玄机-应急加固-医院脱库应急处理

admin 2025年5月7日11:24:52玄机-应急加固-医院脱库应急处理已关闭评论8 views字数 1155阅读3分51秒阅读模式

玄机-应急加固-医院脱库应急处理

玄机-应急加固-医院脱库应急处理
image-20250504215019402

1.首次发起端口扫描的IP是

扫描端口通常包含SYN,所以看最先的SYN是哪个ip

玄机-应急加固-医院脱库应急处理
image-20250504215315215

192.168.37.3

2.审计流量和日志快速定位扫描次数最多的IP

统计中直接查看即可

192.168.37.3

3.审计流量和日志快速定位扫描次数第二的IP

同上

192.168.37.1

4.哪个IP使用了AWVS扫描器

直接搜索扫描特征Acunetix

玄机-应急加固-医院脱库应急处理
image-20250504220411520

192.168.37.1

5.还有个IP也使用了扫描器进行主机+WEB扫描,提交其扫描次数(以wireshark数量为主)

查看流量发现是192.168.37.100进行扫描,所以直接筛选

ip.src == 192.168.37.100 && ip.dst == 192.168.37.2
玄机-应急加固-医院脱库应急处理
image-20250504220102851

4812

6.运维人员发现有IP进行了WEB登录爆破,提交其IP

直接看login.php

玄机-应急加固-医院脱库应急处理
image-20250504214225961

192.168.37.87

7.运维人员发现有IP进行了WEB登录爆破,提交其爆破次数

玄机-应急加固-医院脱库应急处理
image-20250504214048265

106

8.运维发现数据库疑似被写入了垃圾用户(批量注册)请提交其IP

可以看一下后台这些用户的IP,也可以根据注册时间和流量包的时间判断注册ip

玄机-应急加固-医院脱库应急处理
image-20250504215206752

192.168.37.177

9.运维发现数据库疑似被写入了垃圾用户(批量注册)请提交注册成功数量

流量包的时间是4月30号,所以看一下4月30号注册的用户

玄机-应急加固-医院脱库应急处理
image-20250504213357590

一共58个用户注册,并且用户名都是相似的

58

10.请提交攻击者登录成功admin用户的IP及密码,以&连接

查看登录前的最后一条登录包,得到密码和ip

玄机-应急加固-医院脱库应急处理
image-20250504213206868
玄机-应急加固-医院脱库应急处理
image-20250504213217385

192.168.37.200&zhoudi123

11.数据库疑似被脱库,你需要找到漏洞点,如漏洞文件

查看登陆后的操作,都是在/admin/settings.php中进行,因而该文件具有漏洞点

玄机-应急加固-医院脱库应急处理
image-20250504213141112
玄机-应急加固-医院脱库应急处理
image-20250504212851530

settings.php

12.找到攻击者获取医院数据(患者身份信息的数量)

玄机-应急加固-医院脱库应急处理
image-20250504212848432

查看返回包,包含查询的zhangsan内容,以及sql注入的结果

玄机-应急加固-医院脱库应急处理
image-20250504212953729
玄机-应急加固-医院脱库应急处理
image-20250504213035677

json格式化一下,共计12001条数据

12001

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月7日11:24:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   玄机-应急加固-医院脱库应急处理https://cn-sec.com/archives/4035511.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.