记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

5 J9 T* S0 S* G: _& _ 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 0 |# X, D e5 n! F

r; E5 _* X9 g6 b3 S 众亦信安，中意你啊！
7 R; M+ q; X. ?1 X+ `! e4 I% F. w
. O" M5 f2 h) A' K+ k# R5 a" qingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 9 D% y! d! q2 z. m

6 @$ [+ I- R1 B0 C: _9 C6 p ingFang SC,serif;">6 N b6 }" Q- P( R) s# B, Q( |& | v

$ L/ O# m0 g( R3 j; X
* Y q; H; q6 k& q! c 众亦信安 0 ?# ~5 Q1 ]9 \. o/ o$ O+ t
) @& ^! X! c( k% W, P, f! a% F( q
5 [7 m+ |1 b0 w$ U: b" ?9 | 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ' B, ~: S5 V4 @$ }! X
/ l; r- L4 g! E
g" M6 Q' {1 l. } ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 0 J( ~0 t: ~) b- |. D
- B# Y! u0 U8 m% M5 f) {5 Q6 C
8 R% O- `6 J6 G6 d, d+ Y 公众号ingFang SC,serif;"> ( a3 t! U0 I* n z, y# [$ ~
& d' j& |/ q3 A5 L3 R! f, _! d
# ]( e! ^2 T, o' T. }
& w% R% O6 R* F) ?. S
$ \5 D; d( X4 n0 L: \: L" g . j: T2 i5 t8 H% F0 h% r$ @* K) c1 V
5 E9 G# i4 ~% O. h
点不了吃亏，点不了上当，设置星标，方能无恙！ 0 E, k" Y' a o$ x1 ?
- v" G- Q: k9 c! G ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> & g ^& c; Y1 V0 X' z
* ~+ y* A7 f1 p( R7 J% W# G0 e/ W
6 c, Q- L$ o9 O) \% { 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 4 E0 M; u* i# I- X8 J# w
: [3 X' k; @+ g
" U0 f3 w% I0 A5 Y" ^ $ s) K7 T9 L- V7 @" _; }0 S. I
4 u8 Q9 W3 I) w/ l- a2 h' m
1 Y4 v+ W, |3 i* F) w `. Z6 r8 G0 s( Q' n
! V: H! ?! x9 P, Y' u& e3 @ M 无线or有线 : j! I0 K! w! Q. d, _) Y
. R H' }/ [4 O' c, m* x2 d* Q$ e - X/ t. p% Z) {3 ~% m# l
4 S2 E9 `2 R/ u' D% s : b% k$ h v, m. q7 a+ X
3 B% [/ a6 I, B$ t% H- l, |% M 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 + y3 M: ~8 _, H( R7 G
: D5 o8 l; w4 x# _7 P
0 R# m8 v7 ^; ?0 V8 z 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 - `+ y1 h/ ?$ b6 y7 z8 ?( P! B
( {: f) ~. |; k) u4 s# Y- {
; y1 u& f' v* N* a / B- A8 m: e# k; O' E
/ {$ i& v/ s! ]; I3 A% S$ [; t3 `
/ s3 ~# C4 }: l4 a9 ^ 2 v2 r6 C1 p( g3 s, l( a. H
3 c) W# S4 d% g5 \
& e' W+ h* n) n 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 - h( E) j9 H+ m. u/ G0 l+ T3 r2 \
8 T, {: L. F3 V2 @' f
1 D) C2 ]9 s2 r7 L 1 x K& `3 G) W% p' `. |! L. o1 h+ s
( W. M! W9 s# l/ S, h4 u1 ^7 `
) g$ N! u0 \$ R% I 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） / h; O) u& Z# l# p' e( i. M P) ~
1 n9 l5 |0 S9 K
$ ^+ u2 o$ Z) x6 d5 n% I: W C1 T" ^ . n3 T, y6 e; G$ x) L1 K0 s: b
# a/ {' [& i, v1 o S4 C
! v S5 v2 s# G. h% ?- @: F, [ 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 2 W5 {0 `- a5 l! V
; `* I8 \0 j" m$ T
0 F0 E* s: T8 g d+ d% R ] 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 4 u0 e4 C' Y! H1 J; ]
# M( i8 b2 O% q: h9 M/ W0 q1 a1 m
$ F# F$ y, [! c& { 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 + {& R1 a+ [( F8 H
* N# S4 g1 K2 Y2 n) o( H
! i% \" @# m0 \ / [4 U+ s+ G8 s5 t
& p/ N: ` p; J3 h3 h& e 内网渗透 5 c! m' u4 i, u- B& H
* x+ ~' d( v& j & H; t1 |1 m8 B m$ k
. _ b+ r5 |2 n4 A6 |% V5 t6 w% z 4 g J( x( }9 e; [1 I' f7 q
9 I* L+ V; i/ L* | win下搭建cs和linux类似。 : m8 _7 U; Z( t% G- [( m% n) {
0 e K; ^8 y' z6 f3 s" u) Y$ Q
0 T5 \7 B3 X5 W3 U
teamserver.bat + ip + 密码
) r2 Y8 f" M- s3 b5 M& A
; ^# R2 T/ H' z+ d: w$ c# {& t
8 y) Z9 W1 l, |6 }6 n6 ?* @3 n - T3 S% ` Q' @' u
4 H/ ^- x; B! v$ U1 V
; E9 j% i( s9 c fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 1 G3 x7 W6 x4 t. r, K8 W, g
$ K+ F: ]* W$ ?5 g8 j
2 h3 _ H4 Y. A8 P" a" r& |0 K + G5 q) z, t5 B) t; Q3 |2 ?
+ ?$ q% O# Z! l! S0 Z1 {
1 R J' Z* R7 l: A6 C , `, F5 `3 a1 N+ B
' O$ Y: ~' T1 m0 ]$ f: c& j
5 d) D; E) d2 ?2 c3 o; f 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
: ^3 x5 ]0 s6 Z, A5 [& _
+ A1 K' }* ~. U" j: _ 3 i1 o( P/ k9 o) O |. B
" C$ `( U; i7 R
$ r/ z) S7 \7 [. f! z# B : d, H; U3 y& |7 w0 ~) h0 N
3 f2 ]; P% W% B ^
, N. B- e2 E2 Y9 j fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ! Z" H2 g# b/ j5 l" I: v1 d
- r c M9 w0 Y1 g' C5 w
3 O1 I7 b1 U% z PACS系统 7 F- `2 f# z/ L
5 q6 J0 J$ j9 S
d1 i; I5 Q7 J* x; w2 R! T2 u+ y 5 y" m& x8 x4 K. o4 s# D6 ^
! t7 x. D6 F2 e# D
5 d) O7 x) t' i6 l9 [0 ?! Q- c
( q \! a; h! f) R, v- W1 G
: {' ^7 u) v6 F' J4 e ! E }8 L3 W7 v6 n- @) T# m; z
9 N$ V) W& D$ J% m* H6 h4 w
5 p! u, E5 U. j h" L) p9 O$ S HIS系统 5 C) b+ K) k7 S: t
) l( v, u. \. q0 k( R) i
& v4 T. x* R7 s* H8 d3 G e) @0 L& W" A4 @- @1 m( V- n" x. }
+ w7 f4 ?, t! \! f
" O* h' \, x0 s4 [3 ?1 l3 N ' }+ _1 B* S0 i3 k3 b6 d2 G
& a7 i" z5 w, d
5 }( G& z6 J! T! j # f- |# r3 Y. f
! j! k; o. y: h
8 D) m9 s( j* [ 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ! g2 [" |+ j; `8 K
1 k0 ~, o- O7 a1 Z5 f( [5 D+ {. k
) ^$ J, V/ }$ A6 O; i6 M
7 Q9 o0 C }3 I' ^
; C) k. }+ I5 b; _5 i' V) u 5 E. Q# [0 b9 V0 {+ [$ e6 l
6 }# T& f. v: [$ X; g! j
8 d( b: g/ W. I/ ~ 后话 3 b P/ }2 K1 S5 W( x9 y: c
, l- Z |' {: [8 }1 I" n2 Z: P7 t
7 Y d: N* G7 A) {5 J* e3 B 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 5 F% v4 m' u& t! H ^
6 B/ P: g% K" K3 H3 X$ j! F2 o
* Z( n( h( O+ t* t2 P + Y/ k. w) r$ Z
- ?0 ^: V/ |5 n2 G% M3 b : L& x! p3 p q/ h4 T1 h; x8 s6 W2 R0 D
% ?3 j. T! d& ]" o [1 b* i/ n' R% M6 I" `
" |7 |! \( J9 C* s& c: o( B 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ( @% `7 r( L# J2 f
: A: _2 d* S$ @- y2 S0 C: l0 z
. Z( z) g' D3 u, a3 Q. M 3 ]" p" w: i3 a5 k
2 N& K2 v7 b8 |1 S2 e

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

! V: H! ?! x9 P, Y' u& e3 @ M 无线or有线 : j! I0 K! w! Q. d, _) Y

& p/ N: ` p; J3 h3 h& e 内网渗透 5 c! m' u4 i, u- B& H