中国网络渗透测试联盟

标题: 记一次某医院渗透(近源) [打印本页]
作者: admin    时间: 2024-3-1 20:15
标题: 记一次某医院渗透(近源)

8 T, z+ @/ P/ y- E: N8 @9 M. { 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 : u9 D( p0 A; \9 ~

$ Z" }; C! F* d/ O' h

( v* l3 h" q9 p% W* r: S( b0 \ 众亦信安,中意你啊!
1 N: a! C- o* A+ ?9 N1 y7 D
0 o* I; Z' {) \# H1 y$ t' OingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 9 ], S1 U& f$ [$ L: ~

7 w# G+ X' [: e" C1 q. b

# f1 [6 a* w& Z$ _9 u" l, q& s2 ? ingFang SC,serif;"> # T* @5 j$ x5 B

1 [6 ?. G7 w) a0 B6 N
6 A6 ^" [$ \2 v, @

" H' ~8 X* p8 o, x2 w+ p) c/ n 众亦信安 + f/ V% A& @) ^! |6 {9 p* X

) `: O& W' x) j! u1 ~

7 U: x0 v0 R, ^% V 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> $ g. g; P; Q$ X( ]4 Z

j4 r* W- T7 x* i8 m

- I! `. B, I/ D$ }1 |$ P ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 6 k! F% h5 @( u# U

* r* ?6 p6 H6 x2 _# h0 e1 g

" f4 Z. Z E( l1 H! ~4 q 公众号ingFang SC,serif;"> 0 v) k! ~' k" j9 _

% `) v- x$ z0 A! n+ [1 S

& a2 I1 f/ Q' _, z) d# n' h
& Q+ ]$ p- D& z" J1 g& [, ~
@/ H q0 o# m1 l1 z( T4 \* z5 n- C

% t3 A3 P1 f4 l7 t- H; _* ~
点不了吃亏,点不了上当,设置星标,方能无恙! - T, k% F$ Q/ s

1 _$ t) S4 F* @2 Z! k ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  4 `& t' }8 W! \3 v+ A5 v

z5 k9 @. O* q7 r$ S! R

( I; W4 \% T% c 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 2 d# L4 Z# \5 a9 S- O

, ~0 ^- J& D% f6 `

. e: X( Y3 k6 V! k+ G' j   # U; N. b0 ^5 C+ G2 _

8 w, O0 f2 s5 @/ N7 U# C
P# c7 y7 W+ M- ?. U ( y0 M5 b( B; F2 y; Z

2 {( a2 W8 y- }9 y' P 无线or有线3 l' H% @! c) w( ^8 k) X* [8 a

+ H0 K j, H$ A7 G7 e5 r4 P. b 3 B& F, m, v# }+ A9 W1 n$ w
+ v2 X, ]( d4 B( J % G% |) m% v% ^1 S# o5 [

0 |' n2 G( k' P& h 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 + o3 _4 K- p7 R3 j: `

" B) F: h/ c0 i0 @, Y* B

7 U+ v2 x: G) r( ] 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 1 v* o+ a5 t* \

, F& R- ^; X2 {3 F# E8 W" d

5 F8 M8 |! R5 i. C3 Z vshapes= ) \: O4 n) O7 V- J% v

* S& K9 d; s- M; G) B

7 t- f2 e6 o. P0 j vshapes= ' R* | v9 d9 a

3 e2 p" R: l7 p: B- A

' j6 G1 C+ G0 u3 b7 \ 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 , U# n, U8 s1 [# k

2 R3 ~/ u) z5 Y

. X: J& K; \+ g# ? e8 F vshapes= 0 z1 c1 P; B- L( \# @7 s

( {" L) [, y( z& E3 I6 v5 _2 V

% n+ Z2 p# X+ p) J }: K \7 } 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 . S$ M' i5 S C1 x* N% a

: b" o; M$ G2 \) w8 ]9 T# G; Z

- c& b& G- w9 g( z2 `6 f vshapes= " u y* a6 L1 S0 @% @ b1 J2 N

, f0 S! y, E. B. j

' b5 b0 h m2 z- V 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 % T1 c, v7 c' B/ k6 S, f. a# F

s8 P( G! n9 t: G; q6 y: @

9 `3 z% }9 G y! Z6 S9 j4 z 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= ( }, u" R7 h1 \2 I" {4 @

' G$ Z; y* r4 [! j5 y. b

' B8 {5 O% I) k% A 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) ' m. w2 a+ ]- c) T% n9 ^

, u7 }7 E9 C- J( s6 `; g: P$ X
, @3 l: A+ H8 b2 D4 ]5 R 1 v. @; G" C% V7 h

( I* q1 T- @& q' s% c2 y( x+ | 内网渗透 + J# i* |+ h' Y

/ I+ x! l, ~# s. ?7 ~6 ]- N" _/ h 4 j; C6 W$ u. E" @) D9 A" U
8 v3 T/ k9 e9 ?5 C0 G7 _ 4 F3 m. l" x" H- T, I' Z" Z

- O0 S" y9 }, B win下搭建cslinux类似。 5 A$ t) c' d; u0 K9 R4 R$ _( t# [' Y' M

2 C- o9 `0 C$ d {& p! I
+ N% R4 Z: @3 y2 r; k. X7 _
teamserver.bat + ip + 密码
/ v8 y# N/ E6 F9 l! y
/ T& j; ?) \/ r/ t

* c3 E6 S/ \; R% v: ?' W vshapes= 7 U$ b8 ]" f& S0 d. D2 [

" K* V1 V2 d* `" H

8 U' n+ S3 Z5 y6 r; u |7 X fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) 1 T0 T! L; L# V0 i2 Z+ Q" F4 ~

: H) L' Q: t+ W+ U( {1 z

! T, v. q4 g4 \2 M6 H/ v. L. V! x; t1 L vshapes= 3 {6 v5 C9 J# b0 ?, C& N% E ^& X) C

' J/ e9 c" q0 n% j0 }% d2 B/ q, B

/ z; K1 v' d4 f5 Y8 o vshapes= / u" s5 @0 c: J" K" d# b+ }7 q

8 f* \3 v; y4 z6 v) s/ j

1 ~3 x) A0 f( T5 w8 P 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
/ p9 O: L0 o; Y
" @ L0 F9 I' }9 k, P+ O2 s6 Q$ l8 J4 O [9 |

- N% K% g. n& n# v

% x5 O; R- G- {6 I* v( U4 p vshapes= 0 f4 K5 z' p2 b4 |! _

3 v$ v1 G6 |, H/ y2 G

& v0 b5 `* A6 W }" j5 r fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 2 ?# h! y! \- b0 z) y* {

7 _+ C* C/ x7 ]9 s2 w

! v c" h9 i+ s. i PACS系统 5 y! v; t+ ~% X1 E- H# P

( W z, G$ ?% @" u7 |9 w% P

3 K6 r [. V( w8 q: R6 i5 R vshapes= 1 l/ d; J0 G5 [8 C

) R, z/ R8 N! z) t

1 x9 J- S; n/ s( [( S vshapes=
* _: T/ U1 m2 ~
# ^2 m* }' b# u( d; n4 } 3 \7 v4 [2 x4 t9 I9 v( S

; X! N: D: B' L; \7 m" B1 N: L

$ E7 E, s7 X, Y( C/ I HIS系统 $ y3 a2 P4 ^$ f; w: B

: |2 _1 q8 b$ h( t

* w5 ^0 b* ~; Q vshapes= + A6 X2 ~9 G& p- D9 K

+ K" i" y# Y* w8 c: S) I6 X# i# S. K! g

4 ^. ^/ q* {; r# f5 {   4 T, n) q& N) H

2 X9 Z* X- W; Z: O/ T( w

! R0 T2 `* R" v5 _ vshapes= : x: Q, L' E& i5 \

# J+ ]0 O5 D' b% W1 y; p

' l, k2 t& v! |$ \4 d" p* r6 k# T9 Z 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 . q i: q3 M' ?- q3 a/ S8 n

4 q+ L/ R, e+ z0 v- [

& ]* w: k7 r- Y! y y8 N
- y- v4 ?% _5 S$ t1 h! H
" t( ~' c, p$ G. ^ 0 @. T; a) {$ B* A# g# a" O5 z9 e% \4 d

5 f! G; H4 q6 k5 t" b, K

# P* t8 B" L' ]$ D) [4 h 后话 7 V2 Q5 ~* C1 @2 Z: {4 ^! g

! s& ?$ |3 _% B5 U# ?% s

. A% S* `5 j$ @- R 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 ; w' D, E: y( \2 V# @% Z

0 W! h1 W: \+ [' E" U
/ ?$ ?$ u3 F& K$ f' L) @* S r 7 ^; }: Q. ]3 e S6 D9 L* x$ O2 G
& D/ r: K y9 r. b! I( q* ]; X 6 f# t2 I$ g* A! b3 P/ E- C4 a
0 ]' d# N+ t) G! G 9 [# A2 n( G5 y l4 U' M

/ A6 `) c1 F* H4 d# ]0 _/ s 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 7 s6 F5 z% J, O* I e

) v ~' W+ q1 b

) P. f& S" q: ]   7 h; G. E( C+ g- Y, p# u

" g$ `# b1 h5 p8 t/ \; a0 _1 J7 x




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2