记一次某医院渗透（近源） - 中国网络渗透测试联盟

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！
" m% Z# @$ E" x" n
4 Y! \* {# g8 r8 _, kingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">

3 u2 U. |* G' n9 I
7 n4 L+ Y s2 z- ~ 众亦信安 $ c# L2 x. K4 B0 a4 p; P) g5 f1 v
: j. } Z" t( w3 J! x: g/ Y
9 ^0 R& T/ u3 M; r* ~& V 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> . J6 K5 j4 V: [0 }+ M% J
7 X7 k. h! l) b
% n# P% w( n! [5 J ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 0 ^7 e( \/ m# o7 n
W7 V. ~2 s2 U9 f y
6 U6 a) J1 j5 M. N8 H 公众号ingFang SC,serif;"> # e9 B$ d% d( E [+ s# I
0 C$ C+ `3 B2 Y1 X' T
; {1 n9 [- \4 a
; D+ U6 G4 Q, m6 B8 a! f1 Z: g
- G) M1 r! Q) j3 t8 C h/ ^ 9 W J" U) S+ b; D% Z* ?3 S9 c
4 g+ \6 n/ H; q+ p7 l) x
点不了吃亏，点不了上当，设置星标，方能无恙！ 6 N/ e4 ^6 a# B S
! b3 P0 B" c7 K" u- y- I ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> + O0 _5 ]! Y8 z4 d' J
7 G3 C$ d( T4 Q, L. C3 }
* P/ w6 X# q e 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 + D" p" f/ V, A1 d4 o; t
: }5 v. d# s3 U! B% S4 Q/ U
1 o! s. x! B$ `; R2 _ 1 P. I' I/ y- ]7 l2 \
# a& y. P0 A( Z7 r% H/ c
+ j2 _# k& M8 o8 g9 l # I; Y7 j- {8 u# [; u- B' Y# O. Y2 B
$ D4 R- u, G7 M- S4 C2 m( \ 无线or有线 0 F2 F1 ~+ ]6 |2 Y: e J0 @
0 Y J7 C0 l. j7 ~* V ' j: e+ y# w- |$ a
7 b! u, F' m# h5 q9 F7 e8 } ) P3 D8 w% J# X1 h7 N
# @; R+ F! P# D; J9 d7 F 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ( p% y4 O9 E) o q8 E$ i
9 C3 ~% |9 F- ~5 O7 }
3 G( i- ?+ F% V! A; s4 k% } 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 : J" a1 V8 Z4 K d5 `7 _; b; L
) W& P; ~2 v" _3 N% N) o
2 p8 N/ _4 Q* h: L5 L ) s, L1 U1 X) i1 S* d
6 B1 d$ {" v: O' K1 _' ]
B- J: R4 l/ T h$ B/ l 6 H2 H6 P% S+ j1 F$ t8 h! B5 L; X* t" v
. b% v8 g X1 |/ j6 X; [
0 g+ ]2 Y, s+ d* T J; g 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 8 ?8 U" }0 P7 C# Q+ X
' S4 { F4 G( x3 G# G6 T
9 F* _3 s1 E! e) q4 D - a/ v( q5 H/ I& [/ Q# r- ?
2 m% P! B5 p5 g' v X0 V P
' G u t. a+ _ 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） - [( a# {( t0 l
- p9 x5 d1 ]& _9 l( t
, e) H: Q1 U) }; M ) d8 J; o3 b( Q' h+ L. e" ?, L3 i2 U
4 O8 F0 W+ U4 E% M9 q, g) y
" `8 i# b0 Q4 _4 X: h1 z' X 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 & G3 ^$ q% r8 d) L
. C4 K2 o3 H% N$ j
6 |3 ]- N6 d8 z( C# A% l7 h2 n 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ' U: o2 Z8 g: [2 s1 T
2 w, H& n, `- l. y
- Z# S, X3 X8 h% T$ H/ D 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 5 I# a, _: ?8 q
: }4 q d8 H, G$ z" ~
4 g/ ^1 e0 u1 N7 v6 }' o7 X + k/ I9 {1 F Z5 T3 w; n0 M5 c2 k( a
' Q, n8 O& D) O/ E1 ?6 u! c/ | 内网渗透 $ Z6 O% V O! s- {
6 ]6 t- z+ Q1 g4 r/ {( ~ 1 p. a! l* y; J; }1 b* M, q
! ]# O* ^7 v% z0 ~4 `3 H; ~; h 9 D' j/ \; q4 s- L
: }- }2 m3 ?" j! P; o* S win下搭建cs和linux类似。 5 a. E- v% j2 b
3 ` O3 h4 w2 S8 c! S4 e+ @
, w" e8 b1 j) |
teamserver.bat + ip + 密码
4 e: }! }6 X: h0 y F
( R% n. Z: _! ]! v
- `; ^- O2 Y+ j1 h) w 7 W; b( {" N- ~- I% X9 t
' c0 I# L7 t: G9 t% Y7 e, U
: m! Y( a6 O- w+ W- M fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 0 W4 q1 F- v( u# d6 C. F
6 e9 x; p2 V, {5 p
: Z. O2 _) N( R# h" K" v3 B 5 \9 u% ?: V2 P9 h% C$ a
0 {- L4 A' m, |0 Z: e2 A1 X+ p" s
/ o) v8 N- j( e& r, O+ p2 Y5 t , v# {: W, a" l
. m* J3 K8 O8 ^) _! O
. f7 C, K9 P; y! w0 t. M" ^& m 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
- U( O* f: V G% O2 O; m3 a) r
3 Z% v/ O7 L' g' m# F ' y9 D( B- I* F
0 s- c" X7 A& l' k' P2 }- S8 Y
' s- g0 A( m/ {/ \' @, X " j5 H$ |5 C, V) D' g' v
2 R: {2 m5 q; E, @
4 [4 D$ V# {/ e4 o9 H% l) M fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 8 E9 z4 G/ _: ?2 y1 ]
) |. t8 J/ {9 G1 z! R! T# l
7 f9 S1 g3 t3 y7 k# d5 y& h PACS系统 ; ^( i+ c& r- U3 }$ P
* }8 e6 m8 S: H/ a1 B% g
/ d, m: f# K! y B7 O 9 X, U5 H& {- i' j
, t0 d. V" D' q1 A/ H K; T+ A# A
0 W0 M" Y7 V R4 [6 E8 ^
4 _; y* t6 m: x2 F! Z
; a( l# ?% m6 ~: _3 y/ O4 X 1 ^. h' y. t; u% O7 R7 ^
5 C. C4 ?$ E( h" t; q" x
, N" P" b& A) R% u1 W+ [; m HIS系统 7 B* k. g0 h" A2 t
8 w- L' H: T% F) |! |* H/ P
- u5 {9 C4 I3 B: J: b " _$ j" E/ Z, o3 r. M6 u$ ^+ K
3 R/ A7 F7 `( R8 V5 W' I1 S
7 ~, F1 b0 Y# E8 w( r) t3 F / t) l( s$ s6 _! m+ E
% g, t9 p$ {) h ?. U7 W8 h) e
. S" q2 D" h) B 3 \6 h- j: X; H X2 `& x
8 h9 X2 W! P" [* b: i
. L% h- ]( y! N$ \' Z3 C 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ) z4 y/ v" h7 m( @1 d5 ]/ _1 i; p
2 E0 J- ?; _2 u; |! G
3 N+ D- I; J2 W8 a
7 w1 D) c; Z3 R" [" z
0 {* Q& R4 y0 l) f% W! E 3 a" x9 n* B' X- }( n% s' b9 h) O. h
J/ \, _! g* s4 }( u, X
7 G2 m! t. p4 g0 E C 后话 s# D: E" L- s
, c! A! U0 T* E$ f1 b% K6 h+ E) G4 J
- b4 I. U1 K9 ]& E( ]( c, e" F% {: n 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ; w) N$ W3 ]4 [5 x! y% y
1 p& P, _4 e B) R- ^
0 E4 r, N9 R" g3 `- N p ( p: z' u/ L- B8 }) P \
2 ^+ R8 r9 j) x( N" q+ ?; h- [2 O 3 J1 c4 X$ R* q
: |, s, Z) V! O' j; @; |: ~- R7 | 3 G! b$ z4 f3 ]; ]
1 N* ]* T. z+ {3 e 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 : o4 W& C* x( Z+ w$ I
# y3 K" g: t7 I
/ I- r _4 _7 Z& z# I+ A & N% l2 G) V( t! v+ o8 V/ U. ~0 `
+ ]2 z6 e' m2 T+ ?. q" W

中国网络渗透测试联盟

$ D4 R- u, G7 M- S4 C2 m( \ 无线or有线 0 F2 F1 ~+ ]6 |2 Y: e J0 @

' Q, n8 O& D) O/ E1 ?6 u! c/ | 内网渗透 $ Z6 O% V O! s- {