记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

) \0 o% h1 R8 O1 E; e, u j' n 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 5 U) [% _+ F" |7 e: o/ ]

9 r6 N7 {; @. @& J+ T7 j 众亦信安，中意你啊！
' b) b$ A- m$ N1 s1 n& L7 v
4 R) G- Q* L# ]* r7 E2 d2 D ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 4 [" W" U1 N; [5 r8 p" l

! P% i3 e/ b7 l* @ ingFang SC,serif;"># e( D! b9 [8 F: t" g9 `

( w# W( [* ]8 ~
1 W5 t7 M# p. J6 ]% L. s 众亦信安 ) j9 I1 J) N% b2 G1 L
9 O2 Y T1 o7 ?+ p# f) K, ]& s$ I1 F0 U
. L& K/ S0 }' a# \ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 2 _ ?) w0 C* i
9 X7 q# z' {8 Y3 b7 M
4 p8 E7 k1 R; m' ]! }& |5 O ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ; D( n: S \+ O, B8 e
+ A( ~1 j* y- O0 n% b
& ~7 g9 c: ]8 F1 d$ Z. m1 | F0 z 公众号ingFang SC,serif;"> & N& A1 f k9 M
- a) b, d) Y5 Z! e @4 _
9 ^/ x6 U+ k( N3 J8 q, S& y
% I# S- f8 N' V* }4 J2 S/ ~8 [
' N$ V' U) g9 A/ R/ g) D( h ; h) I& N7 K# y* V4 z8 p
+ o, O" R" w' R8 \8 |, z
点不了吃亏，点不了上当，设置星标，方能无恙！ + G( K) J! r) N: S) I, C) F
+ ?. R. ?9 s1 w ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> # q8 h0 S' R% i0 k" ?, U1 v
" c+ P* M4 ^; ~$ M6 X% D2 I
8 w6 l3 }* s0 d2 a! A8 h0 V 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 $ Y+ i% M! }% i4 V( G2 V, G8 e
8 c6 F! ?5 ?* c$ A& D C' U8 }
! V* P: J: r9 B" C; V ) U6 q+ A9 h3 v# H% F9 k
& m# K( k. Q! b# y$ E+ } |
% r% a' S) s7 f% p1 I % K) |" n# v: f( u U2 ^9 J
; G% x& G7 @" Z! W- [ 无线or有线 / p" d' m A: Y/ a6 j. a% o
. I" z+ o; g6 r: `! a7 p) L7 v # o; n) i/ ~' N# k* ^# w
$ J$ b6 m* m# u" n) Z. p2 f v. h9 {& a! r- X/ N$ n @+ ^$ ~/ t
: b/ j9 a: o& \! Q4 j# d$ Y 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 3 `9 d4 I$ K1 V0 U/ N
0 k7 i# p8 j' K7 I/ f9 X
/ h# C- U* g: g5 l1 A 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ( l+ q, z" D. P% ]6 u
# ?( u* ^" i$ O* M+ @6 e* Q
* ^# R% a" T9 M9 `, g/ W; e% | \& K5 _4 G' ?6 @ r7 [+ `
; T+ V& N% y2 y' k6 B
; t' R. n. X8 S6 Q, k ( s6 _3 P. n- @$ m+ d4 h; x
$ {3 B! c3 M* t2 ~ {1 O6 C8 `+ X
+ l6 @) U4 z7 j4 T& O 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 2 n4 C( A8 R3 V
! t& z( T; j V% u
" U" ]: ]2 A- {& { 0 } h- _( ?& H# \$ O" j
5 u7 n) D2 J. I I
, ?8 C* M7 g5 t+ _ k 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） # c6 a5 [8 r# a! a
0 H" G5 m& q$ E
$ T5 i l% R7 w0 `0 o; r ( U& H# b) a/ B Y, J% Q
4 `$ h" C' Q" n2 y3 r$ d% C
) q3 N6 F8 \$ ]8 @, V 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ; I3 v2 O3 p7 Y0 Y. {! n
* |2 N& l* Z0 k; f+ I/ i4 S1 o3 _
6 Z/ [6 K. n! s: ^# T5 \0 I 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ! h8 i' [4 V8 N% E( M
# x' T3 M/ }/ M; `
, R) y' P" t8 u. @. U% V 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ) ~8 _+ \' } |8 S1 V/ H. Y3 Y
+ v o3 R) a3 ?
9 j* v$ c4 u, ` ; p- i! @5 S: M2 o
7 z' n* I2 U; `. O; l" D0 e 内网渗透 5 k2 @: j; p2 m
; y. }) J+ \4 R5 |1 C) j+ g+ O ! H3 G# a0 S2 F! w( H
U1 c1 n& ?/ B + Y0 n7 ?: x& a
' a* F Z8 g: {! x' F7 {. L$ ~1 Z win下搭建cs和linux类似。 * L& {; ^0 C% U2 l1 Z/ `7 M
$ G ]# s, @/ Z2 ^
2 s& ^5 m8 I5 R6 `+ @: x
teamserver.bat + ip + 密码
; u; z+ v) d5 e# f H
) U, `6 I% |- @' c5 _
]3 q; L4 [( w , b2 Y) C' b' ?8 W; t
5 d4 x) j: U* W0 C+ w5 u/ O( H
0 u- I) U/ [4 H. g/ P" c fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 2 J2 c$ Q+ W: b
4 f8 |0 s- M5 X2 F1 f
6 L" @& P! x: {: f) ?& y* x8 o/ v ' _ P7 q& Y, Q# l/ ]1 m
3 `3 w& Y3 B, v/ R F" }1 \! j
' e/ W& B1 o z+ R 7 W ^( T1 E! r- B0 W! F
! a& L; Z8 b$ k. |" q
! F* | _/ y" m( L 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
- ?# _: @0 w5 \1 W; Y
. o! |2 o+ E# h7 H6 w # d- N: h4 s& ]9 a
1 R# z( i! _+ Q2 e$ K
9 w* W6 B- c3 X3 B z) N- }2 S5 d# @ 2 z8 ?1 j1 A" q9 N, t
& F4 Z# M c1 H3 V" X
* A% ~4 h" j8 e3 E! p7 p fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 $ q, t6 ]- m8 U
! r3 q% v% e X! }1 [- C
$ E$ b3 d. M" M, O6 z PACS系统 # g: }4 T1 v; X# a# d+ c0 V+ j
6 E; w8 m, b5 l. J
6 N7 ^3 Z/ F: J- T: R; i $ N4 ]5 e1 e$ q$ e! q& [
# e1 C$ m( B7 f) V6 a0 `
0 o L2 r# ?+ X8 j6 A
% P9 Z8 v7 C9 e8 a( U- A2 k
7 Y/ {$ L% W, q5 Z; T& o 3 x' F. H; F. ?+ c0 `9 J$ P
) T1 h/ P7 I; y t3 l
7 R2 `4 M0 z7 T* {* z HIS系统 . o5 C" P H" b: B& i, C& x* V
$ \3 f- @: o; n* S% ~
! P( m: f# y9 U3 n& p, k ; d( y" z; T- W" w; L5 v
! `4 J+ @$ S/ K. a/ r
/ Z, B3 d j5 k: _+ Q) |% R ( p1 P( R: x: x) z+ F
( S. `7 Y! `' P: l% o1 y' v
9 u3 g' c( E5 @ 0 ]; K) p0 W! t; Y& _$ n# y
' X) x& H! _$ H. h8 U
. b. q6 c3 _0 ~, C. X& A- g, Z 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 6 u3 `3 D7 S+ ?- `+ ~2 g2 m6 Q
! x) d. W. K9 k. h# I' r
0 y5 b1 U% h% `* y& I* U# }
( N! {: B$ ?0 G$ s9 H" u* L+ C' C
3 W- M) \% L/ } $ J* T& G$ K" P9 _2 A
8 ] b& G3 c: ^5 b' j! @7 k
2 b: r. q& g2 m( t* p+ C1 m5 k 后话 8 D" a% w! |# G3 d$ A) I0 h& z
+ K7 x, |! d5 U
% ~5 M' x- j7 b) r6 G6 N 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ' z3 E+ s7 H+ s; n8 X
$ N! y3 P- [6 q/ m
2 o; B. E# D/ m - [; l' w( m' @; f( ?% F5 y
# L( s. B, S( R8 Q. {8 X" c $ E* x1 m$ R0 z7 g6 Q% i+ [
4 ^$ D! L" h! h) |/ P( N4 C ) R# F1 Q3 c) @; T& W4 T+ o
# m6 T; g# k+ t, Z; d! o9 O& D 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 2 @5 ^+ z* I; S5 j, g
0 [5 o9 c- \2 {% C6 n
: J& C4 L( z+ R5 w 2 G' G8 _0 Z( s3 k2 m
q. X& o; I# _! m/ J9 b* F! w; {

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

; G% x& G7 @" Z! W- [ 无线or有线 / p" d' m A: Y/ a6 j. a% o

7 z' n* I2 U; `. O; l" D0 e 内网渗透 5 k2 @: j; p2 m