记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

* R0 Z0 F- E% r; ^; p7 L2 L 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ; a' z. |# l! L: t. ?6 [/ \7 O

; M8 x& G: z+ v R0 }) A, x1 M6 [ 众亦信安，中意你啊！
$ Q5 W1 o% g" _# Q- h8 Y# D$ y
/ b8 s1 n3 Y* O: ` ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> $ ]+ `. D8 c2 y- g5 l9 m$ \

. T3 F) {4 X' y1 X; @) c, T ingFang SC,serif;"> * v; `0 p% @" s: O5 G8 S

) N) l* x0 H; {& a
6 T4 v# V* m7 w9 s" h 众亦信安 ) d, C, p; p- @% f4 J" v
- T1 \- a' |: k
- ]( U- l+ S2 Q0 u) a# t/ C 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ; t5 ~+ M3 z' l {* o
. X$ G, L) W$ R# y3 ]; F0 Z
1 V: n% L) t$ {6 L1 C7 C ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> : m; E* L! p, d5 G
2 Q! r8 Q6 U, }: S! C
6 b: \* q' x# A' ^" }/ x 公众号ingFang SC,serif;"> 8 U5 G7 K/ a0 r$ l3 C7 `( f
n9 s: q. o+ B/ g* Y
& Q- I9 h1 Q* P( p/ P) s
: ^( E2 F) z. P! L
2 \' g0 n9 W' [* i5 a q4 ~9 |; a1 v- O( A5 e+ x8 Z
1 c7 O" l" j8 S8 ]+ ]
点不了吃亏，点不了上当，设置星标，方能无恙！ 4 d1 J9 o0 Z0 |/ H/ V0 I' A3 h
}: Y( n/ e' p) I( P, V1 ? ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ( I U/ Y% F* t- u4 F
3 d1 ], D* }' S) R! ^+ |! C* I
( l& A4 @/ E! T: H 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ( K- C. }6 b( C& W6 H+ k3 y
% |1 Q; }+ b" n3 [
0 m9 J1 Z' H9 \- I- g7 G7 [& ^ 5 B7 M' x- }9 I) h/ S
9 z# [1 N7 F8 m; x: x
8 d/ @, L7 }2 K+ a( U4 a1 x: |2 H( o ( U {8 Y' }2 V' q
! q, d* O6 l0 P/ ^* x 无线or有线 ) c \6 [3 O8 P5 T+ @# a
* c% I9 l* d, P+ L$ i' h" V5 a Y( R - P# B" B7 }7 M6 g
; E; h+ ^9 v/ t L2 L9 y C: d# T7 G- a4 m0 P3 a7 p
8 d1 G3 s5 o1 ~4 c" T) H 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 & P5 q2 V+ o( Y. j# F4 i
6 A- J) U; J N
( z! |6 a O% K! T, |! w) \" B 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 3 |) @: q- C1 h$ L
+ \- }' r* f9 e3 R/ N% |4 W Z: O& g
0 t# y" q8 m- S$ e0 N 5 T! T, u- C S4 Q
4 D& R4 x2 g" s( `% A5 Y
% }" m/ J& L) J8 ]# u0 ^ & F+ N) d1 ]* P- e, }1 p( V: F' `
8 T# e2 A( B: H i1 R
3 V: V1 @, V3 \. \: v/ ~" q; ~ 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 + k% i! `# i* M# c
3 P5 b3 ^; x+ C1 g
" Q9 n5 c0 f8 b 6 ^& B; M2 t( R: ]
! f5 V2 M+ N. @& h3 [
$ m0 W' e$ n' l7 T 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 6 L7 d# |/ N0 i2 T' E8 h. k
0 w) \8 q. X( B* _, ]8 I
' i; k$ H, G m, d) h- b . J( e+ F! B* r4 O
$ f7 v% i- k/ L" A
3 @9 c! ~% k( q; s) U" u 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 I2 _( I; W- J/ F Y% Q+ P' p
g. X; z/ _- s- C1 z
9 P/ v0 @9 Y7 ?/ }6 ^3 V$ y. L 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 : ~9 B& ?. _; _7 O3 t
( y, Q- s5 p2 G; x
9 F3 p, G6 ], \. r# F4 F1 ~0 p 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ' E% f+ J6 I7 I4 Z8 j
, E$ _9 D7 K( v0 H4 e5 U, O
0 o7 ^! y! | g# v' [" \ 5 i3 t6 l; [8 L; h1 G" S) _
; i" G s" b! z- G 内网渗透 4 c0 Q% Q" y7 A R9 Z& ]
8 d+ M/ b" |' H/ r0 A) | ; ?: @4 ]* [( A3 d1 ?, \+ Q
) O! y R/ ~- u' e% }. z 0 v9 B2 _/ Z& o, \
0 P# W5 f2 b: M" ~6 a, M( d win下搭建cs和linux类似。 + A1 S0 L: }8 E4 o% I5 z( C
- d) ]. {2 z7 ]- S
1 I6 N, z+ P" @, z0 }
teamserver.bat + ip + 密码
' }+ s$ |9 v- _' c, d7 |7 d; m& B
+ K4 y/ c b0 w8 X7 Z7 y" H
( z" Z- x# ]7 u8 w6 Y2 V3 U + r# z. p5 ]) V7 Z5 }0 [ G8 a9 ~
" F0 O: h ~( X2 H/ T9 b) ~1 N
K7 c3 l. ~, n- \ fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ; }* L+ h3 D: s K7 O- q1 ?
8 G7 H# I( R- e- f# U, M P5 \# I
2 s2 e! k: T" c6 _! g$ ~" i 0 g9 w t( s" b+ s& K3 t+ w
e8 p% s4 `' b0 I) g/ T& E
- L1 J; }2 I `6 ?2 J, @ & z% C" f% ~( A! M
8 G- g3 _1 \* O' P" r
- h+ v. I; d) M$ K/ M- i. m% T 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
* z3 b* D1 Y" k3 Y
# u0 [% u8 ^( \6 f( d! Y- z6 r- E" K+ a
) `; o# t: A! z$ q
/ u w0 o* U; l: M7 l" ?9 N* \( M 7 f) i4 d% O' J
) Y1 ?( F, \* M; Q3 U; R" q
* a z. x& c2 {5 N' j fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 4 p1 R8 k6 w" ]
2 m3 a' E& g5 j4 Y5 r
" P2 e y/ o) @* ?3 r, ` PACS系统 ' u1 ^/ W8 ^) k M
1 M( t; B8 C+ n6 x/ e
: a2 x/ v; v" t. b: } 5 B* v1 D, {0 c
7 R N6 h! h* T
1 K6 u4 Z; E5 ^8 y' M, [
8 |/ m! k! M$ P7 R
# z9 q; q8 G% b: a( k2 T2 s 1 y: ^: E' [2 q+ b
& t& Z* Q: f$ ], Q4 b
( d B) D. O% U2 x& t3 I; i4 W$ M HIS系统 # q2 c6 y# o3 N- f8 U
6 R# j' q; j8 ?1 Y, M7 S
4 E# n: C7 u8 i- g. j/ C2 p : y$ z, V I- ~2 T% J: p
# X7 t2 B$ |7 i, t5 j8 k4 |
& L. B) B5 x$ ~* P0 H ; ?6 q& {8 I: _2 K q/ M5 o# ]
# x/ J9 n9 |0 a9 G2 }
" ~6 A7 B F6 q + T/ r& I7 s2 f: T2 c/ |0 Z8 U
( H3 D8 G& e7 T. d4 S; K( j
9 [& y8 Y/ u" f: R" ?6 \6 `+ r% Y 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 " i6 H. a6 D( Q& H$ e
2 ~) E6 G) ]6 B+ @4 _. P0 [
% S. B, O# \6 i7 k% X
( k- b8 s( `' H6 y+ x* h& T
+ ?, {1 i7 V2 a9 P$ [+ A $ y$ Y+ ?6 C/ g% ~/ U
% b- U. ?7 [! T
, Z( t, S t4 @5 i) ~ 后话 8 _: b) K3 {/ f) z' |6 k
; A1 {0 z/ O! u$ g
2 W0 Z* F$ I6 M9 Q4 ? 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 5 f4 `" x% F5 l2 T) L& y
+ F( q& T2 a5 Y* }
: r0 C$ s, O2 P" p% t7 s0 u4 ]: X ; a3 ]# ?9 ^+ U! n, m2 y
8 D5 I! k% t( W0 M7 Z : T6 q+ x; N y# V; k7 X
* }) @. a+ K/ \! ~7 T 7 P. `6 E6 d3 d ]
) w" I/ D, u- P* [: c5 m 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 5 m& n m; n; U l1 o j1 ?9 X% t
# I' H2 X1 u3 x% z' ]& L& p/ t
" `# e6 K% Q8 p5 q% _) m. Y3 k1 @ & G$ M q1 _& u
; [. E ]& i. `' ]6 b9 i5 I% [- [

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

! q, d* O6 l0 P/ ^* x 无线or有线 ) c \6 [3 O8 P5 T+ @# a

; i" G s" b! z- G 内网渗透 4 c0 Q% Q" y7 A R9 Z& ]