湘潭大学派队到我校交流学习

上上周星期日早上，湘潭大学王老师、刘老师带了12名学生来我校，开展了一次交流学习活动。

双方就CTF竞赛的入门方向与深入学习、渗透与攻防的靶场架设和实战演练进行分享学习与交流沟通。

本次交流学习内容主要有五个部分。

凌东海《CTF——Web入坑篇》

申东杰《逆向技术深入理解之脱壳》

马俊龙《杂项的学习经验》

王云璇《逆向入门启示录》

申东杰《渗透测试使用指南》

1.凌东海《CTF——Web入坑篇》

Web顾名思义，就是跟网站有关的。

在早期没有Web的时候，如果你想控制一台电脑，最开始的一大难题就是要拿到那台电脑的IP地址，但是Web出现之后，拿到主机的IP地址就容易了很多，你可以直接ping或者域名/IP查询就可以拿到主机的IP地址。而且Web发展很快，功能逐渐增多，功能一多漏洞也就多，导致现在服务器是越来越容易被攻击。CTF的Web题就是分析考察破解一些Web漏洞的内容。

想学好Web肯定也需要一些Web开发基础，（包括但不限于html、JavaScrIPt、php、数据库），而且计算机网络也是要懂。

而且Web的CTF的种类很多，包括但不限于：SQL注入、XSS跨站脚本、CSRF跨站请求伪造、文件上传、文件包含、框架安全、PHP常见漏洞、代码审计等。

所以Web题可以有很多花样，有很多神奇的操作，正如黑客为了达到目的而想到了很隐秘的很强大的漏洞攻击。想要学好Web是很需要脑洞大开的。

2.申东杰《逆向技术深入理解之脱壳》

在一些计算机软件里，也有一段专门负责保护软件不被非法修改或反翻译的程序。它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。

由于这段程序和自然界的壳在功能上有很多相似的地方，基于命名的规则，就不这样的程序成为“壳”了。

壳在实际的计算机中非常的常见，在CTF赛场上就更是家常便饭了。

那么该怎么样学习脱壳呢？申东杰就这个话题给出了一些入门的经验。（emmm...）

3.马俊龙《杂项的学习经验》

MISC，类如其名，杂，可又不是杂而不精，反而其中每一项都可以延伸出精彩的领域。其中涉及编码转换、信息搜集、隐写分析、数字取证、流量分析、人肉搜索、数据分析、大数据统计等等。可谓是没有做不到，只有想不到。

所以杂项算是一种对电脑的全方位的考核。确实，杂项是最适合入门的。因为MISC的题目更容易上手，不像二进制还要学会汇编，也不像Web至少要会PHP和SQL。但是，若是真正想要精通MISC，付出的努力也是完全不少于其他的种类的。

和其他的类似，杂项最好的入门方法也是做题，通过一道具体的题目，反推出出题人的出题思路，进而得到的具体的知识基础，逐步积累。

然后你就变秃了，也变强了。

4.王云璇《逆向入门启示录》

逆向是指逆向工程（技术）。其实不论是做安全还是做开发，我觉得掌握一些逆向知识都是必要的，毕竟逆向搞得好，可以帮助我们窥探程序内部结构、掌握工作原理。

而逆向技术运用得好，还可以在程序的开发和测试阶段发现bug和漏洞，并直接修改程序文件或内存解决这些隐含的问题。当然也可以为程序添加新功能，法力无边。

入门逆向其实也挺简单，会拖工具，会看汇编语言，对程序运行原理有一定的了解，特别是对栈和栈帧。掌握以上三项就可以入门逆向了。

5.渗透测试实用指南

渗透测试是指一个具备资安知识与经验、技术人员受雇主所托，为雇主的网络设备、主机，模拟骇客的手法对网络或主机进行攻击测试，为的是发掘系统漏洞、并提出改善方法。

而在CTF比赛中，除了解题模式外，攻防模式（A&D）也在逐渐被推广、被重视。攻防模式中参赛队伍需要在防御自己信息系统的同时，通过挖掘漏洞并编写渗透攻击代码来攻击其他队伍信息系统，夺取其中的FLAG并以夺取FLAG数量或分值来决定名次。

参会的分享过程中，同学们纷纷表示在互相交流的过程中学到了很多，而信息安全、网络安全也正是一个需要相互学习，共同进步的领域。希望双方在此次交流学习会后继续保持联系，在交流中学习，在分享中成长，共同为增强技术添加一份力。

本次交流中负责经验分享的同学为信息安全专业的王云璇、马俊龙、凌东海、申东杰同学，在此对几位同学的充足准备、细致讲解和热情分享表示感谢。除此之外，还需要感谢蒋新华老师为双方的沟通搭建了桥梁，以及极光网安实验室的学长学姐、老师们在此次活动中给予的设备与技术支持。

最后

用您尊贵的手指扫一下这里