玄机-应急加固-医院脱库应急处理
1.首次发起端口扫描的IP是
扫描端口通常包含SYN,所以看最先的SYN是哪个ip
192.168.37.3
2.审计流量和日志快速定位扫描次数最多的IP
统计中直接查看即可
192.168.37.3
3.审计流量和日志快速定位扫描次数第二的IP
同上
192.168.37.1
4.哪个IP使用了AWVS扫描器
直接搜索扫描特征Acunetix
192.168.37.1
5.还有个IP也使用了扫描器进行主机+WEB扫描,提交其扫描次数(以wireshark数量为主)
查看流量发现是192.168.37.100进行扫描,所以直接筛选
ip.src == 192.168.37.100 && ip.dst == 192.168.37.2
4812
6.运维人员发现有IP进行了WEB登录爆破,提交其IP
直接看login.php
192.168.37.87
7.运维人员发现有IP进行了WEB登录爆破,提交其爆破次数
106
8.运维发现数据库疑似被写入了垃圾用户(批量注册)请提交其IP
可以看一下后台这些用户的IP,也可以根据注册时间和流量包的时间判断注册ip
192.168.37.177
9.运维发现数据库疑似被写入了垃圾用户(批量注册)请提交注册成功数量
流量包的时间是4月30号,所以看一下4月30号注册的用户
一共58个用户注册,并且用户名都是相似的
58
10.请提交攻击者登录成功admin用户的IP及密码,以&连接
查看登录前的最后一条登录包,得到密码和ip
192.168.37.200&zhoudi123
11.数据库疑似被脱库,你需要找到漏洞点,如漏洞文件
查看登陆后的操作,都是在/admin/settings.php中进行,因而该文件具有漏洞点
settings.php
12.找到攻击者获取医院数据(患者身份信息的数量)
查看返回包,包含查询的zhangsan内容,以及sql注入的结果
json格式化一下,共计12001条数据
12001
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论