记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

( B1 {; g2 Y; X+ A& D$ }( s5 \/ k) \ 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 $ ^0 ^* U" k, F4 m! v+ V* L0 ~7 S

- d! P( a9 O' R' N. I- L 众亦信安，中意你啊！
v# K f/ U# ^5 M& B5 M
7 Y3 ~: E7 `5 E+ N# h% singFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ' `; u, k) l2 k9 r# A( @

: ~9 u' }# [8 Q: c" F! m ingFang SC,serif;"> 8 e! x5 H0 \$ x- Z5 r( E) B. R

' o5 D$ p6 S9 }' R
. K, G# \) Z/ O6 h: S! v0 Y% V 众亦信安 0 L) p' l% }. ?7 g/ m7 Q
$ ]0 ~" T# O9 d& U3 R+ v
?. \8 l0 V. }' T; K4 Z 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 4 M1 U% m; g/ D* r. o
6 |8 Z- N7 C3 W( n" n$ M, v! j
z. @( C, h) N2 ?6 ~( ^ o& s ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 9 B3 R1 E' g, ?
$ Q0 Z8 ^9 `$ D7 Z& [. ~* t% Y
2 B# c6 D; `4 i5 E8 T' \0 ? 公众号ingFang SC,serif;"> 1 e1 k) E6 D5 P" Q
5 o2 O% l/ }$ t& m
' m* W+ {3 M6 |9 B5 P
. ~; `' D, T" P
% V, }4 j2 e s$ Y/ c ~, P3 t0 q
- D' U& ^) u9 ~% D" ^6 o) Y
点不了吃亏，点不了上当，设置星标，方能无恙！ T# a. K8 h! Q0 l1 O
# p% C# ?" ^6 r6 e, o ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> x0 x/ S7 w' I( P7 f, w8 `, ?& Q
+ ]7 o% ] N3 O% l7 _& h7 u- ]* W
& L+ u# ^3 R+ c6 t 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 * p8 s, U7 k+ g8 n' s
. i7 D/ b; u z3 _; s# G: {# h
/ G* C+ r+ V1 p, z6 K # r( j1 _9 j; ~2 C
E2 d7 i# w) H3 D) c& [2 a
& {0 C- P: c+ q/ ~# J Y4 P: S2 U 5 ]8 K8 @; i4 T) Y
, i) A' l! l& X3 d 无线or有线* y0 U& U( F5 D* [- g, g" L" J
( k- D+ Q: G9 c& q ' T9 q, b7 a1 ^
/ N C% X5 i7 F : p4 z* \, ]! s+ O+ Y0 _: _ q
! f, l1 U' w" j% L% @" @" b 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 # l* }2 X8 q2 C( g6 I4 i/ {) Q
& |( M2 o1 h4 g4 K, t
+ r% j( O+ W) w; E 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 1 o" d( _3 D/ k% G2 m9 d
3 R& l- x: s- r" C
$ y8 w& h# y0 f. ?& x, h K% m# J0 L( R6 o( ]
2 L5 p- b+ B% A+ \$ O; `4 p
& B7 q4 k/ J: ]! c' A " {% \, H9 l% m/ Y( V
/ h5 F: L s6 t6 p! {
0 e; X9 J% G- [1 D- X x& g/ ?4 F 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 * e( Q: S4 ?) n% b9 B" `. i9 k% N, O
5 \, g" g' r! v p- K+ q
, t+ O7 d( U3 X9 g3 e( \ f3 t . W8 Z* R$ |" H. c6 T! w' D7 J
1 o. C% {# _1 ]" K+ Q
% D) f! ]+ H+ z0 t 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 8 U4 \- _2 a g- X# i# X
% M5 u0 G( l2 j% b
* v4 c1 T! N* w ( u! h" O: P; V
+ U# M/ s- Y( B# k" h
7 r5 X6 v7 A- q% T1 W6 Q 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 " w o; |8 e2 I
3 V% m+ t' V" C
6 C& [9 O; X" ~4 g, x2 a& q 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 , c4 f) ^% h1 x- k- B g; q
5 B3 j! M( ~7 p# g/ @" {
4 z: o. J. b, d0 u! G6 c$ h4 z 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 F) t" l. V) n. c1 \2 t! Y
" }2 }6 a5 z3 i) O& k
2 ?! D6 c/ h7 b. F" q9 Q3 H* Y 8 c" ^5 M& c/ Y9 s0 c
" [$ r! z& m4 j0 P" @+ H 内网渗透 J! s; m/ c# |
5 A4 b5 \# n2 f, e" Y $ R( a& D) |7 w% l
* N# L' l3 K9 D" {$ @ : G) u1 h y1 l* t
1 R0 {# q2 g g, z; s win下搭建cs和linux类似。 + V. Q1 D8 G3 L1 K- n" e& p
, G6 x4 J7 q2 Z% f: M* m o/ P
6 \5 s; N# t8 l
teamserver.bat + ip + 密码
. V4 ]- F2 I) Q$ K
9 D2 |3 |4 y+ D; F/ T/ c
' S( s4 `1 T- a: V: f% X% | . Z3 i1 [1 ]2 H/ M+ u2 e% O
! B, `' D5 b2 V; k# M o5 T/ r4 U
6 I* d1 z0 g- Q; v) T1 L0 f& k fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） }5 i8 B# A8 i h2 ~( q$ `
7 e! G% c1 X# M, R+ J
# o* D7 M5 f% d! _6 e. w $ [3 y2 [3 f, p/ A' c/ E" X
$ y# b" w8 @7 P& J8 k! w
4 H4 C# F, y9 K# ] - y% J) R; c) t% u8 K% E. Y" ^
0 d4 i1 [/ j) K
3 o+ R* y) O- \! z 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
/ Z0 g1 y6 n; ?9 H- k) U2 F9 k
) n) K! s, S- M" c0 P. ^1 y- j. v& L D2 R9 l, I# |+ @
$ ]1 D5 x4 K9 S
, e, H% g% ^: R/ _8 n$ ] 9 D$ A" e8 p5 Q( H
4 q; Y n- U! U
7 E6 I c8 [# f; ~- d1 T8 G fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 B3 u$ u1 q# c6 b4 a
# q) J' V5 u# Y" {" W* Q9 ]# H
! ]7 K6 L1 K+ d# G! v- O" H PACS系统 8 z1 J( D8 u5 H* `3 u: T, M! q
* [+ ~0 A+ c e n) A& V/ n- f
7 B- D. |2 f' `) S) U4 L2 @5 d( M 5 u0 |6 T& M7 h! ~& A
1 F6 g& l( T3 p1 I1 n4 L
, b0 w; D/ [9 ?, t
4 N- n0 R0 G/ f/ l) y4 F0 g% f4 F
r4 W& m, s: i. d+ N {- y; R& X T+ a& b U
) l7 X0 f+ J& ^% i1 D
7 I/ p. ~1 j4 s4 r" q, [ HIS系统 & K& Y' q- J9 N% o( \ X
4 `. _* P- s6 F1 k$ o O. `
) s" k3 d% e2 E 1 Z4 u* o) ]$ @1 F/ K* z" h
3 h6 U+ i# }, T; C R+ k3 T
5 }1 b4 z3 x( t 8 E7 }9 n4 m; k+ {4 `
1 a# k. Q! ^+ p) R0 d
5 g. p2 [" \8 i9 @ ' M! w' `6 b9 O5 w
6 h5 w( Q1 c- i% J: j$ S8 E
* J% g2 n3 E/ T3 |8 K. l 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 , f; c3 {+ G C$ p: j& s2 A
2 T9 ]- Z1 V! W9 v7 y% I7 a
% q i' K8 L/ Q- G% J
! s0 J5 F! k, t" \
+ g1 p- ^+ w- j ; M& ~5 Z. W e
" m+ f6 x$ P; c7 m
& l! }7 ~ g! A+ H- j6 Z( N 后话 7 q0 k; l) a6 `4 x
& q/ f# @' c2 T# m1 \2 B
: `" L4 ?0 _( | D+ M 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 % W1 J) p* U2 N
/ S. D. z7 E3 d/ `; p! Q5 P
' B9 ?4 {6 R' ^- Z4 v* U5 `, H ! v# x$ \ H4 J1 U
9 t% U) s8 \( A4 K6 R ( j% z' J+ e0 I v* |+ o
! |% R4 b5 K6 _$ m3 D ( }; A: ~9 s6 C* u. ]8 Q# H% T
_2 ]* P; q1 [4 t2 V+ ? 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 . e( U" K( O8 ^0 Y9 g
; \; t2 f( C n' v5 s
2 n, p+ B. k/ h7 T& K2 {1 ] 3 b1 {; }& C S. p% d0 Z z5 s
( P0 P7 q4 D5 Q* E