记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

; G9 b/ p0 F6 ?& J( ` 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 / \1 o9 V0 e' T7 M% ]: G

" s9 r$ `# T, `* h' B 众亦信安，中意你啊！
2 H" x5 j8 Q7 g2 L/ |& ^
. [- F) s! P; I" a* ?; NingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> $ Y8 ^9 Y3 s% X" K) w' R! ?+ \/ p

. `1 v9 V" Q7 y( l$ F/ d ingFang SC,serif;">- o6 u) s4 }# f R& i% T6 _

* K: i5 N3 X4 J$ {0 c# g( P6 y
9 Q; N1 {. A/ A 众亦信安 & z3 W' C& p; _; T1 j
& L% x' R; ?2 n4 G
! R6 g" E* Y! D% l# p, l 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ( p! Y9 B4 g" e, d& A: c" g7 B5 B
; y; [, ~* B/ f; {
9 _! r2 @* I4 c* ~( z1 L! I ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> " h) _& e; k3 C0 y ?: Y
' y# b* k- g0 w8 P, `6 Z
0 R* q( V5 |% f 公众号ingFang SC,serif;"> 5 T6 _0 i# l( p1 ~
" n% K5 E* D5 Q% |
9 E* _+ B1 ^6 h1 j
8 m" Y& R! r! x( V3 M+ J/ A( O1 L
z/ \" q: w1 p) X1 P" |9 V5 c; x& a
0 [# }: \9 @$ L% A- v5 ~; r/ z
点不了吃亏，点不了上当，设置星标，方能无恙！ 1 w# W. Y9 v& P% R
8 w H1 M3 ]! C7 J g; ^+ B# N ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 5 P, ~1 D) w. e0 p
, p! N+ f0 `8 F/ ^6 V }9 ]
, l2 v" t: [$ t5 M6 b* M 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 . g- i3 w; P+ L3 _% D! \0 P! y
, r' S: L1 G2 b: E+ z0 o
6 k& H+ `$ z! Y' \ # j$ Y2 \/ p' K% |* ?7 ?
& X( {+ i+ l [- I7 F
9 _( g0 g( [2 _1 A: B4 e " S# ~% e( u7 g# w- N- n* h
4 P) ~, [2 {/ h t P 无线or有线 : x" N" }9 e: n. c; B$ Z. f2 u- k
0 w W/ Y5 Z$ P. H5 ^" q 7 C" s% M) \6 J4 x* b: ^# ^' C
) B0 k9 H" Z3 h) |3 K/ J $ }0 V% p( m9 q9 Q; z- s
3 @5 e! H. F* p2 T* Z) n 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 * \, q; |) Y8 V: X7 k }
0 @1 O, o$ U6 g' O
9 ~( b$ {. v/ V4 b* m' m' \! b 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 8 I1 e1 H+ Y X$ p9 S/ \
& Q- Z' _% F7 {1 V/ K( m) k B n
1 t+ F! }/ s5 U2 U: { r( Q4 l j8 ]% n2 y5 h
# \( I" G+ X. P5 |; _0 E8 A, Q% g
9 R7 y4 i$ @; P0 n9 b8 N + q, l5 ^' t# |6 |$ D
C1 p; _! R$ V
8 b/ e% H. N A. x, `2 I 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 7 Q2 o+ u: K- Y3 Q: N7 \
- {- Y7 Z o$ B. L' V
7 n! v' `; F+ R" q* E% T4 h1 d' @* R ' W X) \4 r+ p5 J7 `0 K
: o0 U' y$ [0 I% K. T
; r; d0 b1 c+ n% k! h, X! O 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） % U, v) K% B) Z2 ]- T0 f
' X5 P3 u5 o6 s
" H* F$ A' j7 P, }1 R! F - r, ^0 [. X, _3 C
+ a$ o3 a$ B7 I, l; x
6 D; J4 L+ I" Q ^" k# P# @( C0 G 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 4 A; C( T! B- r# m, N( v
, \. w$ z' d' {1 q9 s
: Q P, q' W2 c2 [ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 6 P6 j9 k$ [4 o4 [
* E, S* C9 N! B9 ^8 z# v r7 s
) {! z+ L' J/ j- b( |: {. {0 k 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 9 P$ O7 R9 r# L# W& J/ J. j4 F# U
% e9 q6 q7 X0 i# B
F ]" k$ ^7 x$ F) o: [ % T$ o2 q6 ^+ [4 j& c! p
' t q- u5 }# R( \: n# n# Q {$ F 内网渗透- D- R* c$ s8 s9 C" E' h
8 M( C# L+ q. z' {- x" V 7 P/ f2 h+ V+ k. x0 M3 Q2 Y# y
- Z6 e; f \8 w1 B; `* g6 \ - \( l3 Y. `- M: u* C4 F) ^* d
3 x# t( r) ^) Y) U5 ^8 ^; t* I win下搭建cs和linux类似。 0 J; i G- P$ ^: P( a4 w, |: t' n
" q$ M* l; A$ A) _8 n
5 n% P; b4 X3 \
teamserver.bat + ip + 密码
* z9 u2 g; l* g5 v9 M' ?
% ]. p5 v: y8 V4 Y$ c. I
$ K/ G; g o+ m; u1 v / H [. y6 }. c. I- c) C: M
. Q2 P) D2 w7 ~" L& H/ y
4 }0 `1 F- A4 Y8 _: H fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 1 l) Q9 m- X* f& G
+ B' k S. e# k8 q: a0 ?
. }, _1 m4 G4 m+ p * w0 X2 U; M. O; W t
* g3 Q. f" o. g2 A# ^1 H% a
, s" w3 s4 O: K1 W" \ " _5 L, f0 p6 L
$ y, T" x6 I5 R# s: Y
. \$ G" t/ Q3 X 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
3 I, B% Z% E# g2 e& r2 ~, f
6 {8 v3 b7 v$ |0 N2 e0 h( r 2 R" t$ |, w, Z% `, s
' D/ E$ s, q6 f5 j T7 w9 I' b
, C* Y. F: W5 y( m. X3 K ' y) q' i, x% G- N0 N' T! T
& ^7 Q) x9 ~& {4 [7 |8 I) ~- K
. t: a* Y8 z+ q- ?. v: T. k fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 0 I( A1 T3 |1 ?, k& h2 E
# F( F$ c6 ]- l e, \" M" F6 L
. s. B+ F3 ?5 l9 s! Z' s PACS系统 5 r3 w. i/ X% s* X
+ Y" V; O3 o* j' j: I. A
( `( _7 R. ^' m1 O7 h7 C* n6 }, {) B 8 |0 r* D1 N) A3 {/ M+ _9 d' g6 U/ Q
% t% b: x1 a8 N3 d
( h8 `5 [& V6 x; c
5 x& ^6 E1 h5 v8 X5 {5 g) k
% L6 {! [8 L/ r* C4 s) G# W" O3 I $ D( l# p5 S* J, b
+ L% @" Z5 j' f4 c
( | k5 i# H) }* {3 Y; U% `) x8 E0 S* V HIS系统 , K) W: H! u2 c1 P! \
! n; N% g9 ?$ ~$ y% z& a0 F2 J4 [
9 p4 T1 O% ?( T* t' R( g1 p 2 x9 `( r/ I& q' U; }. w" T# M
4 T9 @6 ?0 Q% i1 e( Y" a$ F. o: n
* i' ~9 \7 I; t 3 R5 ?$ m7 c% ~5 i
8 ]. m& A% l3 X
- K: b5 k5 @+ V/ E 2 B v# p; N+ k, z5 O
; g! g' U9 g" Q
2 \7 E9 }4 x& F" W 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 - y* }% v& J6 Z, n1 X/ D
, n5 A6 [3 D, _7 ]# f
; _+ F( J+ Y( {/ ], ~ v3 }
Q" A. v) O4 X& d2 c q4 Y
" M1 P$ D' z- X/ k4 J ` g/ `% b: Q- W( N2 n
6 E! q7 ^, P% ^( `6 ?, ]
# m& d5 Q! T t 后话 7 R+ w& A. ?# j' e( v
# R. u$ _0 {8 m* T. N
4 c: u, G, R) [# Z* w- S. x2 ?! \! b 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 . B7 C A8 o g6 B
% Q& L. U: V5 e) ?1 w4 N4 N/ y. ~
+ z5 p$ ?# n, l2 \ 9 S0 Z) m# F* z4 ^: r' b- O
: P6 D2 w: a0 {3 |/ a , N& l8 M. L. j" ]7 j
3 Y, v9 n6 m* c: E( K0 V! r # [/ X) w) |) H( o( C/ X
' I+ ^* N& q, B+ D 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 / U7 K7 D4 F8 z) n+ B
, d4 @2 b' f, ~
5 n9 f o% b! R0 y" e$ ` / t* e4 n1 t/ @5 o
& \& O: F* L. _1 b# N4 C- J* w

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

4 P) ~, [2 {/ h t P 无线or有线 : x" N" }9 e: n. c; B$ Z. f2 u- k

' t q- u5 }# R( \: n# n# Q {$ F 内网渗透- D- R* c$ s8 s9 C" E' h