记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

1 |3 @7 \+ `" n 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ( |, N! y# Q# V4 m! n& {4 ]

1 b0 J! X6 r3 L( j, q4 E 众亦信安，中意你啊！
4 x" N4 z& M0 v& o
/ ?/ n- q+ M+ W) S* ]/ [* p ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> # t' C8 K0 p! m4 d ]! v

$ G6 }# o; m, k" R; h" B" [ ingFang SC,serif;"> , l) t. I4 e4 T% h/ W

^0 A3 X" K- z- x+ `
7 t) q$ v1 ?) ]+ d! ~ 众亦信安 ' }0 U2 y2 x5 q' @! K, B
' R( {$ o1 K1 P+ ^0 M+ Z
0 H& V4 H/ U2 I( Y- K" S1 b 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 0 P$ R* i# h c9 [: G' W
1 B/ D# i: h! O a6 _
7 m( G9 y; m" T6 w0 u( X" S ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ' o( C0 o& ^$ F. C1 b+ J
0 `$ \& `) V. d0 |9 x9 m
; a4 x1 [: y1 X# A; R 公众号ingFang SC,serif;"> 7 v7 L% y) ~2 R1 i9 q% S1 c
- @$ R1 E, m3 X3 C% K
B8 F8 B: O$ X" |
+ o& q; @- t1 r; Y7 n
1 R9 s4 w' h' U( ` # G2 @6 ~. t2 s Q* Q" D) r
" |- \/ s& |6 V6 ^
点不了吃亏，点不了上当，设置星标，方能无恙！ 4 J* r( _. I; o5 Z7 o! p$ v% J
3 y" t8 A) k9 s4 b3 Z: c0 W ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> - i, d: I* f8 ]% }- Q
& b W7 R X1 H/ L5 E1 b
7 C+ U$ M" |) a) i9 I: k5 \1 _4 h) m 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ! J" k1 z" z& |: C8 v$ I3 t* s4 h+ w
) | X+ [; Q+ p1 i! S4 K! }
, Y/ c' F2 ~! @* n: M4 K* A ) k$ J' O9 k: S: I3 B" |" k
, A, I% n! X6 {7 z. Q$ u# c
) R$ t, c2 L9 u3 T j; a n 9 J( E7 Y( W1 o/ J) ~4 J! U
# g. z- B1 D( h9 L3 A: q/ f 无线or有线 4 |" e8 V# X a( c
6 J9 L# J# G+ r) Y. E+ t6 F 1 @" K9 [; r6 E( f( J
6 v* l( h6 W( }( S( { + p# k3 D, F f0 j v/ K0 A# n
( Q5 h8 T0 Y6 h; X" }, u; [/ X 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 9 S' ^$ W( P& v% O# N- `& J
4 F8 R( y8 F% }. Z$ h
z/ l4 e) L* g+ t 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 # x# ~, `8 N6 i0 X, Q+ F1 j' e
. Z: z3 f% Q3 S3 e
3 v8 L8 d8 U* a * W) e1 Y: d/ ]7 o$ ?
# k. o8 d3 V! r. V V/ q
; \, o/ a1 G% C5 X4 S9 v. h $ @, y" \4 E. n4 v* b" m
& {- m" g x+ _1 E
- V% t t: O/ F& a) ?: k5 d 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 4 ]- z1 E) ?" [: a
6 Z0 W6 q& l/ d! l* q
- V% A; [9 B6 N1 z- t8 Q, @ - o6 A$ c5 f* _
6 W* }9 ?9 `! K1 E
3 C$ K' @: d. E/ a5 }! ] 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 5 \& w1 ~( \ P7 S: {; M. D" v
) Z, S+ H* w3 b, h
$ R/ k# x4 V* {0 }. _ $ G3 p/ @0 A7 n2 g
4 @3 w) m! j4 o3 L+ Y( F }; |/ D
. I% ?" }/ w: ^6 ]. q5 O2 u! t" ]* j 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ) u" m, w* a2 g1 V- |
! J5 S+ R) V0 w0 C( l( ~
3 q: ^( r$ N. |8 y! D. Q8 o6 G3 q 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 0 E# U+ A9 Z# M+ B
( Z3 n# u" |" I9 {& W. B
7 p- n5 ] g- R* N, z: ?6 } 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 2 |' e+ F! L2 x1 [. R5 n+ |; W
7 Y" z9 {+ ?# v4 @( P* G% h$ }
2 f! q7 V6 ^" k. F- o& Z , h m, K9 h+ x# v, A3 u
0 A3 F7 T8 i- h. p' F$ m 内网渗透 4 _: F, ?$ w" J8 P3 U
+ C' K9 ]1 j/ v1 H ' f) {$ L6 W' I6 Y
" a3 A' Z2 D* V0 o / i+ T ?6 z* X/ ?' l3 q% Y
# z% i( O3 P% j3 @9 B win下搭建cs和linux类似。 & w5 u+ b: a$ G1 Q6 `+ b
+ v: w6 V* x+ X
* t" e" `9 A1 \. k+ v1 a
teamserver.bat + ip + 密码
3 Q+ @. C8 E' o
) D9 r% c. B. W
3 I- H7 U# L6 B / ^2 f9 A U5 F
3 K7 {# W) P" p, L) x
7 j4 l/ D+ Z5 X9 \' P! [$ [; O fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 8 x e6 q" h' g1 t8 n
+ w) F9 u- m* _' c( @. v
0 C" O+ R; p3 Y$ A x: [* W ! e: @8 Q" ]3 r$ P, K+ N0 x8 M. S+ ?
) X5 ~* e6 W- i$ M, G
4 R, V" V( l$ y; N3 N5 j ' m5 O# x, c- f5 H1 k- F5 Q. J1 V7 T
) ^) w% a$ P* L4 p$ B/ r2 K# ^9 B
. s4 ?7 \4 S3 g' y+ h* v 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
! o0 w# F& ]! @: X
0 Z& v) f. d {/ R3 Q" J* G% Q- [) v1 V6 @! ]
# y# `8 ^2 n ?
, o) o) U% B& u- U. B 1 r/ n# T: ^. ?$ \5 n! b) R* C3 o
3 e0 c0 z9 x# t7 G# N
# @# G6 ^2 c3 U3 v5 Z fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ( Y/ l }+ N# d- y! g; F
! [2 `3 O I+ o. c7 O: X8 d$ l
, Y1 k2 n5 v; V8 u9 V c9 R2 M PACS系统 # |1 h9 f" U( p# y6 \ L
+ m$ ?% j, u1 E) j% T/ u" c
; P/ ?( n) d7 N+ S8 B 6 h6 }( S. X B# @
$ t$ S8 s0 Z E' @2 a
- B+ F' H# x- M& V; _
% T! x: g+ {) V, ^! h) S( [2 I
7 \* p3 l' T" r9 R0 | " ^: m% s* Y/ M6 `" `
4 K8 B. n7 O% R. D& _$ b) H' m' a; a
, Y n( U) c/ x9 s9 C HIS系统 ' d" w t. q/ |( r9 I2 U6 E
q/ h' p9 F* x
: n2 z4 S1 Q- X : O% \6 ?7 P6 B1 g
9 r: u. f( L& B# L# y
b1 F! w L: X) o+ c( ^( Y5 e # P, Q* o8 P# [; ~, T! E8 y0 m
6 H: @1 K, {) Q5 Y" v" m9 a
9 D6 Y" E+ Q. L* _! z 5 R7 `2 C0 T0 b! ?/ z7 G+ W) S' K
# f0 _6 i- h; `9 S- L% x% v
4 m5 ?3 z# ^4 s3 L: ` 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 4 e% ^8 ^ b% m" N" I
- p. U, o1 r7 s/ V4 |0 P
* T/ s5 Z) M. f
' Y0 }' g* ?" L2 j% e- ^
) S7 S& X7 P/ O: s Q/ Y 4 j* }. v$ j( Q( J. E7 W/ \- x' N
% U6 i; m$ m" U+ u$ ^4 T
% l- ?$ h: B; {9 R% O4 D 后话 4 ^# W a8 b% G2 x" g/ K
7 a4 {: C) m# V8 I, b
- k8 D, }, o! f+ r1 V 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ; [) J& ]& g9 m. I: i1 P% N
3 _8 |. B4 U6 B1 o e7 t( l' m
$ ~8 ~! ?8 }4 c3 z; B/ Z1 ~# p: \6 z+ N 1 |5 U$ E+ E( _0 H* z
. z3 z+ a; C) }& s/ v8 O2 Q 8 d( H- [. D: f3 ?0 p6 u# a3 h
! I1 e) Q T& u- r* } ' U4 T! | s$ a' [4 R' m5 i% A+ t
7 [# i1 v) M, w 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 3 Q) g, V8 A1 [4 e; l5 R
! L4 P8 G: p) [/ b( r
& ^( t0 \& h% h& ?1 ^% p$ L( u ! `* s& h5 F$ P; n7 @. [
; V0 H6 k- S1 _0 @) }1 n" i9 j