"本书是一本面向网络安全初学者的入门和实战指南。本书以精心挑选出来的11台Vulnhub靶机为核心，全面分析并介绍了渗透测试的思路、流程以及在每个测试环节所涉及的主要知识点和操作方法。全书共分为4篇15章，前两篇主要介绍了渗透测试的流程、概念和方法，第3、4篇主要介绍了SQL注入、文件上传、文件包含这3种主流的Web安全漏洞。 本书的**特色是理论与实战深入结合，尤其是在前两篇，都是通过对靶机实战从而引出了所要介绍的知识点。经过实践验证，这是一种对初学者比较友好的讲解方式，便于读者快速理解渗透测试的思路和流程。后两篇则是在此基础上的进阶，需要读者先从代码层面理解Web漏洞的产生原因，再进而通过对靶机实战掌握其应用方法。 本书的读者对象包括网络安全爱好者、职业技能大赛和CTF比赛的参赛队员，以及希望通过实战项目提升技能的专业人士。同时，本书也适合作为高等院校相关专业的教材及教学参考书。"

"曲广平烟台职业学院计算机专业教师，51CTO学堂、三节课等在线教育平台知名讲师；发布50余套网络安全线上课程，深受好评。著有《Linux系统管理初学者指南》等图书。从教20余年，秉承“知其然又知其所以然”的教育理论，倡导理论与实践相结合，擅于从初学者角度出发，以通俗易懂的方式讲解复杂的问题。从2017年至今，多次带领学生参加各类CTF竞赛并获奖，具有丰富的竞赛指导经验。"

前 言 尊敬的读者： 欢迎来到《渗透测试理论与实践》，这是一本面向零基础初学者的网络安全入门指南。网络空间安全是一门跨度很大的综合性学科，涉及众多领域。尤其是对于渗透测试，从信息收集到Web渗透，再到系统提权，在每个环节都会涉及大量不同方向的知识点。本书致力于将这些繁杂的知识点进行整合，以更易于理解的方式呈现给读者，帮助初学者更好地掌握网络安全的基本概念和相关操作。 全书共分为4篇15章。 在第1、2篇中，笔者摒弃了传统的以理论内容为核心的编写方式，选择以靶机实战为主线，将完成渗透测试任务作为目标。在每个渗透测试环节，精心穿插了关键知识点，确保读者能在实际操作中掌握和应用这些知识。这样的编排方式，不仅使内容更具实战性，还能让读者在实际操作中加深对知识点的理解和记忆。 虽然这种编写方式也存在知识不成体系、内容分散等不足，但多次课堂教学和线下培训的实践证明，这确实是一种更易于让初学者接受的方式。本书在这方面进行了一些大胆的探索和尝试，欢迎各位读者提出宝贵意见。 在第3、4篇中，由于所介绍的内容更为专业和深入，因而仍采用传统方式，先用1～2个章节详细介绍这些Web安全漏洞的形成原因和利用方法，然后再结合具体的靶机进行实战操作。 为了突出实战性，本书共精心挑选了11台靶机。所有靶机都是来自于Vulnhub，这是一个全球知名的开源靶场，为了方便读者下载，书中的每台靶机都给出了下载链接。在Vulnhub中共有几千台靶机，如何从中选出适用的靶机，这耗费了大量的时间和精力。由于时间仓促，最终精选出来的这11台靶机也可能存在诸多不足，还请读者多多体谅。 本书由烟台职业学院曲...