应急加固-医院脱库应急处理

某医院系统疑似被攻击,攻击者常规手段获取到了后台账号密码,在此之前攻击者使用多个IP进行扫描,你作为安全服务工程师需要分析其流量包和日志来快速审计,每个IP的扫描特征并快速归类,并思考在常规渗透中,攻击者是怎么获取到的管理员密码进行登录的后台
此外除了已有需要提交的题目,你还需要做的是

  1. 根据桌面已有的工具进行分析
    根据桌面已有的文档模板进行编写报告进行整个流程的梳理(后期给客户进行汇报)
  2. 修复出现的相关漏洞(无论使用任何方法),保证业务系统正常运行
  3. 看看系统中自己能不能挖出其他漏洞

1

首次发起端口扫描的IP是

扫描端口通常包含SYN,所以看最先的SYN是哪个ip
alt text

1
192.168.37.3

2

审计流量和日志快速定位扫描次数最多的IP

统计中直接查看即可

1
192.168.37.3

3

审计流量和日志快速定位扫描次数第二的IP

同上

1
192.168.37.1

4

哪个IP使用了AWVS扫描器

直接搜索扫描特征Acunetix

1
192.168.37.1

5

还有个IP也使用了扫描器进行主机+WEB扫描,提交其扫描次数(以wireshark数量为主)

查看流量发现是192.168.37.100进行扫描,所以直接筛选ip.src==192.168.37.100&&ip.dst==192.168.37.2

alt text

1
4812

6

运维人员发现有IP进行了WEB登录爆破,提交其IP

筛选http.request.method==”POST”,看login.php

alt text

1
192.168.37.87

7

运维人员发现有IP进行了WEB登录爆破,提交其爆破次数

筛选http.request.method==”POST”&&ip.src==192.168.37.87&&ip.dst==192.168.37.2

alt text

1
106

8

运维发现数据库疑似被写入了垃圾用户(批量注册)请提交其IP

筛选http.request.method==”POST”,看register.php

alt text

1
192.168.37.177

9

运维发现数据库疑似被写入了垃圾用户(批量注册)请提交注册成功数量

流量包的时间是4月30号,所以看一下4月30号注册的用户

一共58个用户注册,并且用户名都是相似的

alt text

1
58

10

请提交攻击者登录成功admin用户的IP及密码,以&连接

查看登录前的最后一条登录包,得到密码和ip

alt text

1
192.168.37.200&zhoudi123

11

数据库疑似被脱库,你需要找到漏洞点,如漏洞文件

查看登陆后的操作,都是在/admin/settings.php中进行,因而该文件具有漏洞点

1
settings.php

12

找到攻击者获取医院数据(患者身份信息的数量)

查看返回包,包含查询的zhangsan内容,以及sql注入的结果

json格式化一下,共计12001条数据

或者直接打开远程桌面phpstudy的网站,患者管理能直接看到人数

1
12001