目錄
前言
第0章開啟CTF之旅1
0.0CTF比賽的歷史1
0.1CTF比賽的常見賽制1
0.2國內外知名的CTF比賽3
0.3國內外知名的CTF戰隊4
0.4學習前的實驗環境準備7
0.4.0虛擬機運行軟件7
0.4.1搭建Python腳本運行環境9
0.4.2搭建Docker使用環境11
第1章安全雜項12
1.0安全雜項類賽題簡介12
1.1常見的編碼與解碼13
1.1.0ASCII編碼13
1.1.1Base64編碼15
1.1.2Base32編碼18
1.1.3Base16編碼19
1.1.4其他Base繫列編碼19
1.1.5Shellcode編碼21
1.1.6Quoted-printable編碼22
1.1.7UUencode編碼22
1.1.8XXencode編碼23
1.1.9URL編碼24
1.1.10摩斯碼24
1.1.11JSFuck編碼25
1.1.12Brainfuck編碼26
1.1.13編碼類題目的通用解題方法28
1.2網絡流量分析30
1.2.0網絡協議的基礎知識31
1.2.1Wireshark的基本使用方法33
1.2.2CTF流量分析的通用方法42
1.2.3ICMP44
1.2.4Telnet45
1.2.5FTP47
1.2.6DNS48
1.2.7HTTP50
1.2.8USB59
1.2.9TLS60
1.2.10IEEE 802.1162
1.3日志分析65
1.3.0Web日志及分析方法65
1.3.1繫統設備日志及分析方法70
1.4電子取證分析75
1.4.0電子取證的常用技術75
1.4.1文件恢復77
1.4.2磁盤取證分析方法79
1.4.3內存取證分析方法81
1.5壓縮文件格式與破解84
1.5.0ZIP壓縮包格式84
1.5.1偽加密87
1.5.2壓縮包密碼爆破89
1.5.3CRC踫撞破解壓縮包91
1.5.4已知明文攻擊93
1.6信息搜集與搜索引擎的高級用法95
1.6.0信息搜集方法95
1.6.1搜索引擎的高級用法97
第2章安全雜項——隱寫術專題99
2.0隱寫術簡介99
2.1圖像隱寫方法及信息提取100
2.1.0常見的圖像隱寫方法101
2.1.1PNG文件格式及隱寫方法102
2.1.2JPG文件格式及隱寫方法106
2.1.3GIF文件格式及隱寫方法110
2.1.4圖像隱寫三板斧115
2.1.5圖像隱寫三板斧2.0124
2.1.6圖像和像素值的轉換133
2.2音頻隱寫方法及信息提取135
2.2.0常見的音頻文件格式解析135
2.2.1基於波形圖的隱寫137
2.2.2基於頻譜圖的隱寫138
2.2.3音頻LSB隱寫139
2.2.4MP3文件隱寫141
2.2.5撥號音識別144
2.2.6音頻隱寫總結146
2.3視頻隱寫方法及信息提取147
2.4文本隱寫方法及信息提取148
2.4.0基於文本內容的隱寫149
2.4.1基於Word文檔的隱寫149
2.4.2基於PDF文檔的隱寫151
2.5二維碼155
2.5.0QR碼的基礎知識和常用工具156
2.5.1QR碼畫圖158
2.5.2QR碼修復159
第3章密碼學基礎161
3.0密碼學簡介161
3.1古典密碼165
3.1.0柵欄密碼165
3.1.1凱撒密碼169
3.1.2ROT位移密碼170
3.1.3Atbash密碼172
3.1.4豬圈密碼172
3.1.5培根密碼173
3.1.6簡單替換密碼175
3.1.7仿射密碼177
3.1.8單表代換密碼總結178
3.1.9多表代換密碼179
3.1.10維吉尼亞密碼179
3.1.11希爾密碼184
3.2對稱密碼185
3.2.0對稱密碼的基本模型185
3.2.1流密碼和分組密碼的本質區別186
3.2.2xor密碼186
3.2.3RC4190
3.2.4Feistel密碼結構191
3.2.5DES194
3.2.6AES195
3.2.7填充196
3.2.8分組模式197
3.3非對稱密碼206
3.3.0RSA基礎206
3.3.1模數N相關攻擊208
3.3.2指數e相關攻擊212
3.3.3私鑰d相關攻擊214
3.3.4廣播攻擊215
3.3.5ECC基礎217
3.3.6ECC加密218
3.3.7Pohlig_Hellman攻擊219
3.3.8Smarts攻擊220
3.4哈希函數221
3.4.0哈希函數的基本模型221
3.4.1MD5222
3.4.2哈希長度擴展攻擊223
第4章Web滲透基礎228
4.0引言228
4.0.0概述228
4.0.1HTTP理論基礎229
4.0.2環境搭建與工具使用234
4.1Web信息收集的技巧241
4.1.0端口掃描241
4.1.1目錄探測247
4.1.2指紋識別255
4.2暴力破解258
4.2.0用戶名/密碼爆破258
4.2.1參數爆破264
4.2.2密鑰爆破268
4.2.3隨機數爆破271
4.2.4字典275
4.3PHP弱類型277
4.3.0PHP代碼基礎277
4.3.1PHP弱類型問題280
4.4上傳漏洞283
4.4.0前端JavaScript繞過287
4.4.1MIME-Type繞過288
4.4.2黑名單繞過288
4.4.3.htaccess繞過289
4.4.4後綴名繞過290
4.4.5圖片馬291
4.4.6其他類型的問題296
4.5SQL注入漏洞297
4.5.0SQL注入297
4.5.1SQL注入漏洞的分類300
4.5.2SQL注入漏洞實戰301
4.5.3SQLmap307
4.5.4寬字節注入309
4.5.5WAF繞過310
4.5.6利用SQL注入讀寫文件313
4.5.7報錯注入314
4.6文件包含317
4.6.0php://filter進階321
4.6.1文件包含的分類322
4.6.2文件包含中的截斷和phar://322
4.7命令執行324
4.7.0危險函數332
4.7.1無參數RCE333
4.8CSRF與XSS338
4.8.0CSRF338
4.8.1CSRF防御340
4.8.2XSS341
4.9SSRF344
第5章軟件逆向工程347
5.0軟件逆向工程簡介347
5.0.0軟件是怎麼生成的347
5.0.1軟件逆向工程的定義及目標349
5.0.2軟件逆向工程的發展歷史349
5.1CTF軟件逆向工程入門350
5.1.0逆向題目的特點350
5.1.1逆向真經351
5.2靜態分析方法352
5.2.0靜態分析的原理和技巧352
5.2.1靜態分析的常用工具355
5.2.2靜態分析實戰359
5.3動態分析方法383
5.3.0動態調試的技巧383
5.3.1彙編384
5.3.2使用OllyDbg進行動態調試392
5.3.3使用GDB進行動態調試399
5.3.4使用IDA進行本地動態調試403
5.3.5使用IDA進行遠程動態調試407
第6章進入 PWN 的世界410
6.0PWN簡介410
6.1CTF中的PWN410
6.2棧溢出入門414
6.2.0認識棧結構415
6.2.1函數調用過程分析415
6.2.2Linux操作繫統的基本保護
?機制418
6.2.3覆蓋返回地址419
6.2.4覆蓋返回地址到Shellcode421
6.2.5編寫單個函數的ROP鏈423
6.2.6編寫兩個函數的ROP鏈427
6.2.7編寫多個函數的ROP鏈431
6.2.8ret2syscall433
6.2.9用動態鏈接動態洩露system
?地址並利用437
6.2.1064位程序的棧溢出442
6.2.11未知遠程libc的解法443
6.3格式化字符串443
6.3.0格式化字符串的原理443
6.3.1格式化字符串漏洞的利用446
6.3.2通過格式化字符串漏洞洩露
?棧上內容447
6.3.3通過格式化字符串漏洞洩露
?任意地址內存448
6.3.4通過格式化字符串漏洞覆蓋
?任意地址內存450
6.3.564位格式化字符串456
6.3.6格式化字符串的綜合利用456
6.4棧溢出進階技術457
6.4.0棧劫持457
6.4.1ropchain463
6.4.2Canary保護機制及其利用
?方式463
6.4.3__libc_csu_init的利用方式472
6.4.4ret2_dl_runtime_resolve474
6.5棧溢出和格式化字符串總結484
第7章PWN進階485
7.0堆管理器485
7.0.0ptmalloc堆管理器的基本功能485
7.0.1malloc和free簡介486
7.0.2內存分配背後的繫統調用487
7.1堆相關的數據結構488
7.1.0malloc_chunk488
7.1.1bin490
7.1.2fast bin492
7.1.3small bin493
7.1.4large bin495
7.1.5unsorted bin496
7.1.6bin 的總結497
7.2malloc的基本算法497
7.2.0__libc_malloc497
7.2.1fast bin分配算法498
7.2.2small bin分配算法499
7.2.3large bin分配算法1500
7.2.4unsorted bin分配算法501
7.2.5large bin分配算法2503
7.2.6尋找更大的bin鏈504
7.2.7使用top chunk505
7.2.8總結506
7.3free函數的基本算法506
7.4堆利用的基本方法507
7.4.0House of Prime507
7.4.1House of Lore508
7.4.2House of Spirit509
7.4.3House of Force512
7.4.4House of繫列方法總結514
7.5鏈表攻擊514
7.5.0unlink514
7.5.1fast bin 攻擊520
7.5.2unsorted bin 攻擊524
7.6其他漏洞形式及其利用526
7.6.0off by one527
7.6.1off by null530
7.6.2fast bin 三重釋放攻擊533
7.7例題講解536
7.8tcache機制及其利用方式542
7.8.0tcache的重要數據結構與
?源碼解讀542
7.8.1tcache dup（glibc 2.27）5

前言
為什麼寫這本書
CTF（Capture The Flag）一般翻譯為“奪旗”，起源於古代的戰爭，後來逐漸轉變為歐美的一種傳統運動。在網絡空間安全領域，CTF已經成為一種重要的競賽形式。
CTF比賽是快速提升網絡安全實戰技能的重要途徑，已成為各個行業選撥網絡安全人纔的通用方法。但是，本書作者在從事CTF培訓的過程中，發現存在幾個突出的問題：
1）線下CTF比賽培訓中存在嚴重的“最後一公裡”問題，線下培訓講師的水平參差不齊。
2）國內高等院校和職業院校的網絡空間安全學科與專業缺乏實戰型、繫統化的教材和配套實驗課程。例如，Base64編碼是網絡安全行業的基礎知識，但是學校的教材並不涉及該知識點，也沒有專門的實驗課對該知識進行講解。
3）大部分CTF比賽書籍對想學習網絡空間安全技術的新人不夠友好，很多初學者找不到快速、有效的學習方法。
為了解決上述問題，幫助零基礎的學習者快速掌握基本技能，同時吸引更多的人關注網絡空間安全技能的學習，推進CTF比賽的發展，本書創新性地提出新的CTF知識學習框架，並在每一章附有大量實操練習，即使是沒有網絡空間安全知識基礎的新手，也能按照書中的操作獨立復現實驗內容。
本書不僅講授了網絡空間安全相關的基礎知識和操作技能，還探討了CTF賽題的本質，著重闡述了面對不同類型題目時的分析思路和方法。比如，我們首次提出“圖像隱寫三板斧”“逆向真經”等解題思維模式，並較為全面地總結了CTF比賽中對工控安全相關知識的考查方式。從線下培訓的效果來看，這些方法的實用性極強。
網絡空間安全技術不應該被神秘化，更不應該被人為地高深化、復雜化。我們希望通過喜聞樂見的方式，以通俗易懂、幽默風趣的語言普及網絡空間安全的知識，從而提高公眾的網絡空間安全意識，進而促進全行業水平的提高，為我國成為網絡安全強國打下堅實的基礎。
CTF比賽的意義
在一些人眼中，CTF比賽就是一種遊戲，這種看法不無道理。一是因為絕大多數CTF賽題難以上升到高深的理論研究層面；二是受比賽時間與場景搭建等客觀條件的制約，CTF賽題的復雜度和運算量與現實的業務場景有巨大的差距。
古語有雲：不以一眚掩大德。在作者看來，CTF比賽對於我國網絡安全行業發展具有舉足輕重的作用。
2015年，我國在高等院校正式設立“網絡空間安全”一級學科與專業，經過這些年的努力，專業建設取得了長足的發展，但是在課程和知識體繫方面與傳統專業相比仍有不足。CTF比賽有利於促進高校網絡空間安全相關專業的課程體繫建設，並彌補教學過程中課程銜接不緊密帶來的“知識盲區”，尤其是那些教材中沒有出現但在實踐中經常遇到的重要知識點。例如，通過學習軟件逆向分析技術，讀者可以將彙編語言、編譯原理、數據結構、C語言、操作繫統、計算機體繫結構等課程中學到的知識融會貫通，綜合運用，從而為今後解決實際的網絡安全問題奠定堅實的基礎。
目前，國內專業的網絡安全人纔非常短缺，同時各個企業對於員工的網絡安全技能的要求與日俱增。與其他專業人員相比，網絡安全從業人員的工程實踐能力尤為重要。CTF比賽是網絡安全人纔從小白到高手的演武廳與練兵場。通過參與CTF比賽，可以提高網絡安全實戰技能。CTF比賽可以快速提升能力，彌補學校教育中“重理論，輕實踐”的不足。大部分CTF題目不需要選手具備特別深入的理論知識，即使已經忘記了相關的理論知識，通過CTF比賽的鍛煉，選手的網絡安全實戰技能仍可以有效提高，從而滿足企業日常在網絡安全方面的需求。
最後，在我國現行的法律制度下，CTF比賽是普及和學習網絡安全知識的有效途徑。隨著《中華人民共和國網絡安全法》的實施，網絡安全技術野蠻發展的時代一去不復返。但現階段網絡安全問題層出不窮，危害日益嚴重。CTF比賽不僅滿足了企業在真實場景下培養員工網絡安全技能的需求，也規避了網絡漏洞肆意傳播的危害。這也是越來越多的企業將CTF比賽作為員工內部考核的主要方式的原因。
綜上所述，CTF比賽的重要特點是能夠快速、高效地培養出滿足當前社會發展需求的網絡安全人纔。
本書特色
1.提出了適合國內讀者的網絡安全學習框架
CTF比賽起源於國外，很多學習資料也是由英文翻譯而來，但這些資料可能並不適合國內學習者學習使用。本書根據國內計算機學科與網絡空間安全學科的知識體繫，按照安全雜項（隱寫）、密碼學基礎、Web滲透、軟件逆向工程、二進制程序漏洞利用（PWN）、工業控制繫統安全的順序構建知識框架。
之所以采用這樣的學習框架，是基於以下考慮：安全雜項方面的介紹以工具為主，適合新手快速學習和入門，其中的很多知識點也是其他方向的基礎；密碼學在Web滲透、軟件逆向工程、PWN中極為常見，所以安排在安全雜項之後講解；Web滲透一直是網絡安全領域的熱點，因此放在密碼學之後學習；接下來講解二進制程序的知識，先介紹軟件逆向分析，然後介紹二進制程序漏洞利用，因為越來越多的PWN題目要求先讀懂程序的邏輯，所以把逆向的知識放到PWN前面講解，而且把PWN部分分為兩章，主要包括棧漏洞利用、堆漏洞利用以及如何防護；最後介紹當前比較火熱的工業控制繫統安全。
2.零基礎高效掌握網絡安全技能
很多讀者對於學習網絡安全知識有畏難心理，為了幫助他們實現網絡安全基礎知識和實操技能從“0”到“1”的突破，本書提供了適當的工具和豐富的例題，這些例題代表性強，實操方便，有助於讀者理解書中講授的知識點。為方便初學者，每個例題都給出了詳細的思路和解題步驟。雖然書中用到的一些工具可能已經不是網絡安全實踐中的主流工具，但對於新手而言，這些工具仍有十分重要的示範意義。本書的目的是介紹CTF比賽的基本知識和實操技能，因此並沒有加入較多“炫技”的內容。希望讀者通過本書的學習，打下牢固的基礎，進而能夠自學網絡安全中更高級的內容。
誰適合讀這本書
本書適合以下讀者閱讀：
1）想繫統學習網絡安全基礎技能的讀者。本書作者的初衷，是希望以通俗易懂的方式呈現網絡安全基礎知識和技能，凡是對網絡安全感興趣的人都可以學習本書。
2）政府機關、事業單位、國企及其他企業的技術人員。對於各類企業中需要參加CTF比賽的讀者而言，本書可以作為賽前訓練的指導書，幫助他們在短時間內快速掌握網絡安全技能。
3）高等院校和職業院校學生。對於高等院校和職業院校的學生，本書可以作為他們學習網絡安全知識的“準教材”，有效補充理論知識與實操技能的不足。
4）網絡安全培訓和比賽從業人員。我們希望拋磚引玉，使本書成為網絡安全培訓的基礎教材和重要參考書，促進CTF比賽和培訓行業的進一步發展。
如何使用和閱讀這本書
本書提供所有例題需要的工具包和腳本等資源，以方便讀者自行練習。根據本書的章節結構，每節的例題會單獨保存為一個文件夾。例如，第1章的1.1.1節Base64編碼中，有例題b64steg.txt，這個例題保存的路徑為：/CTF那些事兒/題目/第1章例題/1-1/b64steg.txt。其他題目的路徑以此類推。讀者可以到出版社網站下載上述資源，或發郵件至jsjed@hz.cmpbook.com索取本書資源。
考慮到例題中所使用的工具或腳本在CTF比賽中有一定的廣泛性和適用性，因此工具和腳本按照題目類型分文件夾保存，方便讀者後續使用。例如，第1章和第2章均屬於安全雜項（MISC）範疇，這兩章例題所對應的工具都在文件夾“/CTF那些事兒/工具包/MISC-工具包.zip/”中。例題b64steg.txt所使用的解題腳本b64steg.py就在上述文件夾中。
由於本書主要講解CTF比賽的初級知識，因此提供的工具和腳本對於大部分簡單和中等難度題目有較好的效果，但並不能保證可以解答所有的CTF比賽題目。如果題目難度較大或考點和書中例題不一致，我們建議讀者根據題目需求修改工具包中的腳本，千萬不要生搬硬套。
另外，本書盡可能詳盡地給出操作步驟的截圖和說明，讀者最好能對照例題講解進行同步實踐，從而深入理解解題思路和相關工具的使用方法。
本書涉及的知識和技術與真實世界中的網絡攻防息息相關，希望讀者在學習了相關內容後，能夠進一步提高網絡防御能力，在實踐中切實維護單位或企業的網絡安全，為我國的網絡安全建設添磚加瓦。
編寫分工
本書由北京航空航天大學的Lancet網絡安全戰隊傾力打造。Lancet戰隊指導老師李舟軍任本書主編，負責本書總體策劃和編寫組織工作，並審校全稿。Lancet戰隊的主力隊員趙宇飛、王宇、張翼鵬和楊立群分別負責各章的編寫。本書共有9章，各章的主要內容介紹如下：
第0章?主要介紹CTF比賽的歷史、CTF比賽的賽制、國內外知名的CTF比賽和戰隊，以及閱讀本書前需要準備的相關實驗環境。該章由李舟軍、趙宇飛撰寫。
第1章?講解常見的安全雜項題目類型和解題方法。
第2章?介紹安全雜項中隱寫部分的相關知識，重點介紹“圖像隱寫三板斧”解題套路。
第1章和第2章由趙宇飛撰寫。
第3章?介紹CTF比賽中的密碼學知識體繫，以及常見密碼的加密過程和破解方法。其中，3.0節、3.1.0節至3.1.10節由趙宇飛撰寫，3.1.11節及之後的內容由王宇撰寫。
第4章?介紹Web滲透的基礎知識、常見漏洞類型和工具。該章由張翼鵬撰寫。
第5章?講述軟件逆向工程的原理和常用工具，並提出了解決逆向問題的原則性方法—逆向真經。該章由趙宇飛撰寫。
第6章?重點講解棧溢出原理、棧漏洞利用以及格式化字符串漏洞。
第7章?針對堆的結構和漏洞利用方法展開介紹，並介紹如何對二進制程序打補丁。
第6章和第7章由王宇撰寫。
第8章?介紹工業控制繫統的基礎概念、梯形圖和指令表等PLC編程語言基礎知識、常見工業控制通信協議以及PLC漏洞利用。該章由楊立群撰寫。
本書的出版離不開許多朋友的大力幫助，他們是翟優、董浩、梁明月、邢浩、原銘、謝子鳴、楊琛、簡容和羅傑，在這裡向他們表示衷心感謝。
由於作者水平有限，書中的錯誤在所難免，懇請各位讀者批評指正。
接下來，沿用我國傳統戲曲中的表演程序，以兩首定場詩開啟我們的CTF之旅！這兩首詩蘊含了CTF學習方法的要義，希望各位讀者在學習過程中仔細體會。祝大家閱讀
愉快！
四海縱橫先築基，
三千世界任翱翔