记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

9 b. [- m+ @* l 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 , Q* {& N( f+ u5 L

2 g7 T3 V$ F0 Y/ O$ O& @+ G; ? 众亦信安，中意你啊！
4 a4 ^* r! h5 O, Q* Y: {9 x
1 H& `& L+ m4 b: U. o) F( v q: WingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> - U( w9 n6 J% z2 n& ^

2 z$ O6 }8 o D! F% W& F ingFang SC,serif;">9 x0 v( i. y; f* w- @: G

) t/ h! {' P7 m( K3 \& O
% C% l v! z$ ~" j7 D6 n' q6 S 众亦信安 ! R6 ^- X" S6 D
5 R# o+ _# R# z( Q6 e
! d$ i7 E! p& [$ Y 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 7 h7 C3 N" @( Z0 D2 [6 F* m1 l
7 s! {) ^2 R1 J
' D/ Q) c4 j1 h/ F ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> # p. p: R8 z, p1 i$ Y" Y* e
) [- b6 W4 x g' x& P
# y1 q: [% {% Z' P( T 公众号ingFang SC,serif;"> / M) Y" k) f) i7 y7 V# C4 [

c5 h, k" b# G5 M/ @
2 e9 L6 l7 a5 e* c3 \1 w9 r
. Y& x5 C8 ]/ n0 [8 K2 s& A 8 F6 u' F/ A d' J6 }; {
* o4 w6 e: I8 x8 r
点不了吃亏，点不了上当，设置星标，方能无恙！ * w, N. Z% [+ A& I1 B6 @" Q
8 i" T; ~: E/ F1 T4 H ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 0 c, o) K( `" A) a$ c1 x
4 W) C6 f+ c5 l0 S
% w ~* c3 ~$ X 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ) F" s& y0 h! F0 N! F* a
0 X j, X8 W/ X# G
# f" x3 L0 P7 Y: [0 q& o " M5 y% }0 q4 i" ~2 |9 l
! L7 G$ C- D P4 i" ?
8 p. v/ j: q Z+ @ ( m: \( V& g+ e0 X
S2 e' K, O0 P/ b1 a 无线or有线9 x- e/ n7 ]1 B( A) R4 X
; ?$ v) Y" m C8 {* F ' Y3 g4 F3 w8 a8 y6 h
+ I" k; j- n7 H( _! b2 E; ? [4 ^8 A + Q2 |( w0 {( [7 R' B; h
/ j6 Z& ]! O! c8 Q' v+ ?) e 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 3 Q9 O2 V, H+ d# ~. J2 v
! ~; G( b" z, ^" H2 `
- w) z$ ?3 J1 d4 r2 X 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 , w9 y$ y2 G& g# h& D0 q' l6 ^% i
9 s5 _9 }: S$ p" t/ X( M6 [
6 s/ m* `" T; q; Q# j: j: y % ]+ a% ~0 E9 Y1 _6 I ?3 P

& N5 f" z$ O2 h g, `" w; D/ p3 z & V% p% H* {% b O6 j1 m: R$ b! r
- c( A: V% S( E2 |: V2 V$ i, H
$ l0 S: _ \/ H! O 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 7 o( M1 u8 Z" c9 G( u( R7 e, {
, n$ Y* P! H2 { D$ g3 ^
0 |0 N1 Z( d3 @, v 1 J8 c7 g5 g1 M3 \2 G, N$ h) J7 z: E6 J
& R+ y$ l& l- O3 V2 J% h5 W7 r
6 P! f% C% y8 ~+ b2 G 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） t& c6 A7 R: v1 I
$ W4 }4 r* F5 n2 f v8 h7 y, O8 @
4 l6 W: U3 _1 ]/ x $ c. n7 w) J$ [$ M' \& I
6 S$ R1 y! _) \8 O" m
6 s4 P1 t( N1 X( R' t5 Y5 S 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ! a0 Q: z, w3 q
; H5 ~4 s! O L M, q
4 ?& ~& Z# o* s4 `9 L- p+ f( P 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 # x' b; ^0 g7 t1 p% h( D3 z/ W
+ F8 w, c2 m7 z" K7 W% }! }, m6 e
p; M& B. \# ]! H1 v) B0 R. r 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 % v; d5 l( m) F8 M
1 z) l. N! Y8 K" j8 S. x" c; Q4 S& f
9 p0 S7 u4 a' T) C: {- M9 c 7 z: T: K5 o9 K+ B
) O1 n- B7 t5 [+ o6 [* [3 D& U 内网渗透 * s# R+ z7 x6 Y; R7 E
0 W( u! g* C' \& @ : X3 x' B, h& u" V5 c" m: R
' n/ {5 Y* n& D: a$ l % Q7 W/ R! q! G) o0 e' c
2 }9 n3 b' T" _ win下搭建cs和linux类似。 $ $ h: w6 t1 s% `" F* c
2 r* H8 G6 W- @! Y
% p: V, ?0 ]( L. V
teamserver.bat + ip + 密码
/ L4 Z8 V( Y7 R5 K3 ?
- p* N: f n; S( ~
5 H- E/ k& u- g3 D/ m% Z 4 V7 l6 a" E0 I7 A* {: z1 h
/ }2 d5 s8 l) E3 s% S
! Y" R- T) A* c+ @, ^: _$ y' s) }4 h; | fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 0 m* p$ L; J5 e6 M2 f2 O9 I6 ]
) O" e$ L3 k1 S0 }* Z% n: A
6 Z* }- s6 g* ^6 {7 X) z- b ( B5 M3 v% I0 $ x+ u
) r |0 R' X: y$ e
4 @ G( @1 Y! P) h2 V( n / t! {" { E3 }) C3 z- [# H7 H7 M o7 e
; \0 N) q% z1 i {9 b; j! T8 c
2 \) F4 ^# W5 r 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
& ]9 R G8 S1 P/ `/ Z$ z
7 j$ B8 z2 m: h % `8 w6 H$ V3 j
( n7 j$ ?" O* p& H# [) a
" n3 C M; f: i& f9 ~8 M8 R% c 9 p% g: g1 \( y+ N1 b
4 H! F, W" _' @1 Z+ L G
9 V# e8 V% r0 S9 w! U3 [; N4 d0 r fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 : ^+ h: i( t5 Y7 A; R4 B W
9 @$ d1 J& @, Z6 ?! w
1 x3 r* f. ]5 ] PACS系统 5 P0 Z/ U, j2 M% ]
. [% Q5 `. D) W4 t: ]- }3 S
* B v+ Y6 D+ I& n ' k: J$ K# N0 r; c2 `! {' V
0 s/ |$ B4 m- {+ G7 i& c
) K: p9 f. G, J: O) F4 y
5 S t: p: C Y) U9 h1 @4 d
$ f2 N. j' u# i t + I* w% ~/ y) M3 _ s% |
, y1 A- Q4 [( H: j. O8 `
" r6 a, W0 F* p! E5 H$ o! f HIS系统 . \2 Y- y$ g% s7 s) ]3 u4 I( x
: Q/ @$ S! u" L& V
* T: _- Z m& l: c. m / d! l- S2 S) X' L
! F: j: A$ x. I4 o
0 Y( m/ \- ^- A, e ?; A 8 |. s. U* V0 V! t- y# ~4 z4 k, n
; i$ N3 z* b! ^( b6 X% U, W
% Q4 n+ z+ X: q7 C9 i D9 ?9 {, x2 L, K! x2 K4 P
$ y8 d% g6 m1 L6 U0 d' t p
$ m3 C# n3 z" t) n% _* C i 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ( d. k1 t( q5 I: l( U/ K& j0 N
; S) M- e N$ e h. l/ H
: l. P2 g; L2 d. Q' b3 e
" c) z5 l4 t; Q' l. E1 g" p
& z5 p6 y/ Y! `( H' i6 h + k5 ~2 T7 `5 ?0 i
; }9 r3 {! ~: N- H: w9 |- l1 `
. q } m9 b: N P( w/ J 后话 3 H+ _& e4 s4 D8 }, c7 U: P+ m
- a2 B9 Q* K: Z; y
0 J6 O6 J3 Z. {$ F" p1 m 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 6 ?# }+ t- {4 Y8 Z( g
- @2 M+ R, K7 k. O9 ^
3 A, }* J! x0 K% }2 w ) x5 w5 o6 Q6 [( S3 Q
3 o+ r6 ]. C3 v3 o" Z$ u! Y/ w * J4 U# R I. A( k G: l
3 ^& d- i2 v& |& m6 x 6 K* {$ g5 G6 w$ | U7 B) H+ j! ]
! A4 o7 r7 W4 r B' u. g) T; ` 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ( ?; D, F" c) ^% m
5 s1 G# w* z/ D2 I" H
* l$ [( [0 y0 T3 O" ~; n! t / P, M1 S+ o, \/ ~$ H. k
7 a$ {' L+ v7 _

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

S2 e' K, O0 P/ b1 a 无线or有线9 x- e/ n7 ]1 B( A) R4 X

) O1 n- B7 t5 [+ o6 [* [3 D& U 内网渗透 * s# R+ z7 x6 Y; R7 E