记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

# J4 {6 D5 }$ w+ c 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 % B" z0 d; S( p6 X( C( T, D8 C: q

. R, d! B" l* U) g 众亦信安，中意你啊！
5 I, X& x( R! M+ o E% k G
4 [; a$ W8 r, I. @% o. z9 NingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> : o6 Z- [0 X z- | T

% _. v6 R# S9 v* Q, R ingFang SC,serif;"> * D' L" t4 z! H' f9 d) G5 J

% @; J- s, P# G! B 众亦信安 - b* @! r6 F" _# S$ }1 }: n
9 i' G: s \4 n% o! `- e3 w
' J& L. F; p+ a 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> " [# a. Q1 l+ _% R/ w4 a& r B X; a
; n8 {* i, T# {7 W
8 S0 Z; Z! L" J& ` ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> / W/ {$ g0 w3 X
/ W1 o5 C8 u# T+ E+ e3 y3 \2 C
) n! h! k- U# B1 w! D" ]1 d; ~ 公众号ingFang SC,serif;"> : z- w; N5 O9 Z* L R' L* ]
. @4 H( d7 _+ s* r
: s& X, }# ]! Q' }9 ^8 I- [
" F# |. t/ t8 t" y
+ y/ o+ U- @- T. Z+ f! y $ n$ v7 V% d& T
* t" l; S" M0 P3 o
点不了吃亏，点不了上当，设置星标，方能无恙！ 1 `0 n. S# m- J5 H3 |' K! u
& r) O5 O& ^ @' ]6 x" F ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ; q4 ^7 d, E/ j3 w
' V; v" H% @' M
0 J$ Y) y3 ~6 G( ^ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 % x- B" ?7 |9 Z
! q0 i# ], H. G( A+ H. K! A
- A/ h' s& x t: c4 P8 y" L & q$ p" ~9 J) b3 Z4 S( ]& Q' J
9 t. W6 I7 S& U W: K/ F; u) ]
, i! o# |& o2 u, ?) b1 T 2 X% i2 q1 n1 _! X
+ J) c/ n$ R# o& V0 V# U 无线or有线* Z# _% O1 |! e. G6 i
2 s9 a7 t$ \% t9 |- Z 5 O! n* h0 v. g* P
! U: B" u; e. y: y- M, L1 h7 p , R& p' L' @; k) ^. c6 e
0 _" {2 l/ C- K; X6 A$ r: l$ Q" c 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 : J8 p- _4 l# f3 V; u
" i5 k8 ?/ k& w; u- j/ W9 i3 M
( i9 l; P; G2 u6 w9 ?" w- Y 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 , l/ }/ |# x& g9 H, F! j; W
+ ~3 m; Q T/ L6 ~7 m% j
) k& Y. W1 F" y! r1 @+ f7 j% g $ X0 g2 e& f% E' Z$ Q0 z8 n
2 l2 B6 O3 y# J6 ^4 y! D
$ M, k2 `7 V E0 D * p* G2 ?7 n' o" D1 ^; t+ _) ^
1 {7 F1 R- m5 O
) W: D% ~" b) l/ c9 T4 ~! M1 g( Y 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 , J( w) r5 F/ f) B
5 v, ~) J6 w8 f& W8 `4 c
5 y/ V+ s# r* @( b 4 m0 N' P$ \/ X* O8 M- c
, J' _: Q, b$ Z0 B* `6 B: L( A2 d- A
4 B* U5 |1 d* b 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 7 _; P! D" l/ W5 P$ x' D3 S
/ r2 W8 p# O' [/ T1 E& `" }
- u8 `$ p3 X; z- ], Z0 V8 c( I # |* H! e+ l8 j+ {8 W, m ~; i
$ n) }9 X; H0 O$ g& P0 w, |; a
6 }/ j) Q1 l+ E* ^0 h- f7 I2 ] 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 " f" a: o% i) V+ d+ j$ N3 p
& r+ Z0 g# W8 c& s
3 G M" C% h2 d 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 3 O, a3 H: H2 m% t- s
' x: W/ E: c- S
$ F( V. Y) W |7 x: x 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 6 N3 I* `" q1 c" D8 C0 K3 }
6 P" b* Z4 D5 s/ } R: ^7 H
; s ^8 r# z" O) E 2 J8 _/ B' P9 _: J A `: M" S
3 f0 s# K1 p1 p1 M) `3 K' C- \ 内网渗透' T- N1 M9 q9 }9 M
; d3 R" f* l# I8 J' {8 p2 ?7 g" O , o5 K3 t9 H0 c# d0 @. s6 _) m
; F( q' c! m+ @8 N1 b# ~. n6 T % e# d) M, Q4 j) \& I( X* h% w- e. y
' _9 Q/ I& S4 U$ B win下搭建cs和linux类似。 8 k8 V+ m; ]7 ^" @
; G# X9 r# z. D p/ M# {
$ ~# O9 b( F6 \
teamserver.bat + ip + 密码
& F9 M+ \8 g" k2 J n: w
3 [7 `* P' ^6 k* f2 t7 k
2 R& [, |* J( X" l$ A6 O- J & H9 p, T* Z* y, l$ X
$ U3 U; c) x0 ?
8 R5 p8 F7 Y P3 s, S' c+ v- x fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） # q4 M! u) ~% t) @# j' l
5 n- @) N- w( r
( |6 e, y7 {2 n. y1 M3 y% J, } ! C, K, O- c* ^4 C' q0 B: o4 l- Y, x
* x: E2 L+ M% F) p5 F- P: k
& E. ^$ ~1 D, E; S0 ] 8 S+ j" s8 `+ \- O2 g/ E
# g- K1 G- x j; N. [* R
: Q+ e# R' D# X 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
& Q, q: T% ^% w- M: H1 a+ ]
2 j. P8 C* I* R- W: C/ B 6 f/ L3 V4 ?# E. H& \! t
( p" w% j$ M# l4 O9 b- e) f' x
7 o5 j7 Y- `: b) x& h 4 S0 }; ~% ?2 f
8 i2 ? s6 b; X1 S1 @. w5 n5 M
) k* n1 A/ ]4 `( y$ m7 ` fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 5 G) o* b9 j1 g, r5 o) |
9 o" ]. x' X7 K R ? u1 l( m/ _ W
. t: K. B8 m( S1 A& Y! s6 q PACS系统 . x J' ?4 p9 \# f4 a
2 Q$ H7 C' j6 `
9 Z' g: Q6 r0 f. w , E8 z( N$ a% V8 v( P
. `9 o' e' R0 |" k) p/ I
+ F9 O& V/ v; }8 h; c8 B% X
! k, e' q& Q' Z5 _9 K G& K: D
6 N6 H8 Z: O. V# W" |" \% U - z0 M9 f, {; L! t( A( O4 O
' d8 t+ J: a; |' g3 v8 t: `7 C3 A
* x) }0 B; w! A1 J, k; K+ @ HIS系统 : j& v: _; k1 b8 @% u" o
~+ ~1 T* A3 V+ e; K6 l) B
$ [9 }9 i! b1 q; j! u; d. X% v 5 B4 I. Z$ R( I
7 P9 R, P( o/ v P( P3 f; i: d
6 m1 A' ~: ~9 J. B- T: h 0 \0 y1 d/ P" S, i) w+ s
9 q( ]" x$ x. k% m( L: h( {, I
4 c3 p K9 e5 U+ c! c* { & [! Y% j7 T- w8 n+ Z9 _/ D
+ D( T0 n9 F2 T
4 E# `( L: V A8 r" D& ? 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 4 e& |) `: e9 d! i. h6 z$ T2 h
* d- T% M3 h W& S& m, [
s2 w6 B! [% y0 X- M4 A& L; n4 W
& B4 P: S2 f, c) j
, i K$ r# U0 H* H- E4 s6 _! L " h8 `0 p' \) M4 { |$ h, _
- B- z( c4 h1 b
f$ M9 ~8 }* I5 B 后话 - X& b7 A/ w( A
: b/ u+ f! \3 a3 J3 W
8 M) u2 w* I2 d! O/ G, J 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 : c- k( Q! o1 g5 f' S& n! e
$ \8 H* ]# F( h% B0 `% @1 Q
4 t& Y4 A0 Y( o# c 5 g. }% I, v/ ?" S: p% \- E0 G: \
# Y, n& S* |1 D4 E" ?' \ 7 |& F; M. M% p
& V" }, @4 ]0 j, I# B5 d$ ^$ x: ^ / c6 E& L; {5 o* O9 Z1 s) ^( [% Z
, j0 h' s# k, x3 V 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 9 d& C% P& C# S1 Y+ o! M+ |# f
6 K" Q/ [; G5 x" ?
$ A( V8 F- B# N/ s' o1 ~& u" o4 L 5 e* c7 v! O, K# c' n
% o1 Z" P2 G5 j$ S

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

+ J) c/ n$ R# o& V0 V# U 无线or有线* Z# _% O1 |! e. G6 i

3 f0 s# K1 p1 p1 M) `3 K' C- \ 内网渗透' T- N1 M9 q9 }9 M