XMan特训夏令营课程大纲出炉,超燃超值的课程只在XMan~

  眼看着第二届XMan夏令营的报名就快进入尾声了,本周六晚12报名通道将关闭,还没有报名的学员,错过这次就只能等明年啦~

  本届夏令营自6月24日18:00揭晓神秘内容开放报名后,受到了天南地北的小伙伴们的强烈关注。今年XMan夏令营将立足教育培训项目,南京、北京同时开营,设置了更多更酷炫的精彩课程及项目体验~



    本届夏令营南京、北京的课程设置基本上是一样的,大咖、大牛们会分别前往两地给大家授课、面对面交流。课程上将Web、Pwn两大板块分开设置,同时覆盖CTF竞赛中常用题型Crypto、Mobile、RE、Forensics等进行培训~~今日主办方发布了初版的课程大纲供小伙伴们参考哦,本届夏令营课程设置将分为三个阶段。

    第一阶段:CTF实战能力提升,这一阶段夏令营邀请到知名战队的主力队员为大家授课,来自蓝莲花、Flappypig、Nu1L、Lancet 、紫荆花、SU等队的大佬们亲自授课,还有XMan一期优秀学员也会来哦,比如某爸爸,哈哈哈~~

    第二阶段:CTF到真实世界的转身,我们请来了网安行业的红人,腾讯玄武实验室TK教主、百度安全、360安全的著名安全研究员;长亭科技首席安全研究员杨坤;安恒、梆梆安全、盘古团队、赛宁网安、三思网安一线安全研究员和工程师;清华大学网络与信息安全协会会长裴中煜等到课堂,为大家讲述一步步从萌新走向大佬的心路历程,还有众多业界神秘大佬都将亲临现场为学员授课,鼓掌~~

    第三阶段:引领网安新趋势,在这一阶段的课程,我们将就行业内的最新潮流诸如物联网安全、汽车安全方向,邀请Visual Threat、北航车联信安战队,赛宁网安战队权威专家来与学员一同探讨网安未来发展。

    8月17日,北京营的学员将全部集结至南京,两营学员汇聚一堂,体验酷炫外景课程~

    8月20日,本届夏令营的实战考核,谁是最强XMan,过招见分晓;

    8月24-25日,两支XMan战队出征狮城,征战新加坡~

    这么精彩的夏令营,超燃超值的体验,只能在XMan特训夏令营~~


时间主题内容
第一阶段:CTF实战能力提升

8月1日上午TeamBuilding破冰
8月1日下午开营第一课网络安全法律
 CTF文化



8月2日全天



Crypto(密码学)

1. 传统密码学(单表替换加密、多表替换加密、其它加密)
 2. 对称密码(RC4、DES、AES)
 3. 非对称密码(RSA、ECC、Hash、MD5、SHA1)
 4. 其它(加密分组模式、证书格式



8月3日上午



Forensics(取证隐写)

1. 信息搜集
 2. 编码转换(常见编码,转换技巧)
 3. 数字取证&隐写分析(文件载体,文件格式,常用工具)
 4. 赛题分析




8月3日下午




Mobile(移动安全)

1.安卓背景介绍(安卓生态圈简介、安卓安全架构、常用概念和技术)
 2.逻辑代码保护与逆向技术的对抗(编译与反编译、加壳与脱壳、原生代码混淆与解混淆、隐藏与取证)
 3.题目解析(直接逆向技术题目、原生层混淆题目、加脱壳技术题目)






8月4日全天






RE(逆向工程)

如何攻略妹纸
 1.认识妹纸-逆向基础
 2.开始勾搭-去掉保护(加壳、花指令) 
 3.心意相连-了解程序逻辑,确定关键验证位置
 4.心心相印-常见算法分析与识别
 5.经验加成-符号执行、pintools边信道攻击等
 6.残酷现实-现实生活中的逆向
 7.砺戈秣马-IDA高级使用方法
 8.见招拆招-编写IDA processor、恢复符号、识别虚表等






8月5日全天



PWN(一)

1. 各种基础(栈 调用约定等)
 2. 各种工具的使用(gdb ida pwntools等)
 3. 格式化字符串(%p AAR %n AAW)
 4. 栈溢出(各种类型:multistage ret2dl resolve overflow ebp  SROP)



WEB安全(一)

1.Web CTF介绍
 2.CTF中Web trick在实际中的运用
 3.命令注入
 4.Web CTF中的常用工具







8月6日全天



PWN(二)

1. linux堆管理基础
 2. UAF/Double free
 3. 各种堆利用技巧(各种house of xxx, heap spray)
 4. 整数溢出转堆栈溢出
 5. 多线程Race Condition



WEB安全(二)

1.sql注入攻击与防御
 2.文件上传漏洞
 3.认证与会话管理
 4.访问控制






8月7日全天



PWN(三)

1. windows下的防护机制
 2. windows平台漏洞调试工具的使用
 3. windows下的栈漏洞的利用技术
 4. windows下的堆漏洞的利用技术



WEB安全(三)

1. XSS漏洞挖掘与利用
 2. CSRF利用
 3. 域、同源
 4. 挑战CSP及沙箱
 5. XSS及CSRF防御
8月8日全天阶段一CTF实战(解题模式)
第二阶段:CTF到真实世界的转身



8月9日上午


CTF选手成长经历

1、如何从CTF萌新到CTF大佬
2、如何从CTF入门到GeekPWN获奖选手
3、 如何处理CTF与安全领域研究的关系


DEFCON to Pwn2Own

长亭科技首席安全研究员、Blue-Lotus队长带你从DEFCON飞到Pwn2Own
8月9日下午漏洞挖掘与人才培养专题腾讯玄武TK教主与你面对面交流




8月10日上午




漏洞挖掘与利用高级专题

Action Script脚本虚拟机漏洞利用实战:
 1. 符号文件的制作与匹配
 2. 无符号调试技术
 3. AVM虚拟机漏洞的利用技术详解,以CVE-2015-0313为例
 4. IE沙箱的通用绕过技术
8月10日下午漏洞挖掘与利用高级专题漏洞挖掘与利用
8月11日上午Web安全与企业级渗透测试专注Web企业级渗透测试
8月11日下午Web安全与企业级渗透测试大型企业,Web安全专家现身说法



8月12日上午


协议安全(如何做安全研究)

1. CDN安全
 2. HTTP安全
 3. 如何做安全研究
小专题90分钟
8月12日下午移动安全(Android、iOS)移动安全神秘大佬
8月13日全天企业参观&极客密室逃脱游戏
第三阶段:引领网安新趋势




8月14日上午




物联网安全

1. 嵌入式设备基础
 2. MIPS架构基础
 3. 硬件分析方法
 4. 固件分析方法
 5. Web服务审计
 6. 内存破坏漏洞与利用
8月14日下午物联网安全业界神秘嘉宾,敬请期待
8月15日上午汽车安全天津汽车破解大赛冠军队伍——北航车联信安战队交流汽车破解
1. 汽车安全威胁模型与攻击面
 2. 总线协议及如何捕获总线数据包
 3. 协议逆向(vehicle spy操作使用)
 4. 软件无线电攻击胎压监测和遥控钥匙
8月15日下午业界神秘嘉宾,敬请期待
8月16日全天汽车安全1. 培训大纲和实验环境介绍
 2. 动手实践1:使用汽车总线模拟设备
 3. 动手实践2:汽车总线智能安卓应用和汽车私有协议
 4. 车厂面对汽车信息安全的严峻现况和政府压力
 5. 实验考核:汽车协议逆向(2人一组)
8月17日全天汽车安全1. SAE-J3061详解
 2. VisualThreat Auto-X自动化测试流程
 3. 动手实践3:真车收集CAN总线数据
 4. 动手实践4:汽车CAN总线网络拓扑结构嗅探
 5. 最终考核:真车测试实战
8月18日全天真人CS极客版
8月19日上午CTF攻防模式(PWN选手)1.Attack-Defense CTF 规则详解
 2.运维gamebox
 3.工具准备
 4.分工及工作流程
 5.策略与经验
8月19日下午CTF攻防模式(WEB选手)1.Web A&D 特点
 2.本地代码审计与工具使用
 3.Web Gamebox 日志分析与溯源
 4.攻与防
 5.策略与经验
8月20日全天CTF实战考核(攻防模式A&D)

注:课程时间设置仅供参考,将会随着讲师时间有所微调~

成为XMan

体验行业大佬亲自操刀的课程,与大佬面对面

组成两支战队接受最强考验,征战狮城HITB GSEC CTF

与硅谷知名汽车技术研究企业加盟一起搞事情

全国首创真人极客CS,哒哒哒哒~冒蓝光的加特林来了~

极客密室,前所未有的体验

21天,萌新变高手

~~~~~~~~

    机会难得,只在XMan特训营!前往“XCTF社区—XMan频道”下载报名表(https://www.xctf.org.cn/xman/) 报名,更多详情咨询还可加入“第二届XMan夏令营咨询微信群”,入群请先添加XCTF联赛小秘微信号“XCTF-league”。



  在此,非常感谢各位学员的信任和支持,XMan夏令营只会让你有更多的惊喜,特别感谢第二届XCTF-XMan特训夏令营赞助商:安恒、梆梆安全的大力支持!