记一次某医院渗透（近源） - 中国网络渗透测试联盟

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！
3 u: t: _9 d3 v0 C4 O3 e
2 o) m3 {4 d- c( @ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">

8 M H. A& `/ n1 ^
* b- y) R# x5 L1 H: ~# z" p( w 众亦信安 # h( ?* J ~6 N; l$ D3 A. _
3 p2 B' g: a- w+ K
+ A( V. j: d5 y6 V- z, {) |) S 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 2 r( o6 `( n' [
1 ?' @6 |7 k$ O
0 W5 {. ]4 g; A ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 4 G% Y( ~4 g- U4 m0 u- O. q
& ?! o/ S; e" k0 P& ]- o, P. @ ~$ X; P
' \( J; N. V" i, R 公众号ingFang SC,serif;"> % P, \; @8 s3 {( ^( s; s9 k
0 r5 N1 R/ A' z- E+ t! ?. a! | p
# i2 l2 ~$ _8 E( T9 N; G! {
: f4 l* q1 f- a3 f
/ J' J: e7 {6 T3 O$ n3 L" c) h* E # b% `. ?' _' E+ g
7 i; P4 ~1 V+ {; T$ e. u4 U7 A& i
点不了吃亏，点不了上当，设置星标，方能无恙！ 6 I7 {( r! T) y8 j. U+ K
7 Z* E5 N0 e! F Q7 r/ z, d; O3 E7 @. b ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 9 e9 p2 v1 a" m* S8 B$ a7 O% J; e6 W
% E1 y' `* |$ S, y8 Q' p* o+ ]: X
) Q0 o* m; Y2 y# K 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 & V: s e9 ]+ D7 M5 V# C
" ? y% o4 K M' j$ F' w
+ \! j/ ^, f7 h- V. } : r$ Y7 H- F7 h( Y% n D
, S: T2 q5 U8 J# {4 U5 a$ }5 F K: Y
2 x4 X, x& H5 I \ 9 w" O( u; z. }% X7 ~6 V! O, }
9 M( E- }& d! u' B0 n* S 无线or有线2 e' ?" ~" H O4 u
. `4 Y" |# c; s: s2 | \, K2 Q ) N. ], J R. q- F& }6 N) p4 N
, G) e7 \ O+ v* U/ M; o- p8 o: B ) x4 R' o6 q! ], o! P
0 T: [( L& Q5 V1 @& W0 o; C 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 . Z, K, y( i% ] {3 Q3 n% x' Y5 Z
$ W, H# \' r9 q- a9 z
! G: w; D; b- @5 i 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 6 u: d; i! D N( ~+ S9 k4 |
( c N7 M$ t0 d6 ~
$ @8 O% A" h$ _7 G' U5 X N" Q ) c8 v% N) `0 v/ F: E x
# H7 m% h) {* S/ x/ u9 j' z
$ b! U$ [/ J2 o7 Y3 ? 4 c6 n# T/ z$ ^, ~( t; U
. z1 [3 b% `! A& g
% T5 g% d0 `9 j. L& l4 q) T% C 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 / V4 d8 C, w1 Z7 P+ A1 w: L$ H0 m
- @# {. Q( j D9 o9 @$ m, `
$ ]: p) x8 R6 H4 E- O; r9 w + Y* v5 B1 o v% q
5 l) V6 m7 O* x
! G7 d2 O" W% a$ Y/ Z. W) G5 ~ 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 8 C) T4 Z" @1 C/ h$ }& }1 O
, E7 X. t( B5 Y" [
$ e5 r# z) }; i! a1 \1 L$ Y - v* t* M! g1 y' @( F. E- R
( x3 C+ ]9 o5 h8 R1 _2 t }
7 v0 T# x" ^9 [3 b' v+ T 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 . E: L1 m. s! x) P: X: n
1 h+ |0 I7 |. j [ J5 g
8 f: w3 h( Q5 O7 g! z 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 % h1 P, u' g: x+ {+ }
: |5 W& N, I3 Y( l2 n
/ F" A: M4 y2 |( E7 v" o. d6 D 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 : N8 ^) S% P7 S( G8 r
4 B+ F5 u- F8 C; s# B, L
5 b; m5 P7 w; V+ h5 k 9 o S7 H$ d0 n* l3 S! u ]7 B
0 _( L3 k8 U4 o! i0 @ 内网渗透 % y. @# [' F% m0 _- X9 {
4 j j) ?* ~" K$ c! L/ G) C P" C, ?5 O: o3 e" q
' o3 r1 t' N7 J# P! T* E8 \4 P ! K, s2 `5 b2 K/ T0 \
! A# p$ n# {9 W# U+ K8 `7 r win下搭建cs和linux类似。 4 w- A2 U' o' g' O
4 l+ i h% M; K
' D- Q; |1 E: U, h& G
teamserver.bat + ip + 密码
) K3 _$ C2 s6 r
+ \0 Z! [2 ]# B' r6 @9 D: d% j
' r8 h, }+ B: a5 O3 K. n 6 S' `6 D' O5 G0 P+ u6 ~' ]
2 X2 B$ ?' M! H: O' F
4 Q% ~' _% @: \4 u2 g, M( h3 m+ u fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） : s& L5 N M3 x
5 L, F! y- T. Z
0 n( R) `$ Q8 V$ z* n( Y* l # I3 G- e$ p: G. A+ V4 t+ y' C
! E$ j0 E9 J1 M1 P/ N2 R
: f' P. y7 ^: e1 Q' t6 \ $ w7 q9 G$ }) M: j
; V" l% l/ Z" i& `0 |3 a- N
0 [5 v9 t0 |4 |4 V" z, h 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
+ S$ G1 T% E& K. Y: {+ Z Z
% U; z# h) H" z" f. [/ e 5 i* n; d: m7 Q$ M _; S
* A* C; S) i% M
& T: g3 d: v4 m7 E- {: }, d 9 u1 v6 x- c: g& A2 `- I$ n
5 q! E$ W6 _$ k7 I% o9 G
4 u8 i5 S4 @6 [! u fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 - G) b* |0 w0 P) z& M n
& m; C: A/ K( F1 }4 k& n
9 v7 m2 }5 E8 B9 T& p PACS系统 ! X, m6 {: ?) d
( S8 C. Y* ~$ }1 f
2 q. G) U" ^+ l$ Z0 d* s ) R' [& a! s! a( u% H3 L1 ~9 \
" A6 L( W+ m4 S, o6 ^
4 _, o* U1 @3 Q( L5 o' a j" n1 X
) M( W# L7 O* u
2 I o v1 u/ c ; @. o Y9 G5 z) g7 B1 K
! f" ]+ E; q$ v& A- q6 q. \0 u
: c- M, @! u2 i, N# T HIS系统 5 w" n. j' I# D! X
. S# S" Y% M1 n; v, H
% g9 o8 C* k [! i( k* S5 j 8 ?7 o! M6 m% `, z* k& e4 m
/ P$ K, d6 L; V: G& C+ S! C$ U
# h9 ]9 K( c" B$ W4 o0 H' [ 0 O( P' s' h/ V1 h
8 [: v8 e4 N" a9 M
; K: J8 g2 x2 [" S+ G j6 x% V+ Y, e5 @# S
4 g' V$ o: z* v T+ [% W3 [
; D4 i3 S; ]! G& H$ j! r 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 : r- G5 @, f) {/ H$ @6 ?' o# N
) Y S5 l( ]% a' @" k4 S. v
$ u6 H4 f1 x8 y6 f5 ?* `
6 x$ Q. k9 n8 [' X Z; V: P
8 U- ?5 `+ ~ { 9 V# @+ A* u, V r& m" q
. z& n2 u; ^! J1 S- Z# g
2 I# X+ u: H1 V) d 后话 ; v4 K* m$ T8 b# j- U
, J. J5 \4 S: @% e, H$ y
t6 ?! [' d, _1 H# L# A 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 7 \# p. h K3 g6 P& C5 b
" z3 R) N$ E7 ^' D4 E4 ?
' g! Z! ]- }( o$ \ Y9 ? ; |4 f$ [6 K9 |7 l' H' \
$ \5 ^3 s7 Q' X4 ?: G * @. ]5 Z/ w5 K* P# ^
8 g" o3 e# h( A9 f8 V& e + Z3 f7 |$ w9 Q3 G
k/ Y2 ^; u, K+ {3 N8 B; }; ] 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 8 U. {0 T v! C( S% ]
0 o7 H4 }# j2 m% P9 H
2 | m# y) J4 `/ u6 P* C% {' L7 b 6 W* J; G2 [ _; H- i# q+ O# \
( @3 q: A# N( x' y& }% i0 V/ V

中国网络渗透测试联盟

9 M( E- }& d! u' B0 n* S 无线or有线2 e' ?" ~" H O4 u

0 _( L3 k8 U4 o! i0 @ 内网渗透 % y. @# [' F% m0 _- X9 {