记一次某医院渗透（近源） - 中国网络渗透测试联盟

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！
$ ?! `% F$ L& b# I) D; H2 g- P5 T$ \
# O: |' t. `! L+ L( ^; o9 y- PingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">

6 ^+ {! D% K/ m- B C/ W
/ N. H/ S5 e& U+ s6 G7 ^# q 众亦信安 ( }6 w' Z% Y2 a# a
5 R- z" @5 S& A+ W v9 }9 h5 O
# K# j* H: Q5 D, w( N/ z' f8 _8 U6 K 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> , u7 H- ^, X z9 s
! B* [2 g0 {/ F! v
" i- o3 ~' `6 W; K& y, _ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> i N" Z) q. {3 W5 a6 l8 w' Q
; D9 I& ?4 m5 ?2 k' n& `
9 W( D" a" G, k& k0 n9 U0 P 公众号ingFang SC,serif;"> & ?' _, C; f' u! O4 Y6 X+ b
6 _6 d/ q) D- E" d8 H* P3 U9 h/ r
! s+ k( d# z- T. b
; l7 F- X7 @! ^5 c0 p
0 t1 W! ~+ y/ z7 m 6 e; S; K, g6 M6 w; D$ c2 i
) b. |. `2 v8 m* Q+ i! {! m* r
点不了吃亏，点不了上当，设置星标，方能无恙！ 8 ?" i- [0 {6 c5 R0 [' V. ?0 b# f
% a. {2 |" H& i+ F- v5 f6 _ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 U4 v" r8 z: b7 A
! M# K6 [: w" G% l& L) a1 Q
( g. E+ J) ?" R: {' g w 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ) m( \: r) J/ |9 H6 h& R" q7 Q
* P) \$ [5 f0 I9 S
1 d: \. L o) u. i/ ~ / }" J- @4 p: T9 t8 _0 T$ s
' O: r+ z; R D: J$ R c8 T2 H
6 ?8 ^2 F4 D3 U2 w # |$ k4 Z7 s& C# A
) S: S* B0 ~6 Q* _ 无线or有线/ a8 N, I3 V W
7 i; I3 Q: j9 n; h* B3 I 4 D: B& x; W/ [$ d9 C9 Z8 ^
: L' v2 d) u8 s0 ] / g1 d {* U7 b8 O" H, |
/ l8 ?' K3 C- \7 s- y. L 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 3 N" U3 U- y1 X
5 V% q/ i+ A7 F: f* U
8 P# Y9 M0 S; N/ h# @1 B8 p$ _: y 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 2 C$ m _0 \. @
( G- [! N5 v; c' n
6 ?3 M- L8 E3 O( | R1 X2 e - f4 S' T% D5 P0 J! p
2 ?3 c0 x" I) X
?0 H# U) f4 r" l* S! M2 i- ?- ] 4 t, [" ^; i6 ]' F6 Z( @
& O- `" }- R3 z+ x( [
% j. K1 t0 G" q7 T$ X- K# ] 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 " v4 E- q, u4 v& _. h/ T# U
: K3 w" D6 Y! D" p9 t5 r& }
9 U/ j2 e" H1 B' t& d5 b ) h. u B" n8 D+ m* T! {
0 R) S# U" ^( G* \! w$ V! G
9 e/ v2 o! Y- s3 `) X3 Z 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） " [) I( j0 c: e$ k) k" N3 P
2 z# g- G8 q B9 m0 E0 _8 Q
. s5 C5 Z) D6 t H6 m1 o v5 d" P" X I1 J
; L& d# X9 z% \7 p
9 t. C5 z7 F- R* W: L; A& \- `; a 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 : e' _" ~, ]$ L) r% A8 [
" S# j/ y' h/ d/ d0 z' a* Z3 ]
' P( z, P/ O0 c, _/ Q! e0 G8 R 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 / P2 s6 S u; ~$ V; y: n
- T1 c0 }7 P) W( U; d! ~$ R
% }5 }, ~% L: b" U8 u 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 % N+ Y) V) c: t' v' ?
9 e" E" i: c' B, y
% A, m1 X: E+ \' r: u/ V* C 8 i( ~; d" b, N
: R0 G8 ]5 I5 Z1 w6 x9 y 内网渗透; D6 ~4 I" h9 j0 B1 q
, ^3 f6 j, O" E7 F; D* e 7 r! q2 K( F& F2 h$ {* ` a
0 y! z6 o1 U) e 7 _6 ?5 n; t2 g q; {$ U @
, Z. Z" y8 g5 D1 k5 B win下搭建cs和linux类似。 ( ^1 p* {3 A3 d1 ?$ O z6 H
, H) }# Y6 ^/ P0 a E6 x
/ A% {6 B3 Y `8 L5 ?4 K3 A
teamserver.bat + ip + 密码
8 f7 T5 W# i4 m
# N8 ~1 d: w: s6 d( l9 Q
, F+ V" W- ?9 q) E F7 P7 m / L" v, p" A. c. V- W
* c+ K) C7 N: X- P8 ]! C; ^- p. f) m
2 D( m" Q4 G" x7 u$ |; z fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ( e& m- w$ \% \ t! E
3 i( o! g4 F$ L7 H3 s" }! b/ B
! K8 n& w/ B* o+ o9 d ; {- _8 j: s8 z0 U, p
4 S1 @3 K8 c/ k6 J' T1 O! E8 }8 K: m% P x
) g$ z3 T+ m. @( M+ `# O & r4 W4 ~( K* ^# C `% K
% G7 j' M. J% m. R* ^: `
7 g* W) O8 j! g! {5 H3 |) d) G. p$ e 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
& W3 N% n1 s% Q: `$ p
% O# C9 i+ E0 L) M" G" M ! c. @% m4 K, {
6 m" W# x3 s1 H) E
9 Q! L, l+ e, B0 Q7 m! q 7 L8 q0 B3 {/ ~" o9 Z
" N+ o4 d! ]" @+ C7 x
% u$ q) ^$ l- v% E2 q7 C fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 + ]1 v# b; {; J" x/ k! v2 n. r
# \. ^4 ~1 a0 ^ ~6 ]- o* k, z
1 P( O% L) o6 F PACS系统 2 q Z8 Y ^; @- j$ ~
# ^; X; k) _0 h! C
1 r# b- T; }- u* ]3 t& n * d0 G& R/ J0 z; R w8 ]
8 J: G$ J$ t; X1 R
* O3 K+ v" a2 v; U3 M
2 a4 W' y' c- U: z9 s
" ~8 s5 @6 S/ D1 l, {3 P s% ] ' s# j; I9 d% r2 a
( R' [# G O! m; M3 V9 @
5 H0 c) I4 q! Y HIS系统 ' `' F0 W( a; l8 S0 M: j! m6 U6 Z
; l; l, u* ^2 [0 u2 V
/ E, T4 v7 E' k* v9 T 5 r, Y5 @* C) d+ y0 A
5 I5 w0 ^+ Q- y# {
* _9 g% Q- w$ o; U# H4 _1 F" m 4 y) A: i$ B Q/ d# g* r( y
5 j6 j5 M" _, S& |8 e8 U2 I
, p9 ]. y9 C' [, T3 J 5 W+ ]+ D) A" P6 X5 d# k3 J) x. F, _
) ?4 f5 l0 j7 J
# K) d5 i6 u. m; {+ X 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 / c/ K9 k% S1 \
; r3 P, K1 J* P( @$ F9 j
7 O: h" z- R$ |" v R' S
1 z4 s- L- f! @, K+ ?: o+ H, _# [
' [+ R2 a8 [( O " }% a3 J# H7 z8 G0 i0 a
( F) X* y" u0 y2 |& o/ ~2 ~
4 H1 u, J; R' B& F4 k9 P- P, {" P 后话 - v7 t1 G+ q, ^! w$ H4 y5 V* @
6 ~1 c) R$ b) G- U
% u i$ n5 a$ ^6 N 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 7 Q" l% K2 x+ l
: J* ?6 z4 D* W# \" F6 I7 f
" K& D+ [# @4 L/ s - f: V! T5 f6 e6 F6 A- h7 w
3 l! `+ F* _8 N, ?$ [5 _ 7 [) n; K3 L% K. F
% G8 F" |& d5 j0 m , l; ?9 n' z9 n2 S8 c
7 @7 F2 I- s7 M3 X; J 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 1 a5 T4 R! d( @4 O
5 a! o4 k3 I/ `' j5 p7 q6 _1 v
7 }; k/ h. v- m' u$ ~# ^! f7 w ' i& c8 x$ V/ \* ^% \
! ]% a' E+ F; [1 V. J3 l/ a" @

中国网络渗透测试联盟

) S: S* B0 ~6 Q* _ 无线or有线/ a8 N, I3 V W

: R0 G8 ]5 I5 Z1 w6 x9 y 内网渗透; D6 ~4 I" h9 j0 B1 q