记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

2 U6 {5 O/ Q* i 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 5 g- u8 A6 G# c1 L5 l

/ k6 M0 R. G$ B" G 众亦信安，中意你啊！
- Z2 n! e6 [) l2 u$ p2 p
, R3 L! B6 s% O3 E: N' P ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ) c+ z7 ~$ \3 W6 ?) n5 _

7 b5 V. [3 V' Y7 u5 h5 ]& D ingFang SC,serif;">! @ o1 D* @% a. h6 E: @/ h

" y5 V& {6 n6 ?6 V7 N& P
9 G+ H" l8 C1 f+ B9 \7 z1 h/ M* N9 { 众亦信安 8 K* P6 _; ~& R4 K0 H
. k# b7 H+ x+ d. L, d
. k; e7 w: Y% g/ N" U 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> " B$ h y! J+ m( ?; x0 \' K, y6 X2 p
' T1 a( C: u( ]
1 m/ w* V2 s3 `; N5 Y1 ? Q ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> * M. ]4 D) c' e8 Z
\8 n4 r! t) @& s0 I3 m5 i
. k8 ^9 C8 _! L8 ^5 x 公众号ingFang SC,serif;"> 1 k& P, m7 Q' {
; h1 f; q3 m7 x) B* ~8 i
; ?$ A# Q, p8 C5 _5 u, E
) U* S% D5 c9 |$ o% i8 [
0 X2 p# b! ^2 c4 d! X! }1 p9 T6 G, K( n
5 }! m% C2 Q1 ^+ |- v
点不了吃亏，点不了上当，设置星标，方能无恙！ 8 A. V: e# \/ t, B3 ^. X8 M
4 W6 r0 b/ R( `2 o$ ^; Q- J& G ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> j" D' q$ f+ t' I6 n/ @
- |! C% t- O+ ^. u( M" _
( I& Y) F8 H. a 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 4 A t- v* j% R Y' {' o
1 q. ]) o5 F! ], }0 E2 q5 o
( c4 ?+ q$ B& v* E7 j . V9 i' i& j7 R u+ @& H2 X
4 q' R& Y1 x! n4 u
* J# A* o1 E, \0 w* B ) `+ [+ j% ?: C
$ K9 U( j, o/ m 无线or有线; u6 D) z. ?& r+ U) J
0 b: S i" I) Q- ~ : W) g3 r7 D7 u- U& y5 y
) h+ t x3 {8 ^/ [$ u+ e 2 o% S9 ~/ H, T1 [$ e- K d
! @" k! }3 u) B2 y! K 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 9 B3 Y9 v* V. `& r0 U ]
; f& G' O. [! ` t
, y* U) j7 T$ k- n/ J 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 8 {5 m- h6 D) H
# N- @ q3 j6 y6 D( x: c
8 H1 V) u) O! L3 H + z* P5 F1 I% V. I8 I
$ e. o2 G+ M4 I9 a2 y+ x, z; z8 w
. c- p. I! K4 v: Z6 v$ W9 ` ' d8 K: m& p9 }
" X1 N4 }2 B' O8 n' B7 k
~3 R0 I) m2 }8 E' A2 z" ~ 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ! i- Z3 u' q P5 [6 d
. q9 f/ q9 ]) a& [; \
) S1 w. i9 P5 c: \3 S( r) ?( S - _- I1 i* z! `/ r
, ^* m1 i P' h& c
) Y+ J. Z) H$ l' g# }+ M# r 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） & ^- h1 \; D A
; S% L M& Z* s( f" |5 k
D& s* [" H* I, X4 b& i. j# t- h % ?3 `1 f y& V" H- |7 g$ D) g
* Q' x3 X( L b+ \1 g% R
6 W; p% ]" m$ y" ^ 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 * S2 z0 O+ `7 }
" Q( C |+ ~5 I6 h8 \- @
5 z% i; @3 y% J! X+ Q% k0 d3 h7 s 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 1 c% s% O6 e9 {+ l+ h4 [
: }+ s2 z7 `8 `# L1 G
6 f$ ^3 J$ i0 K5 c; x 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 & L! G3 Y0 w7 w7 e" Q
# V% q* \$ s* d* {
: I0 A; L, }# @8 n- {- K4 l9 |, @ 0 n/ b5 b& ]6 w
; z; k- K l) d 内网渗透9 ^! y: P& `; `) l* G
% N1 u6 t# ^9 W3 V2 y$ ? 0 X6 k1 l# Q7 i. q4 U
5 k) t$ g, n2 S6 }( _ , h+ ]; V- E+ x9 V
9 ~- T0 l% Z( @* I win下搭建cs和linux类似。 ) F) i' O8 m$ m
2 S% ]) F: K4 d0 K u
& d5 e( K d8 o" C
teamserver.bat + ip + 密码
, X+ ~" U1 k$ D- g! E- E' K0 P5 S
9 X# E6 V- B1 m' J' B
2 o9 M( M+ \4 _6 @ : ^( n# P/ p ]" @
' g, ]8 b6 b7 f! g& T
: a; F! M' l! G m fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） , N9 v7 m, L, i L* ~
5 v# `, y" [2 U5 H
7 u& Y; \9 R, d, t4 z, I . D! P7 a1 U1 R; ? [/ P# Y
% t" Q# y8 ]0 E/ k8 B
9 v+ G! H5 ^! @" g0 D6 ^ + |9 \6 x2 X- ]
0 |/ h% \2 r) n& T/ w* M
) ~3 H& \: [# l+ k 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
1 M& D6 [8 Q" b% B
: x- v4 ^$ l5 V- v- ~" ]5 ^. u& c ' {9 C( i0 J5 l; z
+ m) j0 g1 a/ V
% C0 c& s; Q6 d1 ]' H0 @! H : y; p1 D# @, e
+ ?1 C8 Z4 _2 t1 I7 k* A! U$ ?
( i0 m8 ]. M ^ fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 + |/ y- s, N: p+ X! k7 _, m2 X
/ u' ]$ N. [7 `. D6 n* K: `4 ^
8 }3 T3 E t6 ?8 F PACS系统 % R$ Z# k# _ v" n( p' z3 B
/ \' W' O" G" B: H
7 E8 w9 t$ `1 P; Q; q 9 S% r' t m/ f; W' @% _. ~
- n$ l! m! ~' P0 X$ j6 k( f0 B
9 a! V2 M; r5 ?: K/ ?: f! {7 b) C8 c+ R
2 n# @* @: V' q$ A* W# y# a
3 D* s: R( ]! H6 H m4 H' I8 J, _3 l ! Q) \* y* w5 c4 y1 C* o
9 l1 @- ?. R! B7 _+ q% o( s! Q- `
" j& S. L1 T7 W9 D9 O. p" u" } HIS系统 ( U* _' U% i' q: R$ y2 R
: s, \+ J( [: n1 C7 \) p9 T2 ^
* r$ l& m/ ~& T6 D6 V ( J* j" B3 O+ @
3 B1 v, {6 O" X! U K8 v
% Z/ S: Y2 h0 U& ?% V % n- y* q% S& Z# W0 a
8 R7 A0 E0 C# q+ W, ]% T6 S
! A2 a& g# O) V2 [! M9 A! L5 f * ?4 Y; B+ B$ x0 a3 p
7 U- g: h. m' } P
' f, _+ f% G4 B4 g2 k$ L6 c 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 6 V$ V; p6 d. U' K6 r5 R7 P5 T$ A
: ]! Y- d2 N8 r* K7 H! g; l7 A1 G9 F
& n6 s# A6 A% B8 b
) @. M6 U7 k0 t% t7 j; s
; }7 E t: G9 D1 C $ L) T5 \6 }# g3 A. z
: t$ U3 v2 Z3 c6 }. g
$ t4 r) F' {0 p+ D2 b) ]2 a 后话 5 `9 E, w, i. Q
5 Y; z. @2 F. G' U e/ K r
2 o0 o: |( X5 u! T& ` 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 2 F( U I3 U' \: Q& f" [/ E
0 D. l# j3 X7 v/ q6 B) R& H% W
: }; ~# v5 K0 @3 \, y 5 _: h, R5 a% D6 J% _
9 r7 L! |9 e3 M# I' Z7 g7 s7 s! v . ?6 |1 h! C: m& Y
% l" i8 N1 {; k+ p2 N, r; m1 L" D 5 ]8 ], x. F( |( y1 a
: n; O6 n+ `0 t* L5 O" V 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ) M( W8 h( A' k/ A& ^* V
. f5 N) M- e9 f1 N( Y
$ p! S) h3 J" D$ L 9 D+ c, _/ [7 W
5 E# w% z( R5 V7 Q$ c! N ~) u

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

$ K9 U( j, o/ m 无线or有线; u6 D) z. ?& r+ U) J

; z; k- K l) d 内网渗透9 ^! y: P& `; `) l* G