找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 记一次某医院渗透(近源)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 878|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

E+ `! A- N9 U6 O 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 % H$ W# `: N/ }1 R

0 K' \- u5 _5 S0 ]# u$ g

- I! E* C5 W, t0 B" r" Q2 ` 众亦信安,中意你啊!
( E$ U1 w* k3 G4 O, V
0 ]; J0 a- X) f; ^# Q" l7 H6 \ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 U0 W% _2 y$ O4 D, x* V4 b$ b

' M$ B) g; M" \: H5 N! m4 s

! z6 V" f" X3 Z, G& M% M ingFang SC,serif;">5 ^1 s3 p* M* F* ^4 d

* ]) E5 _! N7 P7 r6 V3 K
2 C: |8 m- i. k) ~& o4 Q- C( p

- o2 m# E% r4 h7 d 众亦信安 8 Q( _0 }( D `5 t( }0 C

8 I6 ^# [. y8 Z q" v5 S& c

) [3 K3 ]3 a6 q% x' e$ @ 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> # c/ W! O5 N! ^9 K O% n" y0 A

" e* h4 D& B5 ^6 ~# N

8 M6 q ~, Q9 C/ c6 D$ X ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> * u9 ^1 I7 P% a9 i5 C& p4 I- z

$ z, s0 Z, }' z7 @2 q& D8 }* }9 y

# b0 \, j9 E Z% P 公众号ingFang SC,serif;"> 0 S2 U. e- `' B' q3 G: g6 Y

4 p* o' R0 y+ y& [

8 |. a- M+ [& C4 y" X6 S
( e' a" g% n2 R& |* G
9 C7 Y- M$ f n, a- i " C$ I* m" b) e4 n

5 L9 C. x0 f' s* E
点不了吃亏,点不了上当,设置星标,方能无恙! 7 \+ V5 |* C' A0 `

7 X/ L8 Y/ m% `3 W5 k( g ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  / w1 A/ @5 s) ]' S) t7 M

5 u) t- q2 T8 d* Q; T& `' y' S+ M

5 s9 b9 E1 A$ P7 ~ 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 & R; A. S( m$ A& l$ n

6 i" U; H8 |) E9 n5 S, J

, l! x$ u8 \* ]* `1 H% q   , }( I1 { r, ^

9 ^. {( w! W; F/ ^
1 G. l- {' m1 M0 N% a 2 m) V6 ?( P' C+ T" n% z9 `$ O

$ U- |3 G1 k, D6 D/ G0 ~ 无线or有线 3 m0 H9 ^1 @1 r+ q9 }$ t# h

% A8 o1 K' o3 p$ }; i: J/ q ! r( C& s6 {* t. l
( i z& d( [: z% Z" ^5 ^ e5 v 9 D/ j' k+ U9 M6 P

# \- b, C/ H( y7 ] 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 0 v" [- \3 |& ?: d' j. i0 b

/ K8 I+ ?% Q' v0 J- ?) `

* J4 G2 _9 S" w- a4 `4 t' } 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 - r7 x6 p" z2 f# X% {% n! { p

! X1 R6 d0 Y2 U/ @& F: t

# i- D4 S# F- m: T% h8 c8 o' t- Z vshapes= : Z& X! J. i( M4 G1 p( B

: ]+ o6 L- i* M4 b0 d1 [" i. h

* U, l( K( F$ h+ m! d vshapes= 0 w5 L: D9 Y! T0 o2 i# T& ?/ g

3 _4 ?2 u3 Z" ]4 P

. ]6 ^/ N% t: T) { T, T6 K 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 5 N6 M b1 ^ k. C' D

5 C& g1 U9 M- C8 z. P, A" e% e2 j

5 C7 r' x" N, M$ J; \, d vshapes= ) O4 `6 J/ A$ D0 G7 ]% M

; w, F4 O0 G: a! u" y4 U, R

& F/ L$ `, D; \# l2 \) m 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 : |% ?& b+ Z( c8 h" c* W0 l

, V& S7 i* b L' s& X% @$ Q9 W

" f9 a+ | E- T& y/ E2 f; G vshapes= * u3 p1 x( c% a ?0 `

1 `/ B( A) w) j

: ]8 [$ {. X+ } { 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ; f4 X0 p* x+ o/ k+ j, @

( g8 p. a6 S$ K, ]4 k0 U0 a) l1 F

' L, s8 @/ ^' V, q 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 4 H8 t6 A) ^& b/ l

' t! w* {4 J& R; `7 \+ N

1 L/ t; j$ a" j P5 r" z: @ 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) : ~% T, X4 O0 `* \

$ w) o5 |& l, d; U
3 g% ]: q; c' [) N$ E % i" m( y. o% h9 w) K S# P

: l9 O1 f9 L' S1 v9 b j 内网渗透 9 w# t* |8 e; b: l

/ _$ s: J0 o* j / i# C' A2 F. {9 K) v+ R: ?, \
; K. ]' l6 b- Y0 I9 p6 A c 2 v9 |8 C2 n+ Y. `1 B' O7 _

- T8 K0 T( W" k+ J% [ a win下搭建cslinux类似。 9 V( B0 X- v; j. O2 {: Q: }8 g0 Y

6 g: f- ^1 {0 O) v( l$ @9 N
; C- R5 }' k& T" O5 K3 | 
teamserver.bat + ip + 密码
5 d/ g v& }+ E8 x. N
( v* N3 o2 f8 q/ y1 M

6 e9 J4 R! _% a* K* B$ f+ W vshapes= 9 t: Z z+ \: b3 \' G# x- J* h

9 i z1 D" @( n$ {5 P* S8 g

/ C! A! f* O3 M K: I; Q+ W fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) 2 f. R# g1 g9 E" y) @

# q. g- m3 t6 s9 w; R$ Y

# C6 t/ T0 U% U( M; x) ?0 t0 S vshapes= 1 f' b) B$ Z6 T3 u

2 e& r/ e! N/ J) ]8 D0 @; H

; L6 o* O/ f$ n- m4 q5 `, f8 m vshapes= + U9 |5 |7 T' |. O; p

1 o0 H1 r5 C! o. \/ b

, G% U% R* z& S 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
0 |# `: \2 x2 ~# `0 ]( }5 ?
0 Y4 B; X+ H/ }8 x# n' |7 p $ I& B5 C: J O {( D

3 M' i6 M K5 S7 O8 V; R

, i5 W! f1 l- M3 y3 y9 M vshapes= 4 z' y7 S7 \7 ~) z5 @2 a' U

9 M1 y) \- s; D

4 A3 L6 n f- y- B" c fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 $ H5 d6 i# h; B6 _. e

. h. G$ D# b. \2 f& B- J3 @) |# U

9 H) j; ?: O H( t2 e ^* x' M PACS系统 5 D4 B* R# `7 q6 x5 }; R9 K

- s1 @- h+ g& ^8 S! n* `9 e4 R/ d

' y2 ], |) W2 i* j vshapes= ( P& e( I% @/ D: r0 [: [( {; r( k

1 \( y5 j: X. C) C( a

/ j! i% |! \) m vshapes=
& Q; ~* g8 N3 R4 r3 R- S/ Z
% w [2 A x: n/ |. ] ^- A+ X 5 R% ?6 L, ~9 s# q

+ I& x8 W/ e: r3 X( O

4 R4 [/ |% G% [% G( F( L HIS系统 6 h1 ^) n" s" R9 \

) [( C6 J* s0 z" n& h1 ~: r9 T- ]& s

8 ~" ?4 u7 p, Z S; C vshapes= 2 p A% K, T1 g/ ~3 Y8 W2 a1 d

5 M9 G m( Z! [) n* K

6 r* w2 }9 \8 K i- x8 I   5 s4 i+ K4 p% t) q N0 u0 R. B

) y" i( K5 t6 a4 y/ }5 e2 [

0 r% i) j( |$ v; |/ n, | vshapes= $ I7 Q2 T& Y% e1 P/ W9 A

( z y+ D, T- ?! ^0 o; n4 ~

' A8 E8 m# S" s) s0 y 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 % g& {( l8 Q8 f' P ?

8 k1 P% Y3 ~9 L. T7 L

+ Q. h4 `1 `; d1 u. E
1 Q6 X$ \6 \# E
, Y% a. V" E/ P) w+ b/ @$ j5 J4 F8 l8 n1 t2 P- s

. ~3 x/ U7 W! u5 ?# W

7 _# ^0 n* k3 U$ {5 f& p 后话 8 T/ c8 d2 d& Z | u5 o

+ \3 s K7 k/ y, I3 Y7 Y- S% }7 j

$ x5 Q7 T/ f7 t) ` 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 2 C3 ?2 ?! R0 ?, i& M1 m

8 j& V; _- J h: J. } U
% Z% h( i) E$ T& W& I" I . P. {8 Q2 F, i
3 y; M( b5 e7 j& c $ i! \8 r- x E3 s3 s! n
2 i, n+ _- X2 Y 7 a" g0 n# N% V b) x; \

% E. p) P) ?; e 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 ; o% D* w& Z; I

2 t/ V4 F; {' d- ^2 U+ c/ ?1 J: R

* l) p4 ~0 W2 o0 ?& y   1 i& o* W" U6 t' N8 O2 \

! ] H8 _+ O5 D! Q
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表