记一次某医院渗透（近源） - 中国网络渗透测试联盟

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！
* N* h& o8 B3 {5 A, T
( j! e3 y! m( R Z( X7 S ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">

0 P3 p: d, C; A: a* W
* z4 X( `( j0 u' ?9 i 众亦信安 ' [% N! B- \; `: A6 U
8 T9 ^ V) R$ l8 m8 g
. h1 t8 m# ? r; K 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 6 Y t* e) s% Q4 U
5 h+ r# q, b: J8 t$ p7 @
- k" L3 L& L4 e; A4 R8 Z6 { ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> " l* ]7 K8 S& i
9 E+ c9 ?& C8 M; A$ W( K6 I2 y
3 R/ P. A- r1 G, X 公众号ingFang SC,serif;"> , K2 ], E+ h5 c+ e$ Y6 G3 t$ F: U6 E
: [8 h' M P9 k6 j- O0 X! M0 j& ~
/ j* t. r- ]/ X0 X& b9 N3 j4 X
. m O0 m9 b* M9 i" s5 }
, ^6 r3 V1 b& K2 H! N- d6 L + m# ^" n& f; h5 P
! o6 h* h. \) W, K
点不了吃亏，点不了上当，设置星标，方能无恙！ / H" ~8 B# I* ^5 b( {) w
/ i- x9 P0 f' F1 l: s7 K ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> " e; N/ C8 u6 @1 y/ D
' E0 a$ a& d. l0 J( i7 c
5 f8 S! i1 ?6 l6 P/ h 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 6 w2 J K. N0 D- g4 D6 G
$ Z" U/ V2 z" d: M+ ?/ @
0 P, L# R% x4 }- }( }, W % K c! q& h* ?; C' ]* }, D
V l* {4 X# e1 E1 ?* s
/ v+ I1 a9 t3 m; o( d $ j1 b9 g( ?& O; s1 d
1 l a- _% H' J# k, b) W 无线or有线 . U% g( a, e0 X7 U8 F9 \7 e
' M: a. p/ W1 R* [" P 2 S1 n j6 I$ D& N
) E4 p, p7 F @. n* C $ n. W/ ^/ ~0 Z
3 {( X+ P3 v) M& L! q 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 $ s4 |: ?9 r3 f: X" Z% x% X& r
6 ]9 w3 U" l2 C% L* }4 b
: f- l, ^1 x0 o3 [1 j 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 & H; I6 i9 m. I" e2 H$ ? g
r# k/ q0 l1 J( f6 _
4 a/ h: ]5 R/ | 8 e" L& W- O& ]* Y$ Z) A* p2 H. n
- z# ^- e0 z& G8 p( D
^0 J% j9 m% ~4 k1 m 9 c( ^5 }* [6 G8 D
- Q, w# D1 g% S! k$ K0 u. Q
: [1 @( ]' i# {$ x/ p 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ' b F2 }1 ]0 I! z
' q1 X& o. S+ y' x1 e
( H& s% M- r" I" a6 ~' d G 3 W5 ]- E0 z/ l* K1 C1 v' O
/ ]& ]" @0 O; g+ K) H" L0 W
w1 K1 w' i) v& ?3 [- n% _2 w 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） . T2 h" W% Y% z. p, _- I x. A( P
: G( ?" ~* J- g3 e6 ?
+ x( K8 f3 Y z, ?, S! N- J' }) l* u2 P( y , s8 O& s0 d# b, H; q/ Y1 x7 n* r" F
/ Y* T& x2 L9 O/ ?; j; u$ Q8 ?
! q0 I8 n y, v$ R0 N 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 , F% x! C0 K% |9 Z4 [
1 ?/ Z- I* c$ |% ^
4 {4 B# k# u3 P! U/ b 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 * _' T& `: v+ F4 n- \- R6 J4 }
c) S) D) g0 C( A! M' o. y# b
1 w6 l4 h: ^& C# x$ B& `; e0 N 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 1 j- `2 F" Y2 s; ~$ x: M
P0 n4 Q8 n. X9 {* G" n* L% e
' y" ?; _, S# x% f/ E+ |7 e3 N ; i4 T- C/ k0 U0 S9 @" ?* s; A4 B* g
+ c/ X8 d1 G2 N 内网渗透 $ K0 v" K1 j! E& e
5 A1 l6 Y1 _. M 5 c" G4 v0 T$ K) l! s. T- a
W, V% I( M! C1 {$ B" Y9 J " a) n3 X; R' L, t' v
1 G3 d. k# J& U2 b# d win下搭建cs和linux类似。 4 ]& X7 W# p/ j" t6 ]
. R* O% y& L2 e3 \9 s3 i
& N# `( b$ Q. ], l
teamserver.bat + ip + 密码
$ Q P. H( T( J5 D7 e" [
; O& P( C* b6 A! p
5 L( e8 T7 V. j! C0 \ 9 _: I `% S* X: T1 t
' F. |& s$ C: t$ d$ l
% s$ ]3 u+ i; j1 B3 I% k fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） . W! m! p" y6 h) k4 u, F. A. S8 H: Z
, j' c2 y2 T0 X8 {- W& v$ w) C
6 z6 \9 N" g. U( L3 i , q5 s6 y9 a* L
5 U Y7 g2 H; V! l: Y0 R# C/ n0 h
) W+ N! m. L' c6 m) n( j7 I - k7 [' N+ ~7 ~& H& E, F
% N; T% L+ w4 E8 u, o
; s5 h" h/ J% @, E' { 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
5 R$ G9 J( }9 x0 n- V( R m; n
$ U: l1 ^- L; P; Z6 F 0 A' C4 k5 J6 P" T3 l
s, x! t( h; \( `4 Z: @* u
- D4 `9 A' G' x ' U+ h t0 A" n
8 }$ Z2 t5 m: h' d6 `( o- f6 s
6 Z& i! x8 i: A" T, @* z/ e7 G fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ( k% _$ k" t( p: Q& P/ n6 g, G: E
" O# g( N' `# ]5 ? G1 l
1 ^7 |6 F* V/ t1 {5 u4 |) m PACS系统 / ~) H) l9 a- N) W2 b
: b) u9 X+ [( A% Z* }8 d6 w- z
. {' \, d) D2 o5 F , h4 s- p/ r! i
5 m' i: v2 U& l* }- D" x
' P2 \/ N' R& ?% \3 |
. F/ e' F7 s/ [8 u
8 r& F: z) g4 n3 I2 x5 X2 _ - P( s- Z0 c7 S8 [# i5 D: M# W
% M7 t3 T/ u4 |
3 {$ ]- |- U# S$ o& G: k8 h' W q HIS系统 6 Q# V2 i" k: T* ~# m# D# j7 H
+ C* ^0 n4 U( G7 D* j. s
+ j# y4 l0 p' l3 Q 6 a! K# F% P4 s' T0 T* V
; i# f7 y! I0 K4 u/ L3 a v
" C# D" h6 T) o5 z# } , h4 c1 O9 P; f6 }/ o+ Y2 y5 J/ [
. h% z, G$ f0 g* C' o- v
1 k2 V; M& Y e8 T. ^; L% g : L$ S: ?* o/ _
, _+ z2 \/ q4 G" u; Q; @
, A" h' L4 J4 K2 S6 P4 v 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 & d) z6 C& v' `8 i' C/ r9 x( R8 Z
* m9 \2 I4 R. ?+ O' G3 }. g6 `3 G
' c0 Y( x5 j o- {
9 d( b. ]: r) M9 _: u
& ~9 S& u3 ]; d% Z: [5 F6 o. s6 Z7 Z: L9 D
6 L- f6 T* y0 N3 i
$ R, E8 r! j7 Q$ d 后话 / I' l j5 W# K
, T, k$ v8 I5 H& J
/ m9 k! y3 m! V" `) J) [ 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ! c3 E/ J: ?& J6 c
2 i2 B# `- b5 [7 E
1 {9 c2 g) l- @3 z, g, L" x " _# T! O8 k3 Z. l/ n5 i
5 K2 Y( Q0 l+ d& u0 u) A+ R % ]; n; P: U, ?" r9 F0 m9 t! h
1 Z) r: }+ L2 U. Q# b- ^6 B, w + C. }' u8 V, f/ r _
6 u; `9 n( E) a* Q M2 d! W2 p 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 : Y4 A5 s2 w- _: X
! m' N2 |! T* I9 B3 p+ T
4 H" O% |" R' d( L0 n ! |/ Q; w" b* j% O
1 E2 i) v1 L; K% a9 {

中国网络渗透测试联盟

1 l a- _% H' J# k, b) W 无线or有线 . U% g( a, e0 X7 U8 F9 \7 e

+ c/ X8 d1 G2 N 内网渗透 $ K0 v" K1 j! E& e