2021年陇剑杯

初赛（线上）

1.签到

题目描述：网管小王在上网途中发现自己的网络访问异常缓慢，于是对网络出口捕获了流量，请您分析流量后进行回答：（本题仅1小问）

此时正在进行的可能_________http_____协议的网络攻击。（如有字母请全部使用小写，填写样例：http、dns、ftp）

先大概看一下协议分布情况：wireshark-统计-协议分级，可以看出主要是TCP和HTTP（二者有一定的包含关系，

再看看HTTP的统计情况：统计-HTTP-分组计数器，可以看出403占比巨大

再看看分析-专家信息，警告有大量的RST，综合分析应该是发送会导致403的请求，然后客户端发送rst断开异常连接，所以说HTTP泛洪。（其实不是很理解

题目描述：昨天，单位流量系统捕获了黑客攻击流量，请您分析流量后进行回答：

该网站使用了_________jwt____认证方式。（如有字母请全部使用小写）

题目已提示是jwt认证。查看http数据包找到/identity请求，应该就是用户认证相关（POST请求体中有username和identity），/identity请求的响应头中有token。

黑客绕过验证使用的jwt中，id和username是___10087#admin___。（中间使用#号隔开，例如1#admin）

题目是绕过验证，所以要找需要验证的那个操作成功时所用的token。观察流量包，/identity请求后是get /exec，根据响应的html可知是一个命令执行页面，进一步发起post /exec，根据返回结果判断这个就是需要验证身份的操作：

找到执行成功的数据包，提取对应token