记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

$ T. k Q* y, [' _& H5 a1 R 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 . q( P3 E, b& `' o, X$ i

9 O/ `' x6 B/ Z- d, K3 P- ^ 众亦信安，中意你啊！
2 N1 n. o. F. P
1 M9 I' t5 I) @1 aingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 0 E3 p4 h. g% v' m

2 e% e2 p9 s# f, N+ O. A0 | ingFang SC,serif;">3 ]! }: Y6 e( E

+ j) Z I7 j6 h) d9 U- g
, [) z8 W+ `4 D& T |5 L 众亦信安 , J; `+ P( n2 c) F$ M) r
; U" l5 H7 m; k2 |
5 e& D( L |; ^3 R4 W 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ! T0 w8 z/ z* |. x# F
7 B1 x8 A0 F$ c8 h1 V6 G
' d) w, V1 g- V, w5 D4 r ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 6 ]$ K# ?' t8 ~4 _) F+ P
& |* R- j. T" F) g& x! O
" ]% _ t% L) [/ f 公众号ingFang SC,serif;"> m) D1 T( Y: E; d( o$ G* b. c
' x! @/ W: @2 Z0 a p0 j7 D [
; l* Z0 v- ^$ M- G' r! k7 I
# S2 ^. d$ S. O/ B2 B6 h8 Y
, c9 u z* _9 }1 N# k, x, M3 t : _$ Y3 g, T. Z5 O; H, x
' S5 ^9 O( _6 b* B9 w
点不了吃亏，点不了上当，设置星标，方能无恙！ ) P1 }8 n1 Y: X7 D& _) v
6 |+ ~/ A; B! L ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> + c! T9 H/ O% P6 Z) O. b
7 h2 R* B) B* z. V& M1 _! K
, x: o! t0 I4 n* Q5 l 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 C3 C9 D- k3 r' [; P
" Q0 L" A( S/ g7 r/ g( V! B
9 U+ O0 q2 x) M - s* P$ }9 s, h) w2 u$ D3 }
" \3 u" ]. \$ @3 ~1 y! X. U$ \+ [
6 L" l% Y1 p$ A# u# [+ S ! u4 E/ ^9 a4 V9 S3 y6 t
) }( z) v5 F# F9 k 无线or有线 9 T4 R, ?7 ^% o
9 D% x9 i3 v3 K; U 4 D2 l3 R; {* c' c& |
6 e7 P. z5 w$ g$ ?( h
) _8 P# ^0 h0 E! c9 I( k 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 * a2 F0 @9 Y$ N1 i+ p1 h" D
3 F6 k* A. K6 G G! Z+ |
8 w0 C% ^+ p5 P+ Q 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 & v+ V. z; m/ N6 b
' z0 T) _* T7 e7 S' N5 [
) \& Q6 F8 [ @$ r( s4 }8 V( l1 w . Q5 I" H4 e R0 a/ T" A; |
2 [, G1 I/ |3 K, j
" z+ K/ a! Q7 h/ E* d$ i$ h 1 C& h: i% T8 g# I( t8 X& p
# ~+ z/ N6 H. S$ \1 r
, t& Z G# _, o$ [, P% } 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ) t( L0 R' }7 T
+ E, y3 t9 {( l6 p0 P$ H! w
7 u8 B7 t. d/ v5 J1 m) q 1 g8 L7 \+ T9 }" i# X
) m# j/ X5 y2 i
0 d0 D& z# q) u 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） - H& b0 L; _. v+ }
0 s. n x8 ]& m T4 R6 d
' e/ r- s6 u5 `" M: ~ 1 k2 R4 E$ z L
+ x/ r0 v% l) z# T5 f
# P% D& ?$ e9 r! K, E9 }2 d 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 3 _8 D2 b" M. ~! J1 u7 G7 T
( y( N3 B( z( ^5 f/ C. J6 r
9 e- g5 W! E! [% \ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 0 \: Z0 u' w* G: m8 A
& i! o9 C! G/ D+ @9 a' F$ L4 {9 L
9 ? b: ? x$ h4 Y# v& Q# \ 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 # b" q6 m7 u, x. H5 v* J7 u: C+ M
" Q' Q$ P; y* ^ `9 Y$ |* Q: u
& [, i- p7 g, s. ?% M2 l3 b x& S* }# W7 G) f) h T& m; E
5 ^# O- T" P6 h1 b" v7 D% C 内网渗透 1 O1 f- L& q& M8 B: l, O: P3 d5 y
' H) E7 }1 P% L8 v5 [6 L 1 W5 A+ k; I- j- L4 o; j f
) f9 S( E: p- I" Q$ S , s E/ Z: z% m" H) d- r3 w
% n5 p* \$ c3 s. o/ @4 B j win下搭建cs和linux类似。 / ?4 v* Q% z6 c5 O6 ^9 P/ M
; y6 l( P9 @) `4 N& e4 A
4 I5 A/ H+ G7 \4 b; G* O( c
teamserver.bat + ip + 密码
' p9 K h' O* ~" |# L M
. f9 [' ?: J& t3 y, C
6 f' `( m+ H: P; @ . ?" o4 S, m/ o9 T) `
5 [- j( P* l; E% m( s% B
4 t+ l( t6 ~) E8 k# `( Z fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 2 T* N4 w' L }$ s- \: f; s
% |* T% c0 r+ f* B9 D. c, U' M( S" a
9 V, C$ v' k, I$ _ R2 g9 |7 w& I
1 j: S0 G1 R6 J. N+ [2 l8 H# y
( L/ M* P, |7 O8 {. c8 J & Z9 F3 k+ T9 E' n2 u! _' x- U' C ^
8 e2 b$ U1 O8 O0 V
! R1 i# l( }3 F% L1 j 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
( b! H6 m& k- ]6 _/ n
- _( r$ r6 f# P* x, g" ^ 5 i2 X. E! i# c- p1 o3 L! V u5 j
) ~# M0 n T( h! Y" c0 K
# i' u- J$ P* v% B6 E : }) P$ p& F0 C5 _# r! v
# m9 s: D! y: U( g4 |
' Q6 H9 U% e9 l fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ' b& |5 a) b2 P" A! G" Z5 w
! q; L. x! v7 ~; y4 Y' X$ z5 ]
, h+ v+ E0 [5 F5 h- c PACS系统 - x, b) G0 _" d" z3 s
% r: O; o+ Z( I7 G8 }. e& h& E
: @; r# o' d6 @$ q% S& G ; N' N7 w# b4 Q1 t# [
9 O g& D, g6 p a# _. E
+ D" O+ w+ u( j- R* v! A
+ e, {* B) j! g% s8 q3 A
' o( \5 m4 B0 @) P 9 ?* P. O. ~8 i
5 Y/ a) P+ k* r5 ^
% m" ?; C' R' C% c4 o, G HIS系统 ) B9 j6 l/ Q) o' j, q- J
2 z, z: n' [( g+ @* o6 A
, X# m& M) B0 B) _- F8 ] 3 u4 ~) w l% {! ]8 i
! o& p! W7 ?- `6 l8 f
$ {& A& g3 Y0 ~* `& e3 V 2 O. E0 L) J5 ]: F
" }" a1 G. H) |- [% i5 u
3 d2 C* z" q" G6 a9 y$ J: _ : j f# O" _( E
- T9 W7 q- m- t: I, r, K+ I8 g
+ \4 l. m$ F# U F4 F 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 0 V4 f5 I: U. i+ o6 H. \7 Z+ T2 Y
) _2 d: o* ~; t
2 v% i5 g* f. t% }8 L
0 r) m+ |6 q# j9 S( O, i
' x2 |" b9 o5 H( a& f 2 u8 Q4 A0 ~0 L$ ?
; Y4 L7 @! v% i% j. e L
" `/ ?, S& f. i& }! _* S; p 后话 ( h; ?5 n5 h) [# T
! o E/ ^" c5 ~
/ s* [8 ?+ _) i: c 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 / T, X. J* ^: g) G3 X
1 l" ~! Q. K# v/ }( k7 q, U
: N! O6 p. ?) G1 j7 m0 U2 T ' Q9 _# T8 g# a2 f
& {2 U# f$ u; ~ z : w* @! U6 F, ]; t
+ J/ o/ H* z: `! c7 F + b) P8 J0 d$ W, e B) [7 D8 s
' g( g. W( \, N A& @* b' t. f9 o 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 " i/ M+ r* Z9 b+ C
+ e& S, e( V1 s
% p+ r2 h8 E. `) ?2 V - F4 M/ D* q+ }; g
2 \, F8 ^, c/ R$ X5 o3 S