$ T. k Q* y, [' _& H5 a1 R
声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 . q( P3 E, b& `' o, X$ i
# z# q$ G9 L* H+ K3 l9 t
9 O/ `' x6 B/ Z- d, K3 P- ^ 众亦信安,中意你啊! 2 N1 n. o. F. P
1 M9 I' t5 I) @1 aingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 0 E3 p4 h. g% v' m
M2 a _. B# V7 a7 Z2 \
2 e% e2 p9 s# f, N+ O. A0 | ingFang SC,serif;">3 ]! }: Y6 e( E
! x* D0 Z; |8 d' m+ Z5 G4 U
+ j) Z I7 j6 h) d9 U- g
, [) z8 W+ `4 D& T |5 L 众亦信安
, J; `+ P( n2 c) F$ M) r ; U" l5 H7 m; k2 |
5 e& D( L |; ^3 R4 W
红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ! T0 w8 z/ z* |. x# F
7 B1 x8 A0 F$ c8 h1 V6 G' d) w, V1 g- V, w5 D4 r
ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 6 ]$ K# ?' t8 ~4 _) F+ P
& |* R- j. T" F) g& x! O
" ]% _ t% L) [/ f 公众号ingFang SC,serif;"> m) D1 T( Y: E; d( o$ G* b. c
' x! @/ W: @2 Z0 a p0 j7 D [
; l* Z0 v- ^$ M- G' r! k7 I # S2 ^. d$ S. O/ B2 B6 h8 Y
, c9 u z* _9 }1 N# k, x, M3 t
: _$ Y3 g, T. Z5 O; H, x
' S5 ^9 O( _6 b* B9 w
点不了吃亏,点不了上当,设置星标,方能无恙!
) P1 }8 n1 Y: X7 D& _) v6 |+ ~/ A; B! L
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
+ c! T9 H/ O% P6 Z) O. b7 h2 R* B) B* z. V& M1 _! K
, x: o! t0 I4 n* Q5 l
背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。
C3 C9 D- k3 r' [; P
" Q0 L" A( S/ g7 r/ g( V! B9 U+ O0 q2 x) M
- s* P$ }9 s, h) w2 u$ D3 }
" \3 u" ]. \$ @3 ~1 y! X. U$ \+ [6 L" l% Y1 p$ A# u# [+ S
! u4 E/ ^9 a4 V9 S3 y6 t
) }( z) v5 F# F9 k 无线or有线
9 T4 R, ?7 ^% o 9 D% x9 i3 v3 K; U
4 D2 l3 R; {* c' c& |
# }8 J( ]; Q! ^7 _( A1 e; ~# m# p- `; [( N
6 e7 P. z5 w$ g$ ?( h) _8 P# ^0 h0 E! c9 I( k
大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。
* a2 F0 @9 Y$ N1 i+ p1 h" D 3 F6 k* A. K6 G G! Z+ |
8 w0 C% ^+ p5 P+ Q 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。
& v+ V. z; m/ N6 b
' z0 T) _* T7 e7 S' N5 [) \& Q6 F8 [ @$ r( s4 }8 V( l1 w
. Q5 I" H4 e R0 a/ T" A; |
2 [, G1 I/ |3 K, j
" z+ K/ a! Q7 h/ E* d$ i$ h
1 C& h: i% T8 g# I( t8 X& p
# ~+ z/ N6 H. S$ \1 r, t& Z G# _, o$ [, P% }
这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 ) t( L0 R' }7 T
+ E, y3 t9 {( l6 p0 P$ H! w7 u8 B7 t. d/ v5 J1 m) q
1 g8 L7 \+ T9 }" i# X
) m# j/ X5 y2 i
0 d0 D& z# q) u
很快啊,美团下个单,没得网线啥也不能干啊。(血亏21) - H& b0 L; _. v+ }
0 s. n x8 ]& m T4 R6 d
' e/ r- s6 u5 `" M: ~
1 k2 R4 E$ z L
+ x/ r0 v% l) z# T5 f# P% D& ?$ e9 r! K, E9 }2 d
插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 3 _8 D2 b" M. ~! J1 u7 G7 T
( y( N3 B( z( ^5 f/ C. J6 r
9 e- g5 W! E! [% \ 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 0 \: Z0 u' w* G: m8 A
& i! o9 C! G/ D+ @9 a' F$ L4 {9 L
9 ? b: ? x$ h4 Y# v& Q# \ 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。 # b" q6 m7 u, x. H5 v* J7 u: C+ M
" Q' Q$ P; y* ^ `9 Y$ |* Q: u
& [, i- p7 g, s. ?% M2 l3 b x& S* }# W7 G) f) h T& m; E
5 ^# O- T" P6 h1 b" v7 D% C 内网渗透
1 O1 f- L& q& M8 B: l, O: P3 d5 y ' H) E7 }1 P% L8 v5 [6 L
1 W5 A+ k; I- j- L4 o; j f
) f9 S( E: p- I" Q$ S
, s E/ Z: z% m" H) d- r3 w
% n5 p* \$ c3 s. o/ @4 B j win下搭建cs和linux类似。 / ?4 v* Q% z6 c5 O6 ^9 P/ M
; y6 l( P9 @) `4 N& e4 A4 I5 A/ H+ G7 \4 b; G* O( c
teamserver.bat + ip + 密码 ' p9 K h' O* ~" |# L M
. f9 [' ?: J& t3 y, C6 f' `( m+ H: P; @
. ?" o4 S, m/ o9 T) `
5 [- j( P* l; E% m( s% B
4 t+ l( t6 ~) E8 k# `( Z
fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的)
2 T* N4 w' L }$ s- \: f; s
% |* T% c0 r+ f* B9 D. c, U' M( S" a
9 V, C$ v' k, I$ _
R2 g9 |7 w& I
1 j: S0 G1 R6 J. N+ [2 l8 H# y( L/ M* P, |7 O8 {. c8 J
& Z9 F3 k+ T9 E' n2 u! _' x- U' C ^
8 e2 b$ U1 O8 O0 V
! R1 i# l( }3 F% L1 j
通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
( b! H6 m& k- ]6 _/ n
- _( r$ r6 f# P* x, g" ^
5 i2 X. E! i# c- p1 o3 L! V u5 j
) ~# M0 n T( h! Y" c0 K# i' u- J$ P* v% B6 E
: }) P$ p& F0 C5 _# r! v
# m9 s: D! y: U( g4 |
' Q6 H9 U% e9 l
fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。
' b& |5 a) b2 P" A! G" Z5 w ! q; L. x! v7 ~; y4 Y' X$ z5 ]
, h+ v+ E0 [5 F5 h- c PACS系统 - x, b) G0 _" d" z3 s
% r: O; o+ Z( I7 G8 }. e& h& E
: @; r# o' d6 @$ q% S& G
; N' N7 w# b4 Q1 t# [
9 O g& D, g6 p a# _. E+ D" O+ w+ u( j- R* v! A
+ e, {* B) j! g% s8 q3 A
' o( \5 m4 B0 @) P
9 ?* P. O. ~8 i
5 Y/ a) P+ k* r5 ^
% m" ?; C' R' C% c4 o, G HIS系统
) B9 j6 l/ Q) o' j, q- J 2 z, z: n' [( g+ @* o6 A
, X# m& M) B0 B) _- F8 ]
3 u4 ~) w l% {! ]8 i ! o& p! W7 ?- `6 l8 f
$ {& A& g3 Y0 ~* `& e3 V 2 O. E0 L) J5 ]: F
" }" a1 G. H) |- [% i5 u
3 d2 C* z" q" G6 a9 y$ J: _
: j f# O" _( E - T9 W7 q- m- t: I, r, K+ I8 g
+ \4 l. m$ F# U F4 F
还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 0 V4 f5 I: U. i+ o6 H. \7 Z+ T2 Y
) _2 d: o* ~; t2 v% i5 g* f. t% }8 L
0 r) m+ |6 q# j9 S( O, i
' x2 |" b9 o5 H( a& f
2 u8 Q4 A0 ~0 L$ ? ; Y4 L7 @! v% i% j. e L
" `/ ?, S& f. i& }! _* S; p
后话
( h; ?5 n5 h) [# T ! o E/ ^" c5 ~
/ s* [8 ?+ _) i: c 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。
/ T, X. J* ^: g) G3 X 1 l" ~! Q. K# v/ }( k7 q, U
: N! O6 p. ?) G1 j7 m0 U2 T ' Q9 _# T8 g# a2 f
& {2 U# f$ u; ~ z
: w* @! U6 F, ]; t
+ J/ o/ H* z: `! c7 F
+ b) P8 J0 d$ W, e B) [7 D8 s
' g( g. W( \, N A& @* b' t. f9 o 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 " i/ M+ r* Z9 b+ C
+ e& S, e( V1 s
% p+ r2 h8 E. `) ?2 V
- F4 M/ D* q+ }; g
2 \, F8 ^, c/ R$ X5 o3 S
|