记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

9 W6 g+ q4 o: t ] 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 - ]3 |/ a0 M. w0 _) r0 F

0 t( L, B, I- X7 P2 H 众亦信安，中意你啊！
# c- x; u: R8 B
( I5 a2 l& o7 m zingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ' Q+ {" G: W- l& C0 ^/ w

. g( V9 @ Y& ~# t+ f) h) e) k ingFang SC,serif;"> / x: Z/ P, N6 o# T

# I+ G6 G3 h C1 ~& x M
" A% M. J) i8 N2 l 众亦信安 4 w7 r9 s. q) X+ [
" q6 T k% ]0 v; S' @& \8 L: A2 X1 ^
- d* q7 g; s$ s! I: O1 [ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> , h& a0 c- i7 O( f1 w4 W
% _4 y, x' M, ~
/ o# q M6 n4 i9 n9 n4 f4 x2 Q ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 4 B( w+ M% D F7 q& }8 A6 i+ k
/ X: N& ?7 f4 m( U0 v
* Z/ c2 f9 i) } 公众号ingFang SC,serif;"> 6 N7 J3 H+ Y! x0 Y) z
' k8 }# X8 m8 L/ S Q v
$ a8 Z/ i' @% l$ _
- K$ e: ]4 P# `( K
: S" ^* M# q* d& S2 V, R G$ z- p) b+ `
+ n' Z# d2 S' L Q) |& }1 G X8 ^
点不了吃亏，点不了上当，设置星标，方能无恙！ . i/ T8 }. y. w* Y& i0 ^7 h- K
6 b6 U0 ]+ e+ \ l' M ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> % R$ n! q$ i9 B2 N/ j- {
$ ] z8 ^+ A( A: q6 r
. w% ?3 {: J Q1 P0 g* z" Q# J 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ; _/ g" ]3 P3 l1 |
1 e4 A) l- ^# [5 G6 V9 E, j& i/ Q
3 R. d+ m1 ~& Y7 u% M4 F# G 6 E8 m2 X& L, l! A% Z
6 |1 N" S. ^% ?( u- S
2 k1 {3 K! }; r! ] 8 b8 B% }9 Y1 j% j+ W) O+ y" m+ _
! p& n! S4 R- @: j' c3 Q4 } 无线or有线 ' c) }3 v4 U& g" F, E' |: \' o
/ X2 ]. ]' M8 ^+ v# S$ w ) E$ l5 P7 I! ]* H
: Y! V, u# r$ H) z# j* i " {5 ~3 d. M8 p1 V; _
# A6 j6 `) o$ d; W" r- g4 a 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ) d: B/ i8 S% U# u5 U( I7 u
& Y, i- O" R. P/ _" s; a$ k& w
% z4 g$ R2 @4 N7 c 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 3 M; W1 X: V% s I1 g
/ B& f: U5 a' v L
8 W: w( r2 o Z ( I R: U. H' j1 W' L9 z1 | y
& D5 W4 ]$ [/ J& i$ t5 C; f
' L1 z3 v: |7 N , y6 E+ L$ s' S, m }( \
* j6 R" X9 L, g& O; U( i. _4 F
. t6 a8 H5 w, y2 f- \7 H' @% j 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 # L6 p: H; T' b0 b+ ?! z& D
# H B" p# ?0 ?+ F9 x0 ?
$ J/ M; V* J5 L- G ! _" z/ r0 F3 B# R- d/ Q% a
# E0 ]. o3 T9 |9 ?8 S# _
6 @, B( b. |0 m# [+ W/ n' P- M 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 8 @ H Y& Y# J
) N& t. |) ]1 P
8 n- M5 R ?+ ]' P- Z, f 1 R% E+ ^2 h5 Q `7 }1 ~5 h! i
, q7 U8 N4 ?0 I6 h' G, _
: q( \8 N, p {! W 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 0 d- x! y' l6 ^6 N% R
+ K' u) s. A7 _6 D1 m
{- Y- ?; J# Q7 S 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 & W6 R' E, x2 D1 ?, Q* G
# N: Y( O7 l8 D7 g
+ Y4 `! q9 U7 J5 G E 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 . T" L+ E- ^) _$ }0 A3 J% a) o: ?! }
6 ^* t/ p z" y. z$ {
. W2 Y! e. B6 m- I5 F 7 @- H" g- B# E* ]9 x; ?
. D2 H, c8 |; K8 c5 p2 s# B 内网渗透0 { U7 n2 j9 f- p+ t/ t
! K( Y! Y! D# o: L! w; N, O% w8 Q 7 O, Q. D# @; d
( E# G _4 G- B8 h& @4 y7 Z( q- t 4 w8 ^' h! F5 a
* M! A- y) J' G8 \ win下搭建cs和linux类似。 7 L, Y+ P( g: k5 a
8 w( d' R) {) K9 [) C; n5 @6 S
2 H$ N& Z+ L' R5 K8 s4 a
teamserver.bat + ip + 密码
( y- U: [- B( s' i
3 R; h B# h4 I* _4 L+ y2 |
. i6 \3 c9 z; y4 Z/ t; e 3 [# x( @! j3 V+ n" G; D: E% M- Z
- v6 M8 @5 s c. C
9 }# D6 E) c9 a$ L. b fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ( @, ?# v% s2 \4 b+ j+ I
6 p4 @, _* H* M$ Y6 @ @) t: T
- C' R" y! B3 f3 D$ { ; q, }% U+ V& p, q% q3 D
" a/ Y1 O$ ~( j! Y; R% x, `& P: i
" w+ W" t3 u/ U ; \+ O; H' c8 G1 Y
3 v0 {$ S" P1 f+ v# W8 i
! ^* `7 v2 I# i8 j# }# K g 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
1 K" u8 S( H. z1 V8 h) \
% W2 E# E# v& k$ H9 g$ i% D , d% w$ ^; J4 E7 o- ~
4 u# L- @4 L! l5 \0 `% J" t
8 t* s, B. p" t; x/ D" R 2 N) X0 ~" T4 B! V7 I
4 g% n m# e# o, I! n" H6 r
* S. ~" Z Q1 u3 w- e8 w fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 * n* h5 m1 M4 @% D6 D
( L; X' q. A/ K7 a3 q* k
6 q& y: V0 \" w Y; ]* C/ f6 } PACS系统 ) D. [1 V4 n( o: Y% G
{! O; a/ T7 ^0 }. C! ?
: Q' q: p+ U" D% Y+ W 3 N1 C: I% e4 g
! ~- r/ U) V) c* f" X
1 n5 ]: r F# w3 v
- I6 K, J+ Q7 r& a7 r, P
* X, D+ k7 @# {5 Y L K) K # l! k- h+ l( [, |1 \+ d
1 I2 ]7 G0 m. `8 w* O/ q- ^( D; t
4 e) X- ~$ f1 n; R7 a9 Q) `: b, \3 g HIS系统 $ B) Y! H$ E9 v
( J: R* c% s, O6 ?; Q [
5 N, Z& p- w$ b5 f " `2 A3 S( ?* V& _# I
- C/ F2 Y! l2 _ D/ X& ?
+ Y8 ~4 y% b% n6 W2 L( G, J7 T 1 i' X4 ^& ?& q9 h8 \ a& |& X8 o$ \
' e# n7 Z6 X1 @
3 G# N* F' A0 m9 y7 V* a; E# K3 q ) V2 ?$ \" D) A% ^! X4 G; ^+ ~. C: s
' x4 S+ E0 [ l: x% k
' W, ?4 e7 D* }& s# V- } 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 + k+ V- v* `( [* G; M* s1 k4 Q& B
: a0 i: {. i+ R8 v+ @$ _
5 O& {5 E! {0 o+ w& Y, K" A9 a
- i$ z: w4 x o5 q
2 `) e( k) \( @5 `. m# g- Y# c , C8 f. ^$ _$ {( m' n, @
: p$ S( m# [4 U( Z/ A
+ Z$ n- s. P* f0 F; B 后话 + X9 k9 ~# z4 F9 Q7 A( m
7 H; U8 Y% B6 v# o, [$ k
2 K) L8 t! S/ M# I 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 9 g, ?7 c4 e! [. i4 b* G7 \; i
4 s$ l; b7 e# V& ~3 m9 M4 ]7 ~) O
2 x' S" A% k5 P# u( G ' d' h% q2 h9 c: h
- R+ M, X7 ~; x. P6 U E& T! O ?+ [- U# _( }0 V
7 a' c3 D. a; ?3 c ; b; d1 b2 E6 F: z: t# n
w5 b! ]' S8 F8 H, N 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 - w7 f0 d: V: Z9 Y4 g2 f+ \( }" z( [
* m! @5 Y) Z9 ^0 U4 }- q7 {9 @
: Z4 [ b$ V0 x1 R* d - i2 e/ a! r R1 h% c
* ]+ S$ S1 P# E

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

! p& n! S4 R- @: j' c3 Q4 } 无线or有线 ' c) }3 v4 U& g" F, E' |: \' o

. D2 H, c8 |; K8 c5 p2 s# B 内网渗透0 { U7 n2 j9 f- p+ t/ t