從0到1：CTFer成長之路（簡體書）

本書主要面向CTF入門者，融入了CTF比賽的方方面面，讓讀者可以進行系統性的學習。本書包括13章的內容，技術介紹分為線上賽和線下賽兩部分。線上賽包括10章，涵蓋Web、PWN、Reverse、APK、Misc、Crypto、區塊鏈、代碼審計。線下賽包括2章，分別為AWD和靶場滲透。第13章通過Nu1L戰隊成員的故事和聯合戰隊管理等內容來分享CTF戰隊組建和管理、運營的經驗。

Nu1L戰隊

成員來自於上海科技大學、西華大學、成都信息工程大學、北京理工大學等全國多所高校，最早是由兩個研究Web的同學創建，隊名源於計算機中語言中經常出現的" NULL”。

1.國內頂尖CTF戰隊加持，專業CTF書籍2.除了涵蓋常見的CTF方向，還加入了區塊鏈、AWD、靶場滲透等方向3.設計配套CTF習題，供讀者邊學邊練，更好理解書中內容4.技術內容之外，加入Nu1L成長史、聯合戰隊管理等內容，對戰隊管理者有借鑒意義5. 眾多專家推薦，既有院士、高校專家，也有技術專家，以及CTF的元老們。

序

——做網絡安全競賽高質量發展的推動者

Nu1L戰隊的同學們編寫了這本《從0到1：CTFer成長之路》，希望我寫一個序。對於Nu1L戰隊，我的了解主要來自“強網杯”全國網絡安全挑戰賽和“強網”擬態防禦國際精英邀請賽，在這兩個國內很優秀的競賽平台上，他們都取得了很好的成績，也為擬態防禦白盒測試做了很多工作。希望他們今後繼續努力，爭取為我國網絡空間安全技術創新做貢獻；也希望這本書能為更多的年輕人學習、掌握網絡空間安全知識與實踐技能提供幫助，激發前行的動力。

“網絡空間的競爭，關鍵靠人才。”“網絡安全的本質在對抗，對抗的本質是攻防兩端的能力較量。”這些重要論述說明了兩個基本問題：其一，人是網絡安全的核心；其二，提高人的能力要靠實踐鍛煉。由此，網絡安全競賽對於提升人才培養質量效益具有特殊意義。從2018年開始，通過“強網杯”等一些列競賽的推動，我國網絡安全競賽和人才培養進入了一個蓬勃發展的新階段。但是，我們也看到了諸多問題，比如：競賽質量良莠不齊，競賽程式化、商業化、娛樂化日趨嚴重，職業選手也就是“賽棍”混跡其中，競賽和人才培養、產業發展相脫節，等等。面對這些問題，我們既需要對網絡安全競賽進行規範，更需要推動競賽高質量發展，讓競賽回歸到服務人才培養、服務產業進步、服務技術創新的初心和本源上。

網絡安全競賽高質量發展，不是看規模有多大，不是看指導單位的層級有多高，更不是看現場有多麼酷炫，而是要看究竟解決了或者幫助解決了什麼實際問題，看實實在在取得了什麼效益，看對網絡空間安全發展有什麼實際推動作用。一句話，高質量發展的核心就是一個字——“實”。

競賽要與人才培養相結合。當前，我國網絡安全人才培養還處於一個逐步成熟的發展階段，其中最大的一個問題是課程體系和實踐教學體系還未完全形成。網絡安全競賽對於助推實踐教學體系形成，具有一定的意義，這個過程也是高質量發展的重要基礎。需要匯集更多的智慧和力量，把競賽中的技巧、經驗上升到教育學的層面，並結合理論知識架構，昇華為教學體系、衍化為實驗項目、固化為實踐平台。把題目抽象為科目，才會有更大的普適性，才能便於更多的人學習、實踐網絡安全，競賽也就有了源源不斷的競技者，有更強的生命力。這個工作很有意義，希望大家廣泛參與。

競賽要與產業發展相結合。今天我們都在講新工科，那麼什麼是新工科？新工科就是要更加突出“做中學”。建設新工科，需要產教融合，“象牙塔”培養不出新工科人才。網絡安全競賽，就是要架起人才培養和產業發展之間的一座橋樑，為產業發展服務，這樣才會有高質量發展的動力。網絡安全競賽需要打破當下“大而全”“大呼隆”的局面，要進行“小而精”的變革，圍繞專門領域、細分產業、真實場景設置“賽場”，不斷強化指向性、針對性，以點帶面，匯聚更多的企業、供應商參與其中，增加產教融合的黏性。希望未來可以看到更多的“專項賽”，這也需要大家共同努力。

競賽要與技術創新相結合。網絡安全中有一個很大痛點，就是安全性難以驗證，安全往往處於自說自話的層面。我曾經多次講：“安全不安全，'白帽們'說了算。”我國網絡安全技術創新還有很長的路要走，網絡安全競賽應該在這個進程中起到推動作用，這是高質量發展的更高目標。我們舉辦了三屆“強網”擬態防禦精英賽，就是讓“白帽們”都來打擂台​​，為內生安全技術“挑毛病”。總的感覺，大家還沒有使出全力、拿出“絕活”，這裡有賽制需要進一步創新的問題，也有這類比賽的土壤還不夠肥沃的問題。未來希望大家多到紫金山來打比賽，共同推動內生安全技術發展。

希望Nu1L戰隊和更多CTFer走到一起，不但做網絡安全競賽的競技者，更要努力做網絡安全競賽高質量發展的推動者，攜起手來為網絡強國建設添磚加瓦。

 

 

鄔江興

戰略支援部隊信息工程大學

 

序

——在網絡安全實戰中培養人才

信息網絡已滲透到社會的各個方面，各類重要信息系統已成為國家關鍵基礎設施。而網絡空間安全問題日益突出，受到了全社會的關注，也對網絡空間安全人才提出了廣泛而迫切的需求。網絡空間安全人才培養問題已成為當前教育界、學術界和產業界共同關注的焦點問題。

網絡空間安全其本質是一種高技術對抗。網絡空間安全技術主要是解決各類信息系統和信息的安全保護問題。而信息技術自身的快速發展，也必然帶來網絡空間安全技術的快速發展，其需要密碼學、數學、物理、計算機、通信、網絡、微電子等各種科學理論與技術支撐。同時，安全的對抗性特點決定了其需要根據對手的最新能力、最新特點而採取有針對性的防禦策略，網絡空間安全也是一項具有很強實踐性要求的學科。因此，網絡空間安全人才培養不僅需要重視理論與技術體系的傳授，還需要重視實踐能力的鍛煉。

CTF（Capture The Flag）比賽是網絡空間安全人才培養方式的一種重要探索。CTF比賽於上世紀90年代起始於美國，近年來引進到我國，並得到了業界的廣泛認可和支持。興趣是年輕人學習的最好動力，CTF比賽很好地將專業知識和比賽樂趣有機結合。CTF比賽通過以賽題奪旗方式評估個人或團隊的網絡攻防對抗能力，參賽隊員在不斷的網絡攻防對抗中爭取最佳成績。在具體的賽題設置上綜合了密碼學、系統安全、軟件漏洞等多種理論知識，充分考慮了不同水平、不同階段選手的關鍵能力評估需求；在比賽形式上，將理論知識和實際攻防相結合，既是對理論知識掌握程度的評估，也是對動手實踐能力、知識靈活應用能力的考驗。近年來國內的CTF比賽如火如荼，在賽題設計、賽制設定等方面越來越成熟，也越來越完善。當前，參與CTF比賽幾乎已成為網絡空間安全本科學習的必要經歷。國內的各種CTF比賽在吸引網絡空間安全人才，引導網絡空間人才培養方面發揮了重要作用。

對於關注CTF比賽的同學，本書是一份重要的參考資料。本書作者Nu1L 戰隊是CTF賽場上的勁旅，屢次在CTF比賽中取得驕人戰績，具有豐富的CTF比賽經驗和隊伍建設經驗。結合其多年的比賽經驗和對網絡空間安全理論與技術體系的理解和認識，本書對CTF比賽的線上賽、線下賽等所涉及的密碼學、軟件漏洞、區塊鍊等題型和關鍵知識點進行了總結，並分享了Nu1L 戰隊的團隊發展經驗。通過本書不僅可以較為系統地學習和掌握網絡空間安全相關基礎知識，還可以從中學習和借鑒CTF比賽團隊的組建和培養經驗。

希望讀者能從本書中吸取寶貴經驗，在未來CTF比賽中取得好成績！也期待CTF比賽在國內不斷進步，為我國網絡空間安全人才培養做出更大的貢獻！

 

馮登國

2020年夏於北京

 

 

序

——安全競賽的魅力與價值

作為從事網絡安全研究和教學多年的教師，也作為中國CTF競賽早期的參與者和組織者，我很榮幸接受Nu1L戰隊隊長付浩的邀請，為這本難得的CTF競賽參考書撰寫序。

網絡空間安全是一個獨具特色的學科，研究的是人與人之間在網絡空間裡思維和智力的較量，有很強的對抗性和實踐性。不同於抽象的理論研究，網絡空間安全的實踐性要求我們不僅在實驗室，也要在現實的互聯網上證實技術的可行性；同時，由於其激烈的對抗性，常規的方法往往早已成為低垂的果實，成功的攻擊和防範都必須創新、另闢蹊徑，也往往引人入勝。我在學生時代就被網絡安全的魅力所吸引，至今從事網絡安全研究和教學已二十多年。正是對安全研究的興趣驅動著我去探索各種新問題和新方法，至今熱情不減。

CTF（Capture The Flag）競賽完美地體現著網絡空間安全這種智力的對抗性和技術的實踐性。CTF競賽於20世紀90年代起源於美國，如今風靡全球，成為全世界網絡安全愛好者學習和訓練的重要活動。CTF競賽覆蓋網絡安全、系統安全和密碼學等領域，涉及協議分析、軟件逆向、漏洞挖掘與利用、密碼分析知識點。特別是攻防模式的CTF競賽給參賽者一種類似實戰的體驗，參賽者要發現並利用對手的安全漏洞，同時防範對手的攻擊，對自己的知識和技能是全面鍛煉。同時，CTF競賽對學習網絡空間安全學科的學生或技術人員是一種非常好的學習和訓練方式。

CTF競賽以其獨特的魅力吸引了一批批安全從業者自發地投身其中。我和我的學生在十多年前開始涉足世界CTF競賽，以清華大學網絡與信息安全實驗室（NISL）為基地，組建了中國最早的CTF戰隊之一——藍蓮花（Blue-Lotus），後來有多所高校的骨干成員加入，曾經多次入圍DEF CON等國際著名賽事的決賽，並與0ops戰隊一起取得了DefCon第二名的成績。後來，藍蓮花許多隊員在各自的高校成立了獨立的戰隊，他們成為後來中國風起雲湧的CTF戰隊的星星之火。如今，早期的藍蓮花隊員和很多大學的CTF戰隊核心成員已成長為網絡安全領域的精英，在各行各業中發揮了中流砥柱的作用。

正是意識到CTF在實戰性安全人才培養中的重要性，我和同事諸葛建偉及藍蓮花戰隊的隊員們從2014年開始組織了國內一系列的CTF競賽和後來的全國CTF聯賽XCTF，這些競賽為後來中國如火如荼的CTF競賽培養了“群眾”基礎。近年來的“網鼎杯”“護網杯”等國家級安全賽事動輒上萬支隊伍、幾萬名隊員參賽，銀行、通信等不少行業也在組織自己行業內部的CTF競賽，教育部的大學生信息安全競賽也增加了CTF形式的“創新實踐能力”比賽。很多學生在自己報考研究生或找工作的簡歷上寫上各種CTF賽事的成績。可見，CTF作為安全人才培養的一種重要形式已經得到了學術界和工業界的認可。

經歷過近年來CTF浪潮各種競賽的磨練，Nu1L戰隊已經成為長期活躍在CTF國內外賽場上的一隻老牌勁旅，在國內外許多重要的賽事中頻頻取得佳績。並不像電競遊戲那種炫酷的對抗遊戲，CTF競賽培養的不是遊戲人才，而是現實世界的精英。像付浩一樣，Nu1L戰隊的許多核心成員已經成長為安全行業頂尖的專業人才，成為我國網絡空間安全領域堅強的衛士。除此之外，Nu1L戰隊還組織了N1CTF、空指針等一系列的CTF競賽，為國內外的CTF愛好者提供了一個交流的平台，為CTF社區的發展做出了重要貢獻。

本書為當前眾多CTF入門的參賽者提供了一份不可多得的參考教材。由於CTF覆蓋知識點龐雜，而且近年來賽事題目越來越難，對於CTF入門的選手來說很難把握，市面上系統地介紹CTF的書目前並不多見。本書的內容不僅覆蓋了傳統CTF線上、線下賽常見的知識領域，如Web攻防、逆向工程、漏洞利用、密碼分析等，還增加了AWD攻防賽、區塊鍊等新的內容。特別是本書最後加入了Nu1L戰隊的成長史和Nu1L兩位隊員的故事，融入了付浩本人對CTF競賽的期望和情懷，其中關於CTF聯合戰隊管理、如何組織競賽、如何吸收新鮮血液等內容，都是獨一無二的。這些內容融合了Nu1L整個團隊多年的知識、經驗和感情。我相信，本書不僅對CTF愛好者學習技術有重要幫助，也對CTF戰隊的組織管理者提供了難得的參考。

最後感謝Nu1L戰隊為CTF和安全技術愛好者貢獻的這本精彩的參考書，相信它對安全技術及CTF競賽成績的提高都會很有幫助。

 

段海新

清華大學

2020年8月

 

前言

隨著日益嚴峻的網絡安全形勢及人們對網絡安全重視程度的提高，以人才發現、培養和選拔為目的的網絡安全賽事不斷湧現，成為發現人才的一種創新形式。目前，國內高水平的網絡安全賽事普遍以CTF形式存在，競賽水平差異較大，直接參加高於自身技術過多的競賽猶如空中樓閣，不僅很難學到東西，也可能打擊自信。參加過於簡單的競賽則浪費時間而無所得。此外，CTF比賽題目因涉及網絡安全技術、計算機技術、硬件技術等領域，內容十分繁雜，迭代更新時間快，初學者往往一頭霧水地參與其中，難以發現CTF的樂趣。

早在2017年，我便有寫一本供初學者學習CTF書籍的想法，但由於當時Nu1L戰隊的成員太少，並且覺得這是一個複雜而且龐大的過程，所以寫書的想法只能擱淺。直到2018年末，Nu1L戰隊已成長到近40人，與此同時，我發現市面上依然沒有一本關於CTF比賽的書籍，寫書的想法又重新燃起，在詢問戰隊諸多隊員並達成一致意見後，便開始組織大家寫書。

經過初步討論，我們希望這本書可以讓CTF入門者進行系統性的學習，於是決定盡可能地將CTF比賽中的方方面面融入此書。同時，為了避免這本書成為一本只是羅列知識點的普通安全基礎書籍，除了圍繞CTF涉及的大量知識點，我們還將做題的技巧、個人經驗穿插其中，以便讓讀者更好地融入。除了技術層面的內容，我們還會介紹Nu1L戰隊的成長史和聯合戰隊的管理經驗。

本書旨在讓更多人感受到CTF比賽的樂趣，對CTF比賽有所了解，進而通過本書提升自身的技術實力。

本書結構

本書的技術分享包括CTF線上賽和線下賽兩部分。如此分類是為了讓此書的適用面更加廣泛，除了與CTF比賽相關的內容，我們還結合實戰，為讀者分享一些現實漏洞挖掘的經驗。

CTF線上賽包括10章，涵蓋Web、PWN、Reverse、APK、Misc、Crypto、區塊鏈、代碼審計。本部分涵蓋了CTF大部分的題目分類，並配有相應的例題解析，能夠讓讀者充分了解、學習相應知識點。同時，在實際比賽中，本書的內容也可以作為參考。

CTF線下賽包括2章，分別為AWD和靶場滲透。其中，AWD章節從比賽技巧和流量分析方面進行了深入介紹；靶場滲透章節貼合現實，讀者閱讀時可以結合實際，從中有所收穫。

最後一章的內容與技術無關，只是分享發生在Nu1L戰隊中的故事和聯合戰隊管理等。在開始寫書之前，我也進行了簡單調研，相當一部分人會對戰隊管理和CTF的意義有所好奇，這部分是我的經驗之談，希望對讀者有所幫助。

讀者對象

本書適合的讀者包括：

 想入門CTF比賽的讀者。

 已經入門CTF陷入瓶頸的讀者。

 希望成立戰隊、管理戰隊的讀者。

 不知道CTF如何與現實接軌的讀者。

 沒參加過線下賽卻突然要參加的讀者。

說明

眾多周知，CTF涉及的分類十分繁多，所以Nu1L戰隊有29人參與了此書的編寫，每個人負責編寫不同的章節，在編寫前我已盡可能地統一了規範，但是每個人的編寫風格不是完全一致，所以有的章節文字風格差異較大。

參與編寫此書的Nu1L戰隊的成員都是第一次寫書，因此不能保證本書能夠面面俱到，但盡可能詳細地涵蓋了CTF比賽的相應內容，至於某些未能描述詳盡或遺漏的地方，以及一些不常見的領域，如工控CTF，因為缺乏相關知識，所以沒有辦法加入本書。

本書主要針對CTF初學者，究其每部分，認真寫的話都足以寫一本書。所以我們也對各部分的內容進行了篩選，只編寫常見的CTF技術點，如Web部分的SQL注入章節中只寫了MySQL下的注入場景，而沒有寫SQL Server、NoSQL等情況下的注入場景。

以上情況希望讀者能夠理解。

關於Nu1L戰隊

Nu1L戰隊成立於2015年10月，源於英文單詞NULL，是國內頂尖的CTF聯合戰隊，目前成員有60餘人，官網為https://nu1l.com。

Nu1L自成立以來，征戰於國內外各項CTF賽事，成績優異，如：

 DEFCON CHINA & BCTF2018冠軍，斬獲31萬元獎金。

 TCTF2018總決賽獲得全球第四名，國內第一名。

 LCTF、SCTF連續三年冠軍。

 2018年網鼎杯總決賽全國第二名。

 2019年護網杯總決賽全國第一名。

 2019年XCTF總決賽冠軍。

 N1CTF國際賽事組織者，其中2019年CTFTIME評分權重獲得滿分，獲得全球CTF愛好者好評。

 2019年11月，與春秋GAME共同負責運維“巔峰極客”線下城市靶場賽。

 2019年11月，創建“空指針”高質量挑戰賽（https://www.npointer.cn）。

戰隊部分成員為Blackhat、HITCON、KCON、天府杯等國內外安全會議演講者，參與PWN2OWN、GEEKPWN等國際性漏洞破解賽事。部分核心隊員效力於Tea Deliverers、eee戰隊。

N1BOOK平台

為了讓讀者更好地學習本書的內容，我們針對大部分知識點設計了相應的配套題目，以便輔助讀者學習並理解相關知識，我們稱之為N1BOOK（https://book.nu1l.com） 。

書中Web、PWN章節涉及的題目已封裝成docker鏡像，讀者在N1BOOK平台上選擇相應頁面，即可訪問題目的相關內容，通過docker的啟動，免去了讀者在本地搭建環境的苦惱。而其余章節的題目，如Misc、靶場滲透等，其附件或鏡像包已上傳到雲上，讀者可以在N1BOOK平台上下載。

本書配套題目默認的flag格式為n1book{}，相應題目的Writeup可根據題目頁面中的關鍵詞，在Nu1L Team官方公眾號回复獲取，掃描下方的二維碼，可以關注官方公眾號。

意見反饋

本書是我們團隊的首次嘗試，難免有不足之處，讀者若有任何建議，可以通過郵件聯繫我們：book@nu1l.com，我們會在下一版本中進行參考和修改。

致謝

出書是一個十分龐大的工程，因為CTF涉及的技術點眾多，所以本書的編寫匯聚了國內外諸多安全研究員的文章及一些公開發表的書籍、研究成果等，在此首先表示感謝。

感謝鄔江興院士、馮登國院士、清華大學段海新教授為本書作序

感謝CongRong（河圖安全、vulhub核心成員，Symbo1安全團隊負責人）、ForzaInter（國網山東省電力公司網絡安全負責人）、M（ChaMd5安全團隊創始人）、tomato（邊界無限聯合創始人）、 walk（奇安信奇物安全實驗室負責人）、於暘（TK）（騰訊玄武實驗室創始人）、馬坤（四葉草安全）、王任飛（avfisher）（某知名云廠商Offensive Security Team負責人）、王依民（Valo）（退役老年CTF選手/紅藍對抗領域專家）、王欣（安恆信息安全研究院）、王瑤（WCTF世界黑客大師賽運營負責人）、幻泉（永信至誠KR實驗室）、葉猛（奇安信高級攻防部負責人）、劉炎明（Riatre）（blue-lotus戰隊成員）、劉新鵬（恆安嘉新水滴攻防安全實驗室&DefCon Group 0531發起人）、楊義先（北京郵電大學教授）、楊坤（長亭科技）、吳石（騰訊科恩實驗室負責人）、宋方睿（MaskRay）（LLVM開發者/LLD維護者）、張小松（電子科技大學教授，2019國家科技進步一等獎第一完成人）、張瑞冬（only_guest）（PKAV技術團隊創始人、無糖信息CEO）、張璇（公眾號網安雜談創辦人、山東警察學院）、周世傑（電子科技大學教授）、周景平（黑哥）（知道創宇404實驗室）、鄭洪濱（紅亞科技創始人）、姜開達（上海交通大學）、秦玉海（中國刑警學院首席教授、博導）、賈春福（南開大學教授）、高媛（@傳說中的女網警）、郭山清（山東大學網絡空間安全學院教授）、黃昱愷（火日攻天）（退役老年CTF選手/某知名云廠商SDL安全專家）、黃源（知名女黑客、安全播報平台創始人）、韓偉力（復旦大學教授，復旦大學六星戰隊指導教師）、傲客（春秋GAME負責人）、魯輝（中國網絡空間安全人才教育論壇秘書長）、管磊（公安部第一研究所，網絡攻防實驗室主任）為本書撰寫推薦語（排名不分先後，按姓氏筆劃排序）。

感謝Nu1L戰隊的其他28位參與編寫的隊員，利用自己的業餘時間保質保量地完成了自己負責的部分，他們分別是姚誠、李明建、管雲超、孫心乾、李建旺、於晨升、吳宇航、陳耀光、林鎮鵬、劉子軼、母浩文、鮮檳丞、李柯、秦琦、錢釔冰、陽宇鵬、鄭吉宏、黃偉傑、李依林、趙暢、饒詩豪、周夢禹、李揚、何瑤傑、段景添、林泊儒、周捷、秦石。

特別感謝電子工業出版社的章海濤老師及其團隊，是他們專業的指導和辛苦的編輯，才使本書最終與廣大讀者見面。

最後由衷地感謝在Nu1L戰隊成立的這些年來，相信、支持、幫助過我們的諸位。

 

付浩

2020年8月

目 錄
CTF之線上賽
第1章 Web入門 3
1.1 舉足輕重的信息收集 3
1.1.1 信息搜集的重要性 3
1.1.2 信息搜集的分類 3
1.1.2.1 敏感目錄洩露 4
1.1.2.2 敏感備份文件 7
1.1.2.3 Banner識別 9
1.1.3 從信息搜集到題目解決 9
1.2 CTF中的SQL注入 12
1.2.1 SQL注入基礎 12
1.2.1.1 數字型注入和UNION注入 12
1.2.1.2 字符型注入和布爾盲注 17
1.2.1.3 報錯注入 22
1.2.2 注入點 24
1.2.2.1 SELECT注入 24
1.2.2.2 INSERT注入 26
1.2.2.3 UPDATE注入 27
1.2.2.4 DELETE注入 28
1.2.3 注入和防禦 29
1.2.3.1 字符替換 29
1.2.3.2 逃逸引號 31
1.2.4 注入的功效 33
1.2.5 SQL注入小結 34
1.3 任意文件讀取漏洞 34
1.3.1 文件讀取漏洞常見觸發點 35
1.3.1.1 Web語言 35
1.4.1.2 中間件/服務器相關 37
1.4.1.3 客戶端相關 39
1.3.2 文件讀取漏洞常見讀取路徑 39
1.3.2.1 Linux 39
1.3.2.2 Windows 41
1.3.3 文件讀取漏洞例題 41
1.3.3.1 兵者多詭(HCTF 2016) 42
1.3.3.2 PWNHUB - Classroom 43
1.3.3.3 Show me the shell I(TCTF/0CTF 2018 FINAL) 45
1.3.3.4 BabyIntranet I(SCTF 2018) 47
1.3.3.5 SimpleVN(BCTF2018) 48
1.3.3.6 Translate(Google CTF 2018) 50
1.3.3.7 看番就能拿Flag(PWNHUB) 51
1.3.3.8 2013那年(PWNhub) 52
1.3.3.9 Comment(網鼎杯2018線上賽) 57
1.3.3.10 方舟計劃(CISCN 2017) 58
1.3.3.11 PrintMD(RealWorldCTF 2018線上賽) 60
1.3.3.12 粗心的佳佳(PWNHUB) 62
1.3.3.13 教育機構(強網杯2018線上賽) 64
1.3.3.14 Magic Tunnel(RealworldCTF 2018線下賽) 65
1.3.3.15 Can you find me？(WHUCTF2019，武漢大學校賽) 67
小結 68
第2章 Web進階 69
2.1 SSRF漏洞 69
2.1.1 SSRF的原理解析 69
2.1.2 SSRF漏洞的尋找和測試 71
2.1.3 SSRF漏洞攻擊方式 72
2.1.3.1 內部服務資產探測 72
2.1.3.2 使用Gopher協議擴展攻擊面 72
2.1.3.3 自動組裝Gopher 80
2.1.4 SSRF的繞過 80
2.1.4.1 IP的限制 80
2.1.4.2 302跳轉 82
2.1.4.3 URL的解析問題 83
2.1.4.4 DNS Rebinding 86
2.1.5 CTF中的SSRF 88
2.2 命令執行漏洞 92
2.2.1 命令執行的原理和測試方法 92
2.2.1.1 命令執行原理 93
2.2.1.2 命令執行基礎 93
2.2.1.3 命令執行的基本測試 95
2.2.2 命令執行的繞過和技巧 95
2.2.2.1 缺少空格 95
2.2.2.2 黑名單關鍵字 97
2.2.2.3 執行無回顯 98
2.2.3 命令執行真題講解 100
2.2.3.1 2015 HITCON Babyfirst 100
2.2.3.2 2017 HITCON BabyFirst Revenge 101
2.2.3.3 2017 HITCON BabyFirst Revenge v2 103
2.3 XSS的魔力 104
2.3.1 XSS漏洞類型 104
2.3.2 XSS的tricks 108
2.3.3 XSS過濾和繞過 111
2.3.4 XSS繞過案例 117
2.4 Web文件上傳漏洞 121
2.4.1 基礎文件上傳漏洞 121
2.4.2 截斷繞過上傳限制 122
2.4.2.1 00截斷 122
2.4.2.2 轉換字符集造成的截斷 125
2.4.3 文件後綴黑名單校驗繞過 126
2.4.3.1 上傳文件重命名 126
2.4.3.2 上傳文件不重命名 127
2.4.4 文件後綴白名單校驗繞過 130
2.4.4.1 Web服務器解析漏洞 130
2.4.4.2 APACHE解析漏洞 131
2.4.5 文件禁止訪問繞過 132
2.4.5.1 .htaccess禁止腳本文件執行繞過 133
2.4.5.2 文件上傳到OSS 134
2.4.5.3 配合文件包含繞過 134
2.4.5.4 一些可被繞過的Web配置 135
2.4.6 繞過圖片驗證實現代碼執行 137
2.4.7 上傳生成的臨時文件利用 140
2.4.8 使用file_put_contents實現文件上傳 142
2.4.9 ZIP上傳帶來的上傳問題 147
小結 156
第3章 Web拓展 157
3.1 反序列化漏洞 157
3.1.1 PHP反序列化 157
3.1.1.1 常見反序列化 158
3.1.1.2 原生類利用 160
3.1.1.3 Phar反序列化 163
3.1.1.4 小技巧 165
3.1.2 經典案例分析 170
3.2 Python的安全問題 172
3.2.1 沙箱逃逸 172
3.2.1.1 關鍵詞過濾 172
3.2.1.2 花樣import 173
3.2.1.3 使用繼承等尋找對象 174
3.2.1.4 eval類的代碼執行 174
3.2.2 格式化字符串 175
3.2.2.1 最原始的% 175
3.2.2.2 format方法相關 175
3.2.2.3 Python 3.6中的f字符串 176
3.2.3 Python模板注入 176
3.2.4 urllib和SSRF 177
3.2.4.1 CVE-2016-5699 177
3.2.4.2 CVE-2019-9740 178
3.2.5 Python反序列化 179
3.2.6 Python XXE 180
3.2.7 sys.audit 182
3.2.8 CTF Python案例 182
3.2.8.1 皇家線上賭場(SWPU 2018) 182
3.2.8.2 mmmmy(2018網鼎杯) 183
3.3 密碼學和逆向知識 185
3.3.1 密碼學知識 186
3.3.1.1 分組加密 186
3.3.1.2 加密方式的識別 186
3.3.1.3 ECB模式 186
3.3.1.4 CBC模式 188
3.3.1.5 Padding Oracle Attack 191
3.3.1.6 Hash Length Extension 197
3.3.1.7 偽隨機數 200
3.3.1.8 密碼學小結 202
3.3.2 Web中的逆向工程 202
3.3.2.1 Python 202
3.3.2.2 PHP 203
3.3.2.3 JavaScript 206
3.4 邏輯漏洞 207
3.4.1 常見的邏輯漏洞 207
3.4.2 CTF中的邏輯漏洞 211
3.4.3 邏輯漏洞小結 212
小結 212
第4章 APK 213
4.1 Android開發基礎 213
4.1.1 Android四大組件 213
4.1.2 APK文件結構 214
4.1.3 DEX文件格式 214
4.1.4 Android API 215
4.1.5 Android示例代碼 216
4.2 APK逆向工具 217
4.2.1 JEB 217
4.2.2 IDA 219
4.2.3 Xposed Hook 220
4.2.4 Frida Hook 222
4.3 APK逆向之反調試 224
4.4 APK逆向之脫殼 224
4.4.1 注入進程Dump內存 224
4.4.2 修改源碼脫殼 225
4.4.3 類重載和DEX重組 227
4.5 APK真題解析 227
4.5.1 Ollvm混淆Native App逆向(NJCTF 2017) 227
4.5.2 反調試及虛擬機檢測(XDCTF 2016) 230
小結 232
第5章 逆向工程 233
5.1 逆向工程基礎 233
5.1.1 逆向工程概述 233
5.1.2 可執行文件 233
5.1.3 匯編語言基本知識 234
5.1.4 常用工具介紹 239
5.2 靜態分析 243
5.2.1 IDA使用入門 243
5.2.2 HexRays反編譯器入門 249
5.2.3 IDA和HexRays進階 254
5.3 動態調試和分析 258
5.3.1 調試的基本原理 258
5.3.2 OllyDBG和x64DBG調試 258
5.3.3 GDB調試 264
5.3.4 IDA調試器 265
5.4 常見算法識別 273
5.4.1 特徵值識別 273
5.4.2 特徵運算識別 274

前言

隨著日益嚴峻的網絡安全形勢及人們對網絡安全重視程度的提高，以人才發現、培養和選拔為目的的網絡安全賽事不斷湧現，成為發現人才的一種創新形式。目前，國內高水平的網絡安全賽事普遍以CTF形式存在，競賽水平差異較大，直接參加高於自身技術過多的競賽猶如空中樓閣，不僅很難學到東西，也可能打擊自信。參加過於簡單的競賽則浪費時間而無所得。此外，CTF比賽題目因涉及網絡安全技術、計算機技術、硬件技術等領域，內容十分繁雜，迭代更新時間快，初學者往往一頭霧水地參與其中，難以發現CTF的樂趣。

早在2017年，我便有寫一本供初學者學習CTF書籍的想法，但由於當時Nu1L戰隊的成員太少，並且覺得這是一個複雜而且龐大的過程，所以寫書的想法只能擱淺。直到2018年末，Nu1L戰隊已成長到近40人，與此同時，我發現市面上依然沒有一本關於CTF比賽的書籍，寫書的想法又重新燃起，在詢問戰隊諸多隊員並達成一致意見後，便開始組織大家寫書。

經過初步討論，我們希望這本書可以讓CTF入門者進行系統性的學習，於是決定盡可能地將CTF比賽中的方方面面融入此書。同時，為了避免這本書成為一本只是羅列知識點的普通安全基礎書籍，除了圍繞CTF涉及的大量知識點，我們還將做題的技巧、個人經驗穿插其中，以便讓讀者更好地融入。除了技術層面的內容，我們還會介紹Nu1L戰隊的成長史和聯合戰隊的管理經驗。

本書旨在讓更多人感受到CTF比賽的樂趣，對CTF比賽有所了解，進而通過本書提升自身的技術實力。

本書結構

本書的技術分享包括CTF線上賽和線下賽兩部分。如此分類是為了讓此書的適用面更加廣泛，除了與CTF比賽相關的內容，我們還結合實戰，為讀者分享一些現實漏洞挖掘的經驗。

CTF線上賽包括10章，涵蓋Web、PWN、Reverse、APK、Misc、Crypto、區塊鏈、代碼審計。本部分涵蓋了CTF大部分的題目分類，並配有相應的例題解析，能夠讓讀者充分了解、學習相應知識點。同時，在實際比賽中，本書的內容也可以作為參考。

CTF線下賽包括2章，分別為AWD和靶場滲透。其中，AWD章節從比賽技巧和流量分析方面進行了深入介紹；靶場滲透章節貼合現實，讀者閱讀時可以結合實際，從中有所收穫。

最後一章的內容與技術無關，只是分享發生在Nu1L戰隊中的故事和聯合戰隊管理等。在開始寫書之前，我也進行了簡單調研，相當一部分人會對戰隊管理和CTF的意義有所好奇，這部分是我的經驗之談，希望對讀者有所幫助。

讀者對象

本書適合的讀者包括：

 想入門CTF比賽的讀者。

 已經入門CTF陷入瓶頸的讀者。

 希望成立戰隊、管理戰隊的讀者。

 不知道CTF如何與現實接軌的讀者。

 沒參加過線下賽卻突然要參加的讀者。

說明

眾多周知，CTF涉及的分類十分繁多，所以Nu1L戰隊有29人參與了此書的編寫，每個人負責編寫不同的章節，在編寫前我已盡可能地統一了規範，但是每個人的編寫風格不是完全一致，所以有的章節文字風格差異較大。

參與編寫此書的Nu1L戰隊的成員都是第一次寫書，因此不能保證本書能夠面面俱到，但盡可能詳細地涵蓋了CTF比賽的相應內容，至於某些未能描述詳盡或遺漏的地方，以及一些不常見的領域，如工控CTF，因為缺乏相關知識，所以沒有辦法加入本書。

本書主要針對CTF初學者，究其每部分，認真寫的話都足以寫一本書。所以我們也對各部分的內容進行了篩選，只編寫常見的CTF技術點，如Web部分的SQL注入章節中只寫了MySQL下的注入場景，而沒有寫SQL Server、NoSQL等情況下的注入場景。

以上情況希望讀者能夠理解。

關於Nu1L戰隊

Nu1L戰隊成立於2015年10月，源於英文單詞NULL，是國內頂尖的CTF聯合戰隊，目前成員有60餘人，官網為https://nu1l.com。

Nu1L自成立以來，征戰於國內外各項CTF賽事，成績優異，如：

 DEFCON CHINA & BCTF2018冠軍，斬獲31萬元獎金。

 TCTF2018總決賽獲得全球第四名，國內第一名。

 LCTF、SCTF連續三年冠軍。

 2018年網鼎杯總決賽全國第二名。

 2019年護網杯總決賽全國第一名。

 2019年XCTF總決賽冠軍。

 N1CTF國際賽事組織者，其中2019年CTFTIME評分權重獲得滿分，獲得全球CTF愛好者好評。

 2019年11月，與春秋GAME共同負責運維“巔峰極客”線下城市靶場賽。

 2019年11月，創建“空指針”高質量挑戰賽（https://www.npointer.cn）。

戰隊部分成員為Blackhat、HITCON、KCON、天府杯等國內外安全會議演講者，參與PWN2OWN、GEEKPWN等國際性漏洞破解賽事。部分核心隊員效力於Tea Deliverers、eee戰隊。

N1BOOK平台

為了讓讀者更好地學習本書的內容，我們針對大部分知識點設計了相應的配套題目，以便輔助讀者學習並理解相關知識，我們稱之為N1BOOK（https://book.nu1l.com） 。

書中Web、PWN章節涉及的題目已封裝成docker鏡像，讀者在N1BOOK平台上選擇相應頁面，即可訪問題目的相關內容，通過docker的啟動，免去了讀者在本地搭建環境的苦惱。而其余章節的題目，如Misc、靶場滲透等，其附件或鏡像包已上傳到雲上，讀者可以在N1BOOK平台上下載。

本書配套題目默認的flag格式為n1book{}，相應題目的Writeup可根據題目頁面中的關鍵詞，在Nu1L Team官方公眾號回复獲取，掃描下方的二維碼，可以關注官方公眾號。

意見反饋

本書是我們團隊的首次嘗試，難免有不足之處，讀者若有任何建議，可以通過郵件聯繫我們：book@nu1l.com，我們會在下一版本中進行參考和修改。

致謝

出書是一個十分龐大的工程，因為CTF涉及的技術點眾多，所以本書的編寫匯聚了國內外諸多安全研究員的文章及一些公開發表的書籍、研究成果等，在此首先表示感謝。

感謝鄔江興院士、馮登國院士、清華大學段海新教授為本書作序

感謝CongRong（河圖安全、vulhub核心成員，Symbo1安全團隊負責人）、ForzaInter（國網山東省電力公司網絡安全負責人）、M（ChaMd5安全團隊創始人）、tomato（邊界無限聯合創始人）、 walk（奇安信奇物安全實驗室負責人）、於暘（TK）（騰訊玄武實驗室創始人）、馬坤（四葉草安全）、王任飛（avfisher）（某知名云廠商Offensive Security Team負責人）、王依民（Valo）（退役老年CTF選手/紅藍對抗領域專家）、王欣（安恆信息安全研究院）、王瑤（WCTF世界黑客大師賽運營負責人）、幻泉（永信至誠KR實驗室）、葉猛（奇安信高級攻防部負責人）、劉炎明（Riatre）（blue-lotus戰隊成員）、劉新鵬（恆安嘉新水滴攻防安全實驗室&DefCon Group 0531發起人）、楊義先（北京郵電大學教授）、楊坤（長亭科技）、吳石（騰訊科恩實驗室負責人）、宋方睿（MaskRay）（LLVM開發者/LLD維護者）、張小松（電子科技大學教授，2019國家科技進步一等獎第一完成人）、張瑞冬（only_guest）（PKAV技術團隊創始人、無糖信息CEO）、張璇（公眾號網安雜談創辦人、山東警察學院）、周世傑（電子科技大學教授）、周景平（黑哥）（知道創宇404實驗室）、鄭洪濱（紅亞科技創始人）、姜開達（上海交通大學）、秦玉海（中國刑警學院首席教授、博導）、賈春福（南開大學教授）、高媛（@傳說中的女網警）、郭山清（山東大學網絡空間安全學院教授）、黃昱愷（火日攻天）（退役老年CTF選手/某知名云廠商SDL安全專家）、黃源（知名女黑客、安全播報平台創始人）、韓偉力（復旦大學教授，復旦大學六星戰隊指導教師）、傲客（春秋GAME負責人）、魯輝（中國網絡空間安全人才教育論壇秘書長）、管磊（公安部第一研究所，網絡攻防實驗室主任）為本書撰寫推薦語（排名不分先後，按姓氏筆劃排序）。

感謝Nu1L戰隊的其他28位參與編寫的隊員，利用自己的業餘時間保質保量地完成了自己負責的部分，他們分別是姚誠、李明建、管雲超、孫心乾、李建旺、於晨升、吳宇航、陳耀光、林鎮鵬、劉子軼、母浩文、鮮檳丞、李柯、秦琦、錢釔冰、陽宇鵬、鄭吉宏、黃偉傑、李依林、趙暢、饒詩豪、周夢禹、李揚、何瑤傑、段景添、林泊儒、周捷、秦石。

特別感謝電子工業出版社的章海濤老師及其團隊，是他們專業的指導和辛苦的編輯，才使本書最終與廣大讀者見面。

最後由衷地感謝在Nu1L戰隊成立的這些年來，相信、支持、幫助過我們的諸位。

 

付浩

2020年8月