第二届陇剑杯初赛学习WP
hard_web题目1开放端口: 服务器开放了哪些端口,请按照端口大小顺序提交答案,并以英文逗号隔开(如服务器开放了80 81 82 83端口,则答案为80,81,82,83) 首先确定哪一个ip为服务器ip 服务器ip具有一下特征 打开 会话列表,按字节数排序,找到流量最大的IP对。大概率包含服务器。 对流量最大的IP对应用 端口过滤器(如tcp.port == 80),确认服务器身份。 回到会话列表,按数据包数量排序,找到包数量异常多但数据量可能不大的IP,它很可能是攻击者。 对该可疑IP的通信 Follow TCP Stream,查看内容确认是否为攻击行为。 必要时使用 错误过滤器(http.response.code >= 400)辅助验证。 这里我们直接使用端口过滤tcp.port == 80 可以看到服务器的ip应该为192.168.162.180 当服务器对应的端口打开时,会进行三次握手阶段 所以我们知道服务器监听一个端口的时候会给客户端返回一个 SYN=1,ACK=1的包,筛选这个流量即可 这里我们也知道了客户端的ip为1...





