下载掌阅APP,畅读海量书库
立即打开
吴涛
资深网络安全技术专家,现任职于国内某大型国企,担任安全研究员,主要从事红蓝对抗、样本对抗、威胁情报、安全设备研发等方面的研究。连续多年参加国家级、省市级、行业级实战攻防演练,具有丰富的安全攻防实战经验。发表并被录用3篇El论文,著有畅销书《Python安全攻防:渗透测试实战指南》,曾在Freebuf、CSDN、开源中国社区、腾讯开发者社区发表近百篇技术文章,广受好评。
张道全
资深网络安全技术专家,现任职于国内某大型国企,担任安全研究员。具有丰富的网络安全经验和技能,现主要从事漏洞挖掘与漏洞分析方面的研究,具有丰富的二进制漏洞挖掘经验。多次参加国家级实战攻防演练,以及行业和企业内网的络安全竞赛。曾在集团和行业的网络安全竞赛中名列前茅,荣获“集团技术能手”“网络安全标兵” 等称号,并在国家信息安全漏洞共享平台提交过数百个中高危漏洞,获得多个CVE、CNVD证书。
王玉棋
资深网络安全技术专家,现任职于国内某大型国企,担任安全研究员,主要从事APT事件分析、Web漏洞挖掘、渗透测试、红蓝对抗等方面的研究,具备专业的攻防能力和丰富的攻防经验。具有丰富的AWD、AWD PLUS赛制的竞赛经验,多次参与网鼎杯、强网杯、陇剑杯等国家级、省部级、行业级网络安全竞赛并取得优异成绩。曾作为企业攻击队参加国家级实战攻防演练,获得“集团技术能手”“网络安全标兵”等荣誉称号。此外,曾在多个众测平台挖掘提交若干中高危Web漏洞。
过去9年,我一直都在做甲方安全建设。我曾有幸在19岁时代表中国电信参加由工信部指导的第三届通信网络安全知识技能竞赛,获得了AWD竞赛个人第一名、团体一等奖的好成绩。参与比赛的那段经历,对我后来的职业生涯影响颇深,令我受益匪浅。
在数字化时代,企业为了应对日益增长的攻击威胁,一般都在大量部署安全产品、安全设备,忙于查看各种安全设备、安全运营中心(SOC)、安全态势感知平台中的告警数据,期望在早期阶段就捕获到攻击者行为并实现以下4个目标:一是最大限度减少攻击者的入侵时间,尽可能让其丧失对目标的访问,或者令其攻击成功后的停留时间最短;二是最大限度降低攻击者入侵成功后的横向移动速度,限制其在网络上的横向移动;三是以最快的速度清理后门,防止其重新进入网络资产;四是尽可能提高攻击溯源速度,掌握攻击者的动机和手法。在这个攻防博弈的过程中,你需要掌握丰富的攻防技术知识,懂得各类应用、服务、系统的防护手段及攻击手法,不断地提升自己对攻击者意图的理解水平,并通过丰富的实战场景来锻炼、培养自己的能力。于是,AWD竞赛应运而生。在AWD竞赛中,每个团队都有自己的网络资产,在攻击其他团队资产的同时,也要保护好自己团队的资产不被攻击。在不同的场景环境中,攻击手法和防御手段均不同。与传统的夺旗赛(CTF)相比,AWD更具趣味性和实战性。
在本书中,作者通过其丰富的参赛经验、长期的攻防对抗技术积累,围绕常见工具、常见加固措施、常见攻击手法、常见漏洞分析等展开“手把手”教学,帮助读者了解AWD竞赛的各项内容以及攻防技术与工具的实际应用。本书是包含技术解析和技巧的真正的“实战指南”。
祝愿阅读本书的朋友都能在比赛中取得好成绩,在实际工作中发挥好作用!
刘奇
中国电信安全攻防专业首席专家
翼支付网络与信息安全部负责人
随着网络安全问题日益凸显,国家对网络安全人才的需求持续增长,其中,网络安全竞赛在国家以及企业的人才培养和选拔中扮演着至关重要的角色。
CTF是目前国际上较为流行的网络安全竞赛形式,而AWD作为CTF中最流行的一种竞赛模式,备受业界喜爱。与常规的CTF竞赛相比,AWD竞赛以考验参赛队伍的攻防兼备能力及团队协作能力为主,具有实战性、实时性、对抗性等特点。
本书将理论讲解和实践操作相结合,内容深入浅出、层层递进,全面、系统地介绍AWD竞赛相关的攻防技术知识。全书包含9章。
第1章 为AWD竞赛概述,介绍了安全竞赛的起源、竞赛模式、知名赛事以及AWD竞赛规则等。
第2章 为AWD竞赛常用工具,介绍了AWD竞赛中常用的安全工具,如信息收集工具、后门木马检测工具、代码审计工具、漏洞扫描工具、流量采集工具、逆向分析工具等。
第3章 为主机安全加固,介绍了常见的主机加固方式,包括Linux系统安全加固、Web服务安全加固、数据库安全加固及Linux系统日志的安全配置等。
第4章 为Web常见漏洞及修复,介绍了AWD竞赛过程中涉及的靶标环境、CMS常见漏洞以及AWD竞赛中常考的5类Web通用型安全漏洞。
第5章 为PWN常见漏洞及修复,介绍了PWN的漏洞类型以及修复方式,包括栈溢出漏洞、格式化字符串漏洞、堆溢出漏洞、释放再利用漏洞等。
第6章 为主机权限维持,介绍了一些常规的后门部署方式,包括木马后门、系统账户后门、时间计划后门、SSH类后门、PAM后门等。
第7章 为安全监控与应急处置,介绍了Linux系统常规的入侵排查方式、安全监控方式和应急处置技巧,对于日常工作和安全竞赛都有所帮助。
第8章 为构建自动化攻防系统,通过编写漏洞利用、木马植入、提交flag三个场景的自动化脚本来讲解Python语言的基础知识,同时也介绍了一些开源的自动化利用工具,帮助读者在比赛中快速编写自动化工具。
第9章 为AWD竞赛模拟演练,通过模拟竞赛环境带领读者进行实战,包括信息搜集、挖掘漏洞、修复漏洞、检测防御、权限维持等,进一步巩固安全技术知识。
本书适用于以下读者:
● 网络安全爱好者
● 网络安全从业人员
● 企业IT运维人员
● 信息安全及相关专业的大学生
由于作者的水平有限,书中难免会出现一些错误或者不准确的地方,恳请读者批评指正。读者可以通过微信公众号BetaSecLab与我取得联系。期待您的反馈。
感谢爸爸、妈妈、爷爷、奶奶、外公、外婆对我的悉心培养,在漫长的求学过程中,是他们的耐心教导给了我前进的方向和动力!
感谢爱人长期的陪伴和鼓励,在写作遇到困难时,是她的鼓励给了我坚持下去的信心和力量。2023年是美好和幸运的一年,让我们共同迎接宝宝的出生。
感谢领导的悉心栽培和照顾,感谢身边同事们的支持,感谢和我一起写书的小伙伴们的坚持和帮助。
感谢Cream、3had0w、eth10、Twe1ve、Leafer、xiaoYan、久久、云顶、墨竹星海、福林表哥、梭哈王、大方子、狐狸、yudays、李白、WIN哥、闲客、Aran、大可、klion、兜哥、莫名、徐焱、王坤、清晨、DarkZero、谢公子对本书给予的支持和建议。
本书仅限于讨论网络安全技术,严禁利用本书所提到的技术进行非法攻击,否则后果自负,本人和出版商不承担任何责任!
吴涛
2023年5月于北京