记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

. T/ ` E: k/ \4 e' @* C 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 : o& S2 z' p2 z% a5 Z, W" ~3 _

2 G& B) |8 j0 V5 \5 _ 众亦信安，中意你啊！
. v3 O: j, A; P* j2 k$ g. ~0 x
/ m8 g# r/ _" H2 p" ?" L- C3 ? ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 1 m; D" h7 A/ u1 M

( m7 }1 h- b0 ]' A1 w ingFang SC,serif;"> # H6 C0 }) g2 ?; a" Y9 ^' t

: o& m2 V1 N2 ]( R3 r3 K3 j4 E6 _
( u3 V& D$ l6 a& g: _6 o, ^& J$ A 众亦信安 ; Y" S6 K1 ~( @" v
: ~9 n. n* ~+ X4 s* `2 ?
1 e9 ~+ H4 s* M" \ ^ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> % s& s$ G( M( b1 ^
6 N7 V' E6 E, G/ v
/ c; j, i$ M9 I2 q( M9 g; T ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ; V; E9 Y' D0 n% Q: Z
5 k1 `3 ]' p, K1 Q* Q- E3 ]
2 h" h h1 H/ i3 q x1 L6 T" _% k 公众号ingFang SC,serif;"> / T* h# ^6 h8 M9 n! r$ E
* [: P& W! L! q# ]! P2 E1 q* n$ O' z
, `( i" P; w/ }$ s w2 Q9 U
2 k0 W6 [, n5 W
' a: ]4 I6 t2 r7 W! M; J/ L ) l4 ?! f) S& O: Z
6 o; w% G! e8 I
点不了吃亏，点不了上当，设置星标，方能无恙！ ! U5 L( k7 P8 ?/ l4 S
6 y9 v- |- [. T/ }+ O- e2 [, _/ F Z ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ) Z; q" S4 a* K
& q/ J% |5 T7 L" ?
# U& T7 {: d) X- L, I/ l 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 7 R4 E& e! f% N5 u0 m
m1 c8 ]! \; V; o8 d" ^
- n6 K+ d- {: k$ B 4 A9 s* r" G! p
, M* d2 J4 Q! H
- r9 V/ X5 }- G8 ?+ x' Q . n6 {6 y/ v. t* H ]: H! H% }
: O1 }; N* {5 f; E4 r 无线or有线 0 H3 \, P3 c; j
9 Y3 X" @1 H& H$ S; \5 O( {5 P" X ( S$ g" d3 |% L% _9 R& h8 h7 R
8 \2 Y4 `! \# V/ B% T # t, ~% l7 @) x& c- e
/ b9 R# b" {0 l7 k 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 4 Z" q' R l# u
+ P& M( f% T* q+ V b5 u- C
+ b6 R0 }. |2 I. ^! u2 I/ |3 I1 v$ r 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ' A; V' {$ }8 L5 ~4 k D% g' l% k3 A" Z
/ m; J8 }# g, V4 y, {+ @2 u( G
" `( U. u8 a" ]) D ~0 ` " @( \: l7 A, n. z1 \
* @. n5 _! z6 h; x1 z/ B ^
& M! y( \# I- ]- _ " Z$ G: i/ ]' N
2 |' F( y9 Y# [" p! m. _/ R4 d
& h6 y: @: r% I. m! G/ g% L8 m 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 / _0 a; M. \4 N* Y
& e8 P6 t0 F& [+ k
7 E6 f9 `* l! ?* |+ d6 M ]1 t% N % S. D1 s w2 J
$ ?2 h5 z* z# y/ d" [% K; \% P
. Z5 E3 V* u' p- i. k+ c* A 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 5 q2 l0 @% E, u r& W/ ^3 P. ~
- L& T+ j- s* t5 f4 a2 ^* C
0 v8 T: p& F2 m+ g$ z7 Z2 @$ N ! W+ _" r, b1 B$ r
# e$ d" m+ T- q6 L
! Z/ c; A) f- Y R; h0 Q1 i2 ] 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ( K- h! q& X! w
* V7 E# @- D t0 u9 k/ Y
9 v4 v8 q% V% o) x. Q3 z 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 6 I+ P! N9 j$ e( Q
4 B5 h6 i( [8 Z8 M3 A& _
^% ]. t+ d% |$ q& c 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 w9 ~/ N8 P! W \# N, ~7 ?
; [" P$ X2 z& _' r" y+ r
6 E; a& j1 W1 J' W. l9 @6 F 5 X. O' N+ C* k$ V
+ j5 @ s7 d3 F, U' G" S. j# ` 内网渗透/ O4 D# J" T% [ F( u5 ~) l* p
8 z: n/ ^1 c) k0 o# j* Z2 c # p% E) K {: C7 E$ i
6 a- a0 P' S: V5 P4 Y. H 3 Z$ O9 x! S; F4 m( f/ Y
" Z3 @: J0 Z: A( p6 ] B, L' } win下搭建cs和linux类似。 4 `4 T6 w8 T/ b3 ]( F* [
' ^0 z2 F* p; n5 X
$ O, k9 v& s& [3 R
teamserver.bat + ip + 密码
& Z- R! t {, ]0 ^5 Y! V h
, w; }$ g% g3 u% @6 N/ A" M3 G
3 i" [ F# T* _ 2 V" K8 _7 J) y
9 f n# B5 w B$ b( F4 h; Q
7 T$ ^: }1 U. r' \6 o0 @ fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 1 A7 x) n8 i2 [ J. g* E
! w7 ?" E4 u F: A
" G! }3 B1 }/ G6 r 9 k8 l" V" O4 P3 v; _ C" M3 A
* g1 G$ ~3 |0 s4 a+ K; B
; \: ?) v" D& `1 h, N' e 4 y. g* q" h X( U5 c( `9 b
- q/ M0 b7 O8 u
* [. I% Q2 [. _* }; A$ e 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
+ b/ `9 v o2 `: ^1 i
* Z2 N* m- L; _, ], {/ Z$ Y; H1 f f - _4 I& \! h1 o+ ^
# g$ q) {9 _( t C% m6 [7 k
0 H/ @, e- E) l1 [) @8 V - F" |! y0 ?0 `
" s9 X6 I' u0 j% r# Z$ o
0 N f; U* N8 C fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 9 w6 g% t$ b' }/ A' a" [
2 l6 s% `0 }" ?$ f! O; X& X* f5 ?
- [" O9 R" c l" ^/ V PACS系统 7 z* o. [# @$ G# N
9 u; u/ n, ^+ j: E: m6 D
Y' ?) T7 l w8 B3 I: f8 d 8 `- j# M/ B+ b+ Z' s- [' j' |8 s
8 I/ |: W3 X B' f0 `" t
% t0 h- Q- U* v, l$ s4 h* M( \
$ a$ @% J0 Q5 S8 e" J$ T
% u x, ^( r: t( m! u3 _: g# k # @+ y' ~1 q; X+ R, T8 n0 }
& _# B2 ~ V5 X4 k( `% e' C8 o" Z+ R7 J
O( m' Z2 P u# g- @4 W HIS系统 % n0 K! G; X: v0 C2 G- R( F; {4 t6 f
' l0 }6 {& L) ^" L# ^, i
4 V+ H4 N) Q6 j8 }" `, q/ ]0 O 0 V% ~# D) ?. _6 t: o
3 G: h" \' ~: o% E5 k
' y% j- j- @0 B% v6 v 1 _8 E' L. l4 [7 z% t- u
& ?, T$ r% s) x5 [
+ F8 b* j w" E 0 d+ _% e! K/ k
! H) _7 A8 m T2 x! Y _8 } G
) ]7 @8 I! ~, _/ s1 k, L2 N 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 8 v' W4 w- R1 Y( z! p1 v% Z
: {- F! |7 [7 ~( k+ ]
$ L& g* u) W5 Z0 L. j- T4 m
3 n' H3 }( f! b- Q8 b& |
" b/ w+ ^2 h+ @( \$ r8 ~ 5 A ]9 W) L# j: ?# z+ r% t' [* k
1 s1 K) b g8 e# G+ s
7 F( K8 s3 m q1 G$ J 后话 4 ~4 Y" i' P2 ?2 {% J
) G/ Z4 F# L4 _* p: B
9 R9 D @6 c" m8 E' {5 o 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 8 Q: \5 _- S7 o- }
5 N9 q: i8 a0 H. U
) r0 d9 G3 [; s0 b# G N' q : C' {; k$ S& Z9 C/ g
( g- l. s' Z+ Q+ ~6 K3 |1 V ' f3 U# e1 v0 j; U% |
; Z% x0 i$ w& k3 U, k( P $ q. I+ d9 M; ]5 x2 K
# {0 f" T8 a" A1 M8 P8 j/ ~ 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 4 @# F& Q! ] J' o* u
3 t7 v5 |: S/ J* {. w% b1 ~, y
5 `4 Y0 R& u: ^1 `8 d+ O4 O4 l 3 A; O/ r) ^9 m1 Q8 J
; a4 y- O. \! M3 b( ]8 `

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

: O1 }; N* {5 f; E4 r 无线or有线 0 H3 \, P3 c; j

+ j5 @ s7 d3 F, U' G" S. j# ` 内网渗透/ O4 D# J" T% [ F( u5 ~) l* p