0到1：CTFer成长之路

本书主要面向CTF入门者，融入了CTF比赛的方方面面，让读者可以进行系统性的学习。本书包括13章的内容，技术介绍分为线上赛和线下赛两部分。线上赛包括10章，涵盖Web、PWN、Reverse、APK、Misc、Crypto、区块链、代码审计。线下赛包括2章，分别为AWD和靶场渗透。第13章通过Nu1L战队成员的故事和联合战队管理等内容来分享CTF战队组建和管理、运营的经验。

内网**攻防：渗透测试实战指南

本书由浅入深，全面、系统地讨论了常见的内网攻击手段和相应的防御方法，力求语言通俗易懂、示例简单明了，以便读者阅读领会。同时，本书结合具体案例进行讲解，可以让读者身临其境，快速了解和掌握主流的内网渗透测试技巧。阅读本书不要求读者具备渗透测试的相关背景。如果读者有相关经验，会对理解本书内容有一定帮助。本书亦可作为大专院校信息**学科的教材。

。

CTF之线上赛
章Web入门3
1.1举足轻重的信息收集3
1.1.1信息搜集的重要性3
1.1.2信息搜集的分类3
1.1.2.1敏感目录泄露4
1.1.2.2敏感备份文件7
1.1.2.3Banner识别9
1.1.3从信息搜集到题目解决9
1.2CTF中的SQL注入12
1.2.1SQL注入基础12
1.2.1.1数字型注入和UNION注入12
1.2.1.2字符型注入和布尔盲注17
1.2.1.3报错注入22
1.2.2注入点24
1.2.2.1SELECT注入24
1.2.2.2INSERT注入26
1.2.2.3UPDATE注入27
1.2.2.4DELETE注入28
1.2.3注入和防御29
1.2.3.1字符替换29
1.2.3.2逃逸引号31
1.2.4注入的功效33
1.2.5SQL注入小结34
1.3任意文件读取漏洞34
1.3.1文件读取漏洞常见触发点35
1.3.1.1Web语言35
1.4.1.2中间件/服务器相关37
1.4.1.3客户端相关39
1.3.2文件读取漏洞常见读取路径39
1.3.2.1Linux39
1.3.2.2Windows41
1.3.3文件读取漏洞例题41
1.3.3.1兵者多诡（HCTF2016）42
1.3.3.2PWNHUB-Classroom43
1.3.3.3ShowmetheshellI（TCTF/0CTF2018FINAL）45
1.3.3.4BabyIntranetI（SCTF2018）47
1.3.3.5SimpleVN（BCTF2018）48
1.3.3.6Translate（GoogleCTF2018）50
1.3.3.7看番就能拿Flag（PWNHUB）51
1.3.3.82013那年（PWNhub）52
1.3.3.9Comment（网鼎杯2018线上赛）57
1.3.3.10方舟计划（CISCN2017）58
1.3.3.11PrintMD（RealWorldCTF2018线上赛）60
1.3.3.12粗心的佳佳（PWNHUB）62
1.3.3.13教育机构（强网杯2018线上赛）64
1.3.3.14MagicTunnel（RealworldCTF2018线下赛）65
1.3.3.15Canyoufindme？（WHUCTF2019，武汉校赛）67
小结68
第2章Web进阶69
2.1SSRF漏洞69
2.1.1SSRF的原理解析69
2.1.2SSRF漏洞的寻找和测试71
2.1.3SSRF漏洞攻击方式72
2.1.3.1内部服务资产探测72
2.1.3.2使用Gopher协议扩展攻击面72
2.1.3.3自动组装Gopher80
2.1.4SSRF的绕过80
2.1.4.1IP的限制80
2.1.4.2302跳转82
2.1.4.3URL的解析问题83
2.1.4.4DNSRebinding86
2.1.5CTF中的SSRF88
2.2命令执行漏洞92
2.2.1命令执行的原理和测试方法92
2.2.1.1命令执行原理93
2.2.1.2命令执行基础93
2.2.1.3命令执行的基本测试95
2.2.2命令执行的绕过和技巧95
2.2.2.1缺少空格95
2.2.2.2黑名单关键字97
2.2.2.3执行无回显98
2.2.3命令执行真题讲解100
2.2.3.12015HITCONBabyfirst100
2.2.3.22017HITCONBabyFirstRevenge101
2.2.3.32017HITCONBabyFirstRevengev2103
2.3XSS的魔力104
2.3.1XSS漏洞类型104
2.3.2XSS的tricks108
2.3.3XSS过滤和绕过111
2.3.4XSS绕过案例117
2.4Web文件上传漏洞121
2.4.1基础文件上传漏洞121
2.4.2截断绕过上传限制122
2.4.2.100截断122
2.4.2.2转换字符集造成的截断125
2.4.3���件后缀黑名单校验绕过126
2.4.3.1上传文件重命名126
2.4.3.2上传文件不重命名127
2.4.4文件后缀白名单校验绕过130
2.4.4.1Web服务器解析漏洞130
2.4.4.2APACHE解析漏洞131
2.4.5文件禁止访问绕过132
2.4.5.1.htaccess禁止脚本文件执行绕过133
2.4.5.2文件上传到OSS134
2.4.5.3配合文件包含绕过134
2.4.5.4一些可被绕过的Web配置135
2.4.6绕过图片验实现代码执行137
2.4.7上传生成的临时文件利用140
2.4.8使用file_put_contents实现文件上传142
2.4.9ZIP上传带来的上传问题147
小结156
第3章Web拓展157
3.1反序列化漏洞157
3.1.1PHP反序列化157
3.1.1.1常见反序列化158
3.1.1.2原生类利用160
3.1.1.3Phar反序列化163
3.1.1.4小技巧165
3.1.2经典案例分析170
3.2Python的**问题172
3.2.1沙箱逃逸172
3.2.1.1关键词过滤172
3.2.1.2花样import173
3.2.1.3使用继承等寻找对象174
3.2.1.4eval类的代码执行174
3.2.2格式化字符串175
3.2.2.1*原始的%175
3.2.2.2format方法相关175
3.2.2.3Python3.6中的f字符串176
3.2.3Python模板注入176
3.2.4urllib和SSRF177
3.2.4.1CVE-2016-5699177
3.2.4.2CVE-2019-9740178
3.2.5Python反序列化179
3.2.6PythonXXE180
3.2.7sys.audit182
3.2.8CTFPython案例182
3.2.8.1**线上赌场（SWPU2018）182
3.2.8.2mmmmy（2018网鼎杯）183
3.3密码学和逆向知识185
3.3.1密码学知识186
3.3.1.1分组加密186
3.3.1.2加密方式的识别186
3.3.1.3ECB模式186
3.3.1.4CBC模式188
3.3.1.5PaddingOracleAttack191
3.3.1.6HashLengthExtension197
3.3.1.7伪随机数200
3.3.1.8密码学小结202
3.3.2Web中的逆向工程202
3.3.2.1Python202
3.3.2.2PHP203
3.3.2.3JavaScript206
3.4逻辑漏洞207
3.4.1常见的逻辑漏洞207
3.4.2CTF中的逻辑漏洞211
3.4.3逻辑漏洞小结212
小结212
第4章APK213
4.1Android开发基础213
4.1.1Android四大组件213
4.1.2APK文件结构214
4.1.3DEX文件格式214
4.1.4AndroidAPI215
4.1.**ndroid示例代码216
4.2APK逆向工具217
4.2.1JEB217
4.2.2IDA219
4.2.3XposedHook220
4.2.4FridaHook222
4.3APK逆向之反调试224
4.4APK逆向之脱壳224
4.4.1注入进程Dump内存224
4.4.2修改源码脱壳225
4.4.3类重载和DEX重组227
4.**PK真题解析227
4.5.1Ollvm混淆NativeApp逆向（NJCTF2017）227
4.5.2反调试及虚拟机检测（XDCTF2016）230
小结232
第5章逆向工程233
5.1逆向工程基础233
5.1.1逆向工程概述233
5.1.2可执行文件233
5.1.3汇编语言基本知识234
5.1.4常用工具介绍239
5.2静态分析243
5.2.1IDA使用入门243
5.2.2HexRays反编译器入门249
5.2.3IDA和HexRays进阶254
5.3动态调试和分析258
5.3.1调试的基本原理258
5.3.2OllyDBG和x64DBG调试258
5.3.3GDB调试264
5.3.4IDA调试器265
5.4常见算法识别273
5.4.1特征值识别273
5.4.2特征运算识别274
5.4.3第三方库识别274
5.5二进制代码保护和混淆276
5.5.1抵御静态分析277
5.5.2加密280
5.5.3反调试289
5.5.4浅谈ollvm296
5.6不错语言逆向297
5.6.1Rust和Go298
5.6.2C#和Python301
5.6.3C++MFC302
5.7现代逆向工程技巧303
5.7.1符号执行303
5.7.1.1符号执行概述303
5.7.1.2angr304
5.7.1.3angr小结313
5.7.2二进制插桩313
5.7.3Pin314
5.7.3.1环境配置314
5.7.3.2Pintool使用317
5.7.3.3Pintool基本框架317
5.7.3.4CTF实战：记录执行指令数319
5.7.3.5CTF实战：记录指令轨迹322
5.7.3.6CTF实战：记录指令执行信息与修改内存325
5.7.3.7Pin小结330
5.8逆向中的技巧331
5.8.1Hook331
5.8.2巧妙利用程序已有代码331
5.8.3Dump内存332
小结333
第6章PWN335
6.1PWN基础335
6.1.1什么是PWN335
6.1.2如何学习PWN335
6.1.3Linux基础知识336
6.1.3.1Linux中的系统与函数调用336
6.1.3.2ELF文件结构337
6.1.3.3Linux下的漏洞缓解措施338
6.1.3.4GOT和PLT的作用339
6.2整数溢出340
6.2.1整数的运算340
6.2.2整数溢出如何利用341
6.3栈溢出341
6.4返回导向编程346
6.5格式化字符串漏洞350
6.5.1格式化字符串漏洞基本原理350
6.5.2格式化字符串漏洞基本利用方式352
6.5.3格式化字符串不在栈上的利用方式354
6.5.4格式化字符串的一些特殊用法357
6.5.5格式化字符串小结358
6.6堆利用358
6.6.1什么是堆358
6.6.2简单的堆溢出359
6.6.3堆内存破坏漏洞利用360
6.6.3.1Glibc调试环境搭建360
6.3.6.2FastBinAttack361
6.6.3.3UnsortedBinList367
6.6.3.4Unlink攻击371
6.6.3.5LargeBinAttack（0CTFheapstormII）375
6.6.3.6MakeLifeEasier：tcache379
6.6.3.7Glibc2.29的tcache380
6.7Linux内核PWN381
6.7.1运行一个内核381
6.7.2网络配置381
6.7.3文件系统382
6.7.4初始化脚本382
6.7.5内核调试383
6.7.6分析程序383
6.7.7漏洞利用384
6.7.8PWNLinux小结387
6.7.9Linux内核PWN源代码387
6.8Windows系统的PWN389
6.8.1Windows的权限管理390
6.8.2Windows的调用约定390
6.8.3Windows的漏洞缓解机制391
6.8.4Windows的PWN技巧393
6.9Windows内核PWN394
6.9.1关于Windows操作系统394
6.9.1.180386和保护模式394
6.9.1.2Windows操作系统寻址395
6.9.1.3Windows操作系统架构403
6.9.1.4Windows内核调试环境404
6.9.2Windows内核漏洞407
6.9.2.1简单的Windows驱动开发入门408
6.9.2.2编写栈溢出示例411
6.9.2.3编写任意地址写示例413
6.9.2.4加载内核驱动程序414
6.9.2.5Windows7内核漏洞利用416
6.9.2.6内核缓解措施与读写原语426
6.9.3参考与引用431
6.10从CTF到现实世界的PWN431
小结433
第7章Crypto435
7.1编码435
7.1.1编码的概念435
7.1.2Base编码436
7.1.3其他编码437
7.1.4编码小结438
7.2古典密码438
7.2.1线性映射438
7.2.2固定替换439
7.2.3移位密码440
7.2.4古典密码小结440
7.3分组密码441
7.3.1分组密码常见工作模式441
7.3.1.1ECB441
7.3.1.2CBC441
7.3.1.3OFB442
7.3.1.4CFB443
7.3.1.5CTR443
7.3.2费斯妥密码和DES444
7.3.2.1费斯妥密码444
7.3.2.2DES445
7.3.2.3例题447
7.3.3AES449
7.3.3.1有限域449
7.3.3.2Rijndael密钥生成451
7.3.3.3AES步骤452
7.3.3.4常见攻击453
7.4流密码457
7.4.1线性同余生成器（LCG）457
7.4.1.1由已知序列破译LCG458
7.4.1.2攻破LinuxGlibc的rand()函数-1460
7.4.2线性反馈移位寄存器（LFSR）460
7.4.2.1由已知序列破译LFSR461
7.4.2.2攻破Linuxglibc的rand()函数-2461
7.4.3RC4463
7.5公钥密码464
7.5.1公钥密码简介464
7.5.2RSA464
7.5.2.1RSA简介464
7.5.2.2RSA的常见攻击465
7.5.3离散对数相关密码学470
7.5.3.1ElGamal和ECC470
7.5.3.2离散对数的计算470
7.6其他常见密码学应用472
7.6.1Diffie-Hellman密钥交换472
7.6.2Hash长度扩展攻击473
7.6.3Shamir门限方案474
小结475
第8章智能合约476
8.1智能合约概述476
8.1.1智能合约介绍476
8.1.2环境和工具476
8.2以太坊智能合约题目实例477
8.2.1“薅羊毛”477
8.2.2Remix的使用482
8.2.3深入理解以太坊区块链484
小结488
第9章Misc489
9.1隐写术490
9.1.1直接附加490
9.1.2EXIF492
9.1.3LSB494
9.1.4盲水印497
9.1.5隐写术小结498
9.2压缩包加密498
9.3取技术499
9.3.1流量分析500
9.3.1.1Wireshark和Tshark500
9.3.1.2流量分析常见操作501
9.3.1.3特殊种类的流量包分析504
9.3.1.4流量包分析小结505
9.3.2内存镜像取505
9.3.2.1内存取介绍505
9.3.2.2内存取常见操作505
9.3.2.3内存取小结507
9.3.3磁盘镜像取507
9.3.3.1磁盘镜像介绍507
9.3.3.2磁盘取常见操作507
9.3.3.3磁盘取小结509
小结509
0章代码审计510
10.1PHP代码审计510
10.1.1环境搭建510
10.1.2审计流程517
10.1.3案例527
10.2Java代码审计536
10.2.1学习经验536
10.2.2环境搭建538
10.2.3反编译工具540
10.2.4Servlet简介541
10.2.5Serializable简介542
10.2.6反序列化漏洞545
10.2.6.1漏洞概述545
10.2.6.2漏洞利用形式546
10.2.7表达式注入552
10.2.7.1表达式注入概述552
10.2.7.2表达式注入漏洞特征552
10.2.7.3表达式结构概述553
10.2.7.5S2-045简要分析555
10.2.7.6表达式注入小结558
10.2.8JavaWeb漏洞利用方式558
10.2.8.1JNDI注入558
10.2.8.2反序列化利用工具ysoserial/marshalsec563
10.2.8.3JavaWeb漏洞利用方式小结566
小结566
CTF之线下赛
1章AWD571
11.1比赛前期准备571
11.2比赛技巧573
11.2.1如何快速反应573
11.2.2如何优雅、持续地拿flag574
11.2.3优势和劣势577
11.3流量分析578
11.4漏洞修复578
小结579
2章靶场渗透580
12.1打造渗透环境580
12.1.1Linux下Metasploit的安装和使用580
12.1.2Linux下Nmap的安装和使用584
12.1.3Linux下Proxychains的安装和使用586
12.1.4Linux下Hydra的安装和使用587
12.1.5Windows下PentestBox的安装588
12.1.6Windows下Proxifier的安装588
12.2端口转发和代理589
12.2.1端口转发592
12.2.2Socks代理597
12.3常见漏洞利用方式598
12.3.1ms08-067598
12.3.2ms14-068599
12.3.3ms17-010600
12.4获取认凭601
12.4.1获取明文身份凭602
12.4.1.1LSASecrets602
12.4.1.2LSASSProcess604
12.4.1.3LSASSProtectionbypass605
12.4.1.4CredentialManager606
12.4.1.5在用户文件中寻找身份凭Lazange607
12.4.2获取Hash身份凭607
12.4.2.1通过SAM数据库获取本地用户Hash凭607
12.4.2.2通过域控制器的NTDS.dit文件609
12.5横向移动611
12.5.1Hash传递611
12.5.2票据传递613
12.5.2.1Kerberos认613
12.5.2.2金票据614
12.5.2.3银票据615
12.6靶场渗透案例618
12.6.13届CUIT校赛渗透题目618
12.6.2DefconChina靶场题625
12.6.3PWNHUB深入敌后632
小结636
CTF之团队建设
3章我们的战队641
13.1无中生有，有生无穷641
13.2上下而求索642
13.3多面发展的Nu1L战队643
13.3.1承办比赛643
13.3.2空指针社区643
13.3.3**会议演讲644
13.4人生的选择644
13.5战队队长的话646
小结647