记一次某医院渗透（近源） - 中国网络渗透测试联盟

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！
/ ]1 Y" w& P9 H" A1 e! P; G% D
6 Y$ N9 ^* l |1 B p5 D! JingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">

ingFang SC,serif;">

+ T, v3 j3 s2 g) D% [. g, B4 L# w
; p* r% Y& x# l5 x 众亦信安 0 l: ~5 k E6 X* a& m: q1 O6 @( c
5 W. G' G1 J; B" q
Z: F, X" u5 x2 \2 e 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> - u s$ k. ^/ n
; P+ U0 T/ a3 ?
' P( m4 E) O2 P5 Z3 M3 m1 w m( E ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> / n+ A1 T& K- J
$ M. q( l w. b4 m7 [- {0 w! t, C
" ]) c7 Z& O/ r ?6 l 公众号ingFang SC,serif;"> & Z. ]* S, j/ z5 q( G
9 d( J7 J$ z( Y( n# _& f4 J
( r4 l, L+ h/ j6 p. P
5 v( ~" r( S% F0 l H3 \# t2 ^
# a/ m3 K+ a: O4 x6 [ u: z* a & }/ k* U+ B- @# q" Y5 Q
# X# g5 Y% d0 J, i. r6 f: Q; `
点不了吃亏，点不了上当，设置星标，方能无恙！ % a1 {- @: r3 j. X0 ?
" d/ R% t$ H) c7 X8 D$ B0 X ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 6 Y4 r. O2 @& e; K1 V6 A' f4 E
' Y$ ^. k$ E* \8 f% U2 w/ j
7 K; p3 E, z6 u8 \) |: n6 `4 k) { 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 , }* d# ^, b8 z. P. B/ N/ L
& ^$ m/ }) [' K6 L8 ?) L
( L& T; b/ i7 t& l( \ 5 m. p4 m6 w9 F5 i! @/ I. I
! Z" G4 `0 Q0 }0 Z; w- d
3 W. x8 G6 H1 E7 ~ 5 \7 u( D* _* T0 E9 O5 p N
3 B& |7 m0 k# _' L7 p 无线or有线 , P2 v) c9 d, S) {" |3 Y$ O3 F9 v
: u6 ]) f. o# n2 I- f/ f% p 7 d% K t0 y! N S
# y# _ C/ C& s0 \% \, n : X6 c1 E! e1 O2 ^* I/ ]! x! z# t
6 q9 ]" J; g) H) y, d' p8 S) ^ 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 " `9 x, H9 j( q7 Y0 I, q R7 b/ D* G" T
' h2 y) ^# E4 u
7 r. N* P2 z& E& X6 Q( _+ ?# ~# I 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ( U+ y) r6 R# q4 I* u5 P g* G' K
/ d: [% G& S% T
8 D6 a5 T* I$ O7 k8 z 6 J5 G/ m( ]+ U- C2 ?: B: B; @
! y( C/ c5 ]" f$ ^3 h2 K
8 n2 g, Q+ F: W- D1 l ! B' C" _1 i3 t" X
& M; B' H# {9 m2 T* ]
4 _; }5 C1 z' S3 l/ Q; s 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 5 U7 I, |' ?8 |- i. X
) a; |. B2 s8 B' l1 O, A
' b. g ]6 T( k, S; K6 x5 A* r / d: Y' `) M( \/ x9 ?$ o
; _2 k. _% a0 z
! l; C2 g. N& e- h3 h( X+ ^7 O 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 7 J T5 a, s1 T$ l6 U( j5 U
6 Y( L( t, V0 Y6 V8 F5 Z& l2 \
# w5 D; u/ b4 U6 m - w5 D9 F$ c* S% D" `
. V: I) T4 {( W, W. ~5 X
( \/ k1 V# E; o/ K2 p: z 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 , s& k. g; @+ t' R
0 Q- d# d& f% I3 ^1 a' {6 Z9 o0 R
3 I) _# N+ K' q. x* n8 f- M 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 5 ~+ x& R! Z* x- f. Y8 R
, B( {) M6 r4 k8 v
! V* [+ y3 R9 B: { 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 4 ?! p2 B6 j0 P
8 }& g# Q! d) J( Q! Z) r
! f3 ~- |) k* R! w' v 2 f3 {- F# v9 C8 `8 k Q% _
) j: N5 r# B2 n7 C9 M% S 内网渗透5 {) t4 o" O1 o9 V0 }
4 L! W: C& S. T( ?8 }! q . i3 n/ I: z3 X9 t% p
! v) a( s+ {# c; @- x0 b3 l 9 [- C+ h- b" F0 s( ]4 }
7 a1 t! U- `* l7 V0 x+ o, d win下搭建cs和linux类似。 : D% r1 F1 R5 x# o8 }+ D
; w" O- X2 z- ?- w: z. r
; E) G/ R* L5 I7 P
teamserver.bat + ip + 密码
/ _" A* F& U: _9 g% U3 ^% s
- C* j- A0 t, \" c( K4 U: C
& h) D J, N4 W! J0 E4 s; P " V& ]/ ~/ E9 I
) x- K$ [) ]! g. x) `8 O
7 f& t2 N# ~' G; S fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） O& u6 G6 n3 Z& T" V5 H
b7 Z, v; V, _4 [5 D- \3 A, m
3 x& o) p; @+ E9 t) v+ t 5 s* I, Q0 [; L3 J: H/ U
/ a$ t2 l; c3 K3 `3 M2 n! ]
$ W0 _4 N4 A+ B' H/ s2 K5 r4 B# Z' ~ ' f( x- ]7 C6 ]2 W4 |- |9 g
: C0 n M# }0 n2 ]5 }. D; F
- J* p; ~0 H; r7 P1 S& } 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
5 W! X# ^% H; [1 ] E- U
7 E; }% T# W0 Y: t/ v: j* y " e; I% Y4 o0 R g3 O* T
. m5 o9 b7 H. h; h5 A
/ Y( S, G' r: \! _- Z 4 u2 O+ o3 j: w! D
4 \3 [1 V. ]" n1 z+ E2 E& \
( a" }0 g% s3 ?! ^& F fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 / r0 @1 j) y& _# @ K0 i
Q1 \7 t& s" q" [$ \
2 U( U7 P) T% ~ PACS系统 7 M& l$ U' Y) x% S2 D3 a7 ?. B
3 Y: j6 ]8 w1 E* N: [
! B4 f! i$ \; A$ k5 G5 A. x ) j8 E3 A% ~7 O8 Y
0 A* }7 Z9 v& W9 Y0 W0 |
( c$ _* p) ]0 l9 Q
: P6 Y" `3 Z* A$ x. K8 A; h
/ p" \ h! i5 ^2 A! m # j7 g0 C( s! `6 G; S2 a, |
5 m& W( q5 E0 o* K6 K7 |) I
: ?( L2 X* s6 r4 j/ J; U HIS系统 . B# ]7 ]- B4 J# Q* g7 {4 Q9 B
$ O3 O" e2 h) ~5 h7 s: d
+ s3 D7 ` r* O% [& s . O" @ g" N+ b8 A
# Q* X3 T3 M8 ~! T
: @) E+ j5 J- E* V2 ~6 a2 b 0 @ a3 P( Q: G# S
3 s) M& C5 c# {' n/ q
9 e6 _. x* U+ k ' _. s1 ]# D1 d7 x& c& \
8 x- Q1 k5 [3 w0 a2 N1 b, m5 u
. o6 ~- b, a/ K6 g; X$ z2 L 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ) {0 i) S1 k$ P6 d* _
* i) ]3 R; F# B0 z; u( X% A
5 W8 k& j8 `- i* s* x7 T- E" L
* a: L* I6 L8 c+ {8 s( W
# u; g9 G$ B- Y 6 d3 k. |9 R4 U% N2 x, G, {
3 m" m) ~4 K& F7 c
6 {7 s2 S$ P- y1 v; q" p0 L' m 后话 % d g' U) B2 J( y4 c3 L; Z
/ Z; L2 d% V( ?; F
+ x3 n: l: N& f3 U( }1 d' D+ w 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 / h4 f% ]/ [; ]( W0 |% e6 L
& O z( r! M1 |
0 Y+ W# |% i: q2 `; L/ u- Q- | r 9 X8 {* V! t2 I7 ~6 b2 W
7 d4 T! f) x5 o# l. O + c) ^8 s( ~, u7 b! x
9 X8 K' K# k. Y0 D 4 l7 |& V" z( m0 ~0 V
3 |1 [( J* H g. u ^* G4 C2 z; K: Z" S 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 }" A* Y2 D5 c
4 y# x- z+ L& \, q/ V+ N, e! U" P
7 w# m0 W' `+ o0 t2 q! G6 Q7 s e0 a* g% b3 c8 x/ H0 ? V6 b5 G, @
8 O% r" b" I1 j# m- f/ i/ U3 A

中国网络渗透测试联盟

3 B& |7 m0 k# _' L7 p 无线or有线 , P2 v) c9 d, S) {" |3 Y$ O3 F9 v

) j: N5 r# B2 n7 C9 M% S 内网渗透5 {) t4 o" O1 o9 V0 }