当前位置: 首页 > news >正文

20250518_信安一把梭_医院抓取流量

Tags:流量分析, 应急响应, 数据统计, 信安一把梭

0x00. 题目

医院脱库应急处理(医院抓取流量.pcapng)

  1. 首次发起端口扫描的IP

  2. 审计流量和日志快速定位扫描次数最多的IP

  3. 审计流量和日志快速定位扫描次数第二的IP

  4. 哪个IP使用了AWVS扫描器

  5. 还有个IP也使用了扫描器进行主机+WEB扫描,提交其扫描次数(以wireshark数量为主)

  6. 运维人员发现有IP进行了WEB登录爆破,提交其IP

  7. 运维人员发现有IP进行了WEB登录爆破,提交其爆破次数

  8. 运维发现数据库疑似被写入了垃圾用户(批量注册)请提交其IP

  9. 运维发现数据库疑似被写入了垃圾用户(批量注册)请提交注册成功数量

  10. 请提交攻击者登录成功admin用户的IP及密码,以&连接

  11. 数据库疑似被脱库,你需要找到漏洞点,如漏洞文件

  12. 找到攻击者获取医院数据(患者身份信息的数量)


附件路径:https://pan.baidu.com/s/1GyH7kitkMYywGC9YJeQLJA?pwd=Zmxh#list/path=/CTF附件

附件名称:20250518_信安一把梭_医院抓取流量.zip

0x01. WP

1. 1. 首次发起端口扫描的IP

一般扫描动作是通过TCP协议进行,过滤TCP协议后发现大量扫描流量,因此首个发起扫描的IP为192.168.37.3

image

2. 审计流量和日志快速定位扫描次数最多的IP

WEB扫描一般响应状态为404

使用http.response.code==404进行过滤统计

得到扫描最多的是192.168.37.3

image

3. 审计流量和日志快速定位扫描次数第二的IP

2192.168.37.1

4. 哪个IP使用了AWVS扫描器

分析所有http请求,查找关键字Acunetix找到扫描的IP,192.168.37.1

image

5. 还有个IP也使用了扫描器进行主机+WEB扫描,提交其扫描次数(以wireshark数量为主)

先排除之前查到的主机和服务器,查看还有哪台主机进行扫描

tcp.flags.syn == 1 && tcp.flags.ack == 0 && ip.addr != 192.168.37.3 && ip.addr != 192.168.37.1

发现扫描的主机为192.168.37.100

image

http && ip.addr == 192.168.37.100 && http.response.code == 404

筛选该主机发起的流量,发现的确存在大量爆破请求

image

筛选统计请求次数,4812

image

6. 运维人员发现有IP进行了WEB登录爆破,提交其IP

一般WEB爆破是针对登录页面进行

http contains "login.php" && http.request.method=="POST"

筛选过滤得到IP地址为192.168.37.87

image

7. 运维人员发现有IP进行了WEB登录爆破,提交其爆破次数

6,得到次数为106

8. 运维发现数据库疑似被写入了垃圾用户(批量注册)请提交其IP

筛选对注册路径进行访问的流量并进行统计

http.response_for.uri == "http://192.168.37.2:8080/register.php"

发现请求数量较多的IP为192.168.37.177

image

9. 运维发现数据库疑似被写入了垃圾用户(批量注册)请提交注册成功数量

在原有的过滤条件上增加注册成功的关键字

(http.response_for.uri == "http://192.168.37.2:8080/register.php") && ip.dst == 192.168.37.177 && http contains "注册成功"

得到最终数量为57

image

10. 请提交攻击者登录成功admin用户的IP及密码,以&连接

筛选请求内容包含admin的登录响应

(http contains "admin") && (http.response_for.uri == "http://192.168.37.2:8080/login.php")

得到登录IP和密码为192.168.37.200&zhoudi123

image

11. 数据库疑似被脱库,你需要找到漏洞点,如漏洞文件

筛选HTTP请求,发现较大长度的响应包,所以漏洞文件为settings.php

image

12. 找到攻击者获取医院数据(患者身份信息的数量)

找到脱库的请求

image

针对响应包筛选分割关键词ookxuq,得到获取数据数量为12001

image

image

http://www.hskmm.com/?act=detail&tid=13429

相关文章:

  • tsx 图论选讲
  • OTP绕过漏洞:当后端过度信任前端时的安全灾难
  • 2MHz 8-bit 微控制器 with 64 Pins,M38049FFLKP ADR5040ARTZ TMS320F28062PZT K4AAG165WA-BCTD存储器
  • 实用指南:【Kubernetes】(六)Service
  • 校u圈校园外卖众包任务课表交友CPS社区:一站式校园生态服务系统
  • .NET Polly 全面指南:从5W2H维度深度解析
  • 撒钱岛小游戏管理系统:私域流量变现新选择,趣味与收益双赢
  • Day19构造器详解
  • 多商户的在线客服系统,直接在小程序的商家中嵌入我们的商家聊天链接
  • 【院士报告|EI检索稳定|大连理工大学主办】第四届能源与动力工程国际学术会议(EPE 2025)
  • 多客云 Ai 短视频批量剪辑矩阵系统:高效创作与智能管理的一体化解决方案
  • [ABC077D] Small Multiple 同余最短路
  • 20250509_信安一把梭_黑客
  • c# 保存文件 - 先保存到临时文件,保存成功后修改文件名
  • 达芬奇标记测量线文字标题动画预设(Tracked Measuring Lines)使用指南
  • 20250427_信安一把梭_No11
  • 运营商数据分类分级:最佳实践、典型案例与智能化方案
  • AT_abc413_g [ABC413G] Big Banned Grid
  • .NET性能优化-使用RecyclableBuffer取代RecyclableMemoryStream
  • css样式:button边框贪吃蛇加载效果
  • 什么是NIC(网络接口卡)?
  • 汽车行业相关技术及其分类
  • 视频剪辑效率翻倍!CyberLink PowerDirector 从入门到专业的全能解决方案
  • 20250415_信安一把梭_encode
  • 日常练习另一部分
  • 每天一个安卓测试开发小知识之 (六)---常用的adb 命令第四期
  • SAP-ABAP中STOP,EXIT,CHECK,RETURN,CONTINUE,LEAVE,REJECT的区别
  • Linux开机启动进入紧急模式emergency mode的解决方法 - 规格严格
  • Arduino ide 软件 不建议大家使用 缺点多多
  • 视频融合平台EasyCVR国标GB28181视频诊断功能详解与实践