应急响应--医院脱库

应急响应--医院脱库

1.基础信息

应急加固-医院脱库应急处理
WP:后续发
登录账号密码:administrator/Zhoudi666
某医院系统疑似被攻击,攻击者常规手段获取到了后台账号密码,在此之前攻击者使用多个IP进行扫描,你作为安全服务工程师需要分析其流量包和日志来快速审计,每个IP的扫描特征并快速归类,并思考在常规渗透中,攻击者是怎么获取到的管理员密码进行登录的后台
此外除了已有需要提交的题目,你还需要做的是
1. 根据桌面已有的工具进行分析
根据桌面已有的文档模板进行编写报告进行整个流程的梳理(后期给客户进行汇报)
2. 修复出现的相关漏洞(无论使用任何方法),保证业务系统正常运行
3. 看看系统中自己能不能挖出其他漏洞

注:思路仅供参考,学习举一反三

阿里云盘:https://www.123684.com/s/oJnajv-EzWnh
123网盘:https://www.123684.com/s/oJnajv-EzWnh
玄机:https://xj.edisec.net/challenges/140

2.任务

1.首次发起端口扫描的IP是
2.审计流量和日志快速定位扫描次数最多的IP
3.审计流量和日志快速定位扫描次数第二的IP
4.哪个IP使用了AWVS扫描器
5.还有个IP也使用了扫描器进行主机+WEB扫描,提交其扫描次数(以wireshark数量为主)
6.运维人员发现有IP进行了WEB登录爆破,提交其IP
7.运维人员发现有IP进行了WEB登录爆破,提交其爆破次数
8.运维发现数据库疑似被写入了垃圾用户(批量注册)请提交其IP
9.运维发现数据库疑似被写入了垃圾用户(批量注册)请提交注册成功数量
10.请提交攻击者登录成功admin用户的IP及密码,以&连接
11.数据库疑似被脱库,你需要找到漏洞点,如漏洞文件
12找到攻击者获取医院数据(患者身份信息的数量)

3.解题

1.首次发起端口扫描的IP是
首先要学习TCP和UDP协议
区别 三次挥手
TCP:SYN FIN ACk

筛选:

tcp.flags.syn==1&&tcp.flags.ack==0

image-20250517202300195

whireshark是按照时间排序的

我们用更具体方法区筛选因为已经知道我们的受害机

192.168.37.2

tcp.flags.syn==1&&tcp.flags.ack==0&&ip.addr==192.168.37.2

image-20250517202842973

端口扫描特征

灰色的为没有连接成功的

所以

答案为:

192.168.37.3
2.审计流量和日志快速定位扫描次数最多的IP

用到工具ZUI

https://github.com/brimdata/zui

可以直接转换为图形化界面

image-20250517204143947

image-20250517204004356

我们怎么判读谁扫描的最多我们可以看404状态码一般扫描404比较多(访问频率)

统计404扫描

count() by http,status_code,id.orig_h|status_code==404

image-20250517204527407

由图中可以看到ip为192.168.37.3

192.168.37.3

我们也可以流量筛选一下比一下

筛选404

http.response.code==404

image-20250517205359733

http&&ip.addr==192.168.37.1

image-20250517204932091

image-20250517205024996

所以为

192.168.37.3
3.审计流量和日志快速定位扫描次数第二的IP

由图形很快就能分析出

这个

为192.168.37.1

4.哪个IP使用了AWVS扫描器

特征

存在

acunetix和bxss.me

image-20250517205757481

所以为192.168.37.1

5.还有个IP也使用了扫描器进行主机+WEB扫描,提交其扫描次数(以wireshark数量为主)
tcp.flags.syn==1&&tcp.flags.ack==0&&ip.addr!=192.168.37.1&&ip.addr!=192.168.37.3

image-20250517210451429

image-20250517210803622

所以扫描次数为

4812次
6.运维人员发现有IP进行了WEB登录爆破,提交其IP

我们要看一下我们的路径 login.php login loginuser

我们可以看一下系统的登入页面

image-20250517211448044

image-20250517211422523

然后用zui筛选

count () by id.orig_h,uri,method|uri=="/login.php"|method=="POST"
相当于sql语句类似

image-20250517211837000

发现可疑的192.168.37.87

我们分析一下流量

http&&ip.addr==192.168.37.100&&http.request.uri=="/login.php"&&http.request.method=="POST"

image-20250517212605896

所以我们判断为192.168.37.87
7.运维人员发现有IP进行了WEB登录爆破,提交其爆破次数

image-20250517212836226

106
8.运维发现数据库疑似被写入了垃圾用户(批量注册)请提交其IP
  • 先看看请求地址

image-20250517213132323

然后去zui

count () by id.orig_h,uri,method|uri=="/register.php"|method=="POST"

image-20250517213227949

答案为192.168.37.177
9.运维发现数据库疑似被写入了垃圾用户(批量注册)请提交注册成功数量

我们先分析一下流量

http&&ip.addr==192.168.37.177&&http.request.uri=="/register.php"&&http.request.method=="POST"

image-20250517213410265

但是这个不对,我们应该核实一下注册成功有多少

所以我们查看数据库

image-20250517213511234

我们可以去查看插入在了那张表上

image-20250517213828236

然后我们在数据库上发现这个用户注册有规律的burp发包注册

image-20250517214033955

所以我们可以看到有58个

批量注册危害,可以塞满数据库

我们改怎么防范

登入

使用时间戳,验证码,双因子,请求包sign

注册

个人身份信息验证是否注册过
请求加密,不要让明文
验证码
ip限制

10.请提交攻击者登录成功admin用户的IP及密码,以&连接

可以尝试

http contains "登录成功"

但是发现木有,我们猜它进行了302跳转

我们可以看看他登入成功后跳哪个页面了

我们可以问开发和运维密码

然后登录看看

admin/zhoudi123

admin/index.php

image-20250517215016366

我们发现192.168.37.200有问题

http.request.uri=="/login.php"&&ip.addr==192.168.37.200

image-20250517215312027

然后ip和账号都拿到了

11.数据库疑似被脱库,你需要找到漏洞点,如漏洞文件

数据库被拿下了

备份拿下了
mysql连接后下载
sql注入

进行了信息收集

通过git找到了源码

然后密码复用

这里发现是sql跑的

image-20250517220946749

然后我们去找网站的接口看看哪里是

12找到攻击者获取医院数据(患者身份信息的数量)

查看这个网页就是注入点

image-20250517221304853

posted @ 2025-05-25 20:40  Godjian  阅读(191)  评论(0)    收藏  举报