0 D$ R0 A; I0 o( W, @$ b
声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 7 K T" }- k, P5 `- l
/ F" @" L' y |. g6 a; R4 A, L I* m* J! Z! G# }
众亦信安,中意你啊!
" b' X2 f: w( |
2 l+ @& m( U1 A+ FingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
E2 B4 h) }4 ~& W
! C2 a* _6 r2 u- W8 y) n. C5 O' K: z8 _) W! H: d6 Q' X
ingFang SC,serif;">
) @; H: k4 O4 w- |
6 b# A; ~7 T: s# N5 K ; x |7 k% q! n2 y4 h. h8 c
/ T, r6 y, i! G1 H" O4 g9 z 众亦信安 ( E M2 C; B/ D K7 ~
) b# q( B3 ?- h3 |- P/ _
; F: p7 v# g% x' n7 P 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;">
/ k% N( O5 Y! ^$ a
- n: d8 l. g* f% j+ s* m) G8 P- r" e7 K4 w& t7 K, N9 u
ingFang SC,serif;">26篇原创内容ingFang SC,serif;">
- Q) }, E- q( y8 ^- p( \7 n
- k* p$ B+ A/ `4 |% O$ [& k! _0 I6 f
2 D# G/ _) L' Q& e( \7 i 公众号ingFang SC,serif;"> ; ~) @2 Q; g- k* H, C+ ^9 o9 _
' m9 e* ]4 r1 K0 _' a
: j0 G! g( u2 A % G: V6 f. F+ y1 [& u. V2 @+ D
" L7 @- I8 H; h8 T
4 c6 v* J( |: T3 @' W K, o8 c, f
& u' a$ y( i7 M! d0 W
点不了吃亏,点不了上当,设置星标,方能无恙! . L# X! M, Y8 q5 c- }
) T- ?; T& n9 P) s% X9 ^1 K! h
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 9 y, B: S# x/ J
' Y: g8 I/ d! Q. ]. `( C! e
+ A- a. |+ y8 z7 U1 {
背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 ( S% r' ?& M6 s" ?8 X
4 F) z+ B# {9 G* }
' b9 ~) E2 r0 u+ S I. p 2 E/ y: n6 [( u* W
; |5 n8 I" E- u* }$ p
^2 e# e$ |: u7 S9 `
* ]) V% d+ u1 [& L- V- K' e
- `; w; ~! A$ \' K 无线or有线' t5 y( f5 m3 f
1 t6 _8 K$ x! i+ X* `4 P( d
$ Z" R9 Z3 D/ o0 X# x1 i0 m + v/ T$ `- I1 y
6 e6 }2 G& L0 x
! [$ h$ ]; N! ^ s* o8 T5 E, O 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。
0 V0 ~/ B6 U; c7 l3 Q3 S 1 P" l6 O% q- e L$ L) Y, S
8 m' V+ Z Z" _1 d& j- G+ e( K3 g
一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。
* F8 S8 U$ t2 T( ^ 7 x/ {' T8 l8 ?: G
6 B( X$ p& _" Y; B4 ?
" I; V( A, I+ J , I, |) E( J6 x! F1 o% e, ^
3 _ k) z" X$ ?
! t8 p* |. Y6 ?- I9 P( A7 V8 i) t 2 I- u- k6 L/ C" D0 H' |: ~
4 m- t( q( S- X. X
这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。
0 ]5 Z4 ~# g0 w+ {& {. X: ^ - n1 U$ h+ i! C& p' S c
' g$ c, b% l- [' Y( P7 ~/ Y
# T# c- o) ~3 B% }9 L) ~
0 N% e' s |7 p, ^+ n1 Q( H5 D3 T. ~/ G
很快啊,美团下个单,没得网线啥也不能干啊。(血亏21)
/ W7 Q# o& X* ^8 V/ h& C, A% M; C% f# @ 4 y2 y, w8 T* x& e( X
+ ?) l7 ]. _7 H, c5 \ ) Y/ F0 B' C t7 t
3 A9 n. X0 U+ C
2 ^: v7 K% ]! i( ]$ @/ ?$ A
插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 : I% @7 X9 m n p
3 j( m" o5 _9 n% m1 Y2 W/ j% `7 o7 }. Z. u
这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。
0 O* a2 e1 v+ Y; L+ `* Z6 F! T) ?0 l0 ^ 0 g' ?! |, k" \; h6 Q1 k: f" W) P
g# M( ?. R( t0 ^
一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。 9 N' ?8 X0 _+ x- ]! t V
/ w: L k: m l' `8 Z, }
! j. K3 W+ Z% Q: j# U" j. m7 B
: {! Z$ A$ A4 e/ ^2 D ( T; A" U1 J- ~ T* f2 u, e
内网渗透
/ |+ k( Y* j& j% R; O* j3 y8 Q8 j
0 t2 q4 K! \5 N- c) T& w4 O) `
& N! Z9 r0 n& z4 ^ , r$ k& P* O* r6 x) y' X
0 C) x1 c& R& {" h
. G' l: y' n8 ^: j/ Z4 L
win下搭建cs和linux类似。
, E. r, Z, S4 P, M' _/ Z' i 7 ?6 ~1 z) A3 a, n6 O: W$ l! ]1 f
3 L9 x' E- o8 B( a' R" p1 b
teamserver.bat + ip + 密码
! G& p! s4 p: }0 I, z6 S$ z - ~! b9 |8 P# E- o# k
: h5 H* n) G( U1 F4 a+ O+ ^
2 ^( i' C/ Q6 Z9 L3 A: S" y+ p ! j' }+ v: l* d; s' H; _& }
5 |5 b, h7 f! [3 a% [
fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) 3 d& L" c' b: \* C: i/ ?
6 `8 c7 s- x$ x4 U+ V2 ]
& f7 B& |( p1 x- u7 x3 g5 o, c0 I- H * f" Y8 Y- f( K" C
" [% E, \5 ~6 I1 S0 b0 k
u$ y/ r9 @) M, ^# e$ n/ N ! ?0 _+ k9 |1 N
. F" M" b5 c$ n/ o3 @' m1 _
! g- r+ b' J, l 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
- _9 }1 B1 W( O3 ]) G& B * Z) j% ^! `2 G& x
2 d& h; K9 p+ x! o* i' P3 F
/ N- s9 P4 D# a7 J1 F
y1 Q2 {& s; v3 U
6 N# j- Q( i& H, j5 ~, y : X2 H: r- i" i- s
" W. R4 w, T6 s1 E1 ?9 P
fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。
- S0 p7 w- s8 {3 b6 F- O2 _ * q2 B. T ?. N( a2 }7 x( A
( Q5 H3 m9 J# }' K V PACS系统
) L ]% N: j" |: { ) L, O6 [4 D- Z
- Z7 K* t i% m& z% F2 Y
& F' w+ z( @+ }" H7 e 6 n+ u9 j1 `" [3 w2 w2 U) O) T, Y' _$ e* q
3 a6 R/ h# ?4 T* Q" ~
+ p' v `- E |+ D6 X1 d- L! m
+ u1 m: M6 u' P& k v; |* b
( S6 f2 G( _4 F, B6 g
2 [1 P7 l' i9 R9 @, q
3 g- J2 M1 ?3 @& k' d HIS系统
. L( b( n- ^- c5 {% C3 Z
! z1 k% ~- n Z* s F3 h6 U% }/ u" J; u/ Z1 x
9 Q+ O$ _: `1 T' s4 ^9 Z & t, M& e* X8 q. A* m4 b/ a1 r
; {9 k# `7 i7 h# P
0 ?- |$ ?* R% G( ~3 G' U [' s8 a/ ` ! a3 ^* @( Q4 }5 [' N, I
& N/ T" v- b. u N. }7 n/ F
1 s' C& b2 e% j0 B! C; n 4 F9 W3 A1 p9 C2 _
+ ^8 R) z* A) p* ^) o2 J 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 ! Z' L" i( y/ D( {
& o0 [1 n M& a/ l5 b% Q* u
/ f& g2 I; l3 B# s7 k: b1 g
0 @0 K6 t2 I3 z, k1 C m. J 8 O: T( ~7 Y8 A# L, r$ M
8 K! k; b5 W8 a$ `) ` ; {% a, h, G8 ?" [* Q# m9 Z
0 B9 r- W7 E$ ^5 X
后话
: z/ v4 p+ W) F8 L; F) _: Q+ }
* q8 `, c! f' k5 |# z
* {/ p# l, ~' ]" x& ?6 s 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 * x W" h9 J4 e8 J9 u0 T
5 q' P& K! N$ J: o( v# l) }1 x& O' P* v0 R5 G, L# w
) C. N" B5 g0 C* b
, A# s; C* t( r! p9 [, N* R
/ r! M6 U9 [6 y9 o" @' B ) c- A% ~- A0 I
" A! |+ J A; f# {. h9 C* q9 H' |" @/ }
( a: o, ]5 i2 K- K" X0 }& d 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 , @/ }9 k, R2 b) ~8 l* H( n Q
/ o6 N6 [6 C0 a6 k9 w/ v
! a0 C8 o( F4 [' t& G2 p0 D/ d 4 e, f1 r% r- J `: c K! t! [5 k
' o/ `4 H- G, N; W3 K( v |