安全 网络虚拟化
CTF学习和比赛平台简介
CTF学习和比赛平台简介
909 1
|
监控 安全 关系型数据库
参加AWD攻防赛的感想
参加AWD攻防赛的感想
115 0
算法强化每日一题--组队竞赛
算法强化每日一题--组队竞赛
|
机器学习/深度学习 人工智能 算法
机器学习算法竞赛实战--1,初见竞赛
在时代的洪流之下,各行各业都在寻求生存之道利用先进的技术完成转型则是一个很好的办法,有些企业就开始寻求人工智能的助力开始向社会征求优秀的算法解决方案,此外,在学术领域的研究者们也渴望获得企业的场景和数据用于算法研究这就催生出了各种竞赛平台。对于有志于进军机器学习相关领域从事研究或者相关工作的初学者来说竞赛是性价比极高的一个实战选择,可以说是0门槛,任何人都可以参加。
127 0
机器学习算法竞赛实战--1,初见竞赛
|
存储
【CSDN编程竞赛 第六期】我的第一场编程竞赛
我的第一场编程竞赛解题思路。
152 0
【CSDN编程竞赛 第六期】我的第一场编程竞赛
|
机器学习/深度学习 人工智能 自然语言处理
NIPS大会最精彩一日:AlphaZero遭受质疑;史上第一场正式辩论与LeCun激情抗辩;元学习&强化学习亮点复盘
美国时间周四,NIPS 大会走完了日程的一半。工业界的众多公司搬东西撤出了展览会场,受邀演讲也全部结束。之后亮点除了当地时间周五周六的 Workshop 以外,就是周四下午的四场重要的研讨会——从元学习和深度强化学习,到 DeepMind 刚刚公布的 AlphaZero,以及 Yann LeCun 参加了 NIPS 史上第一次辩论,一天的精彩内容尽在此文中。
231 0
NIPS大会最精彩一日:AlphaZero遭受质疑;史上第一场正式辩论与LeCun激情抗辩;元学习&强化学习亮点复盘