找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2473|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

$ w' X" k/ U/ Q2 }! ^9 ]+ P" L 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 8 H1 ?3 \( U1 Y3 P$ G

- G; ^5 I' K& R7 J

0 o% W- x! d% G 众亦信安,中意你啊!
. ~" o, ]( g6 E8 v o! [
* E) k/ w2 ^. L0 s# B# X# ?ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
, g, L2 j# F' E8 ]- D

7 T6 I: L/ `9 d8 E& u2 ~( \

& `4 i, y( ~" n F _- a8 N! ]9 I0 f ingFang SC,serif;"> ]. D8 d: R! T+ I

, P- M5 J6 v" G9 v2 ~
2 O# F, N' O- l; g! k) r. J/ |- T

A" \6 c- d# v7 _5 i+ |2 A! F 众亦信安 1 K8 T$ b+ x* y) ^, ]% t

5 k {9 h% r3 X4 h/ ]) ]( ^( n

1 [; A; `, J8 v7 ^2 @8 G( } 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> , I0 P' h/ g# Z- q' @% U

( v2 f Q: Q9 k" `; i2 L$ o

& t$ M. M2 G6 Q9 M- r5 K% w ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 9 f0 Z, Q9 ?3 U+ r

* H1 X) ]: T; \4 m: C8 V0 ]

' \8 Q7 n/ o) r) W: v 公众号ingFang SC,serif;"> + w+ w+ T3 I, k3 [2 }* `2 t7 N

) ?- z3 l! ~+ s/ O/ u ]+ U

% b1 A& I/ \) D* \2 I: Z& _3 }
k4 g, i3 F; H$ S
3 G) H7 t' e; w: D2 p
4 Y1 p; n1 M/ X4 d! p# G( k( y

8 T4 s3 O1 U) }
点不了吃亏,点不了上当,设置星标,方能无恙! & S! X4 x+ a& E! B# `1 Z2 J. t

7 |+ O# q+ q9 S5 g0 G ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  3 D6 u x" d+ d+ p" J9 ]4 y

8 L% A% _, S/ x" Z% X/ n) ?

m' l% u. N4 a) U6 h 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 + q+ x+ z" B0 J8 Q

- T0 r3 ]" q. V& l( w* ]

- j) \5 ?+ u0 q ]# Z   % z) I6 r; q6 t

8 F( o D8 R3 z* n
0 R. r% [% G, E% R4 |/ P ) N5 z1 c* L# y$ g

* N6 D. r, D" w1 c. o/ u2 H! t2 w 无线or有线, {+ q2 ]0 {& D7 ?; `

' O) Z( u+ \6 D# b
9 s# t" W4 ~; A/ n
- c3 t: b+ u- z) H! l* F9 y ; x( Q2 z' X& V, @! \

+ Q4 [% P9 u5 s/ z4 J% n& B! J2 b 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 & x& U" w- M# N/ A d. _: }' M

. q) i J" e, z. S8 c: }! n- I" z

& T! l& s, p% A 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 6 g' `, A6 S. K$ Y9 j% b3 M- z

; ]3 F& b7 x5 b

9 C! j: n+ u8 ^: a( D) S+ g vshapes= 4 ?/ N s5 f! l1 F i& D

1 ?2 `9 l. r W8 ^4 c! W s

' Z) `, Z7 I* }; m1 H+ w% l. G vshapes= : x- |; F, b( n& l5 f

+ L t+ |8 t6 M; `7 y

; U" }" ~* U0 X |9 o9 G; E 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 , b7 N+ p3 t+ [ m# ^2 A7 O" `

/ G0 }0 b' k2 O% V

( D+ i, r# c/ x$ r3 \/ @ vshapes= 0 p$ N- o7 z0 }' d5 v+ u& ?

6 @6 q% U' n. b

3 l3 Q/ y V7 O1 X4 F 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 % e/ z4 G. s8 C/ D" H( p9 ]

% p. d- }" g; X& B2 e r3 J: g

' p1 j; x- X, N' t0 K7 E+ @' E vshapes= z' z& r: b, |( z+ n4 _4 V( e

- Q3 a1 ^$ a1 J

+ o* @ P* E9 o% y& Y) e) t 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ; o7 l, H$ G9 F/ c! {

' ?3 S- q8 S. L7 [2 A) P& Q2 K

! U% b1 _$ O- L$ H6 F 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 0 ^$ ? x+ I6 }6 B$ L0 P& e1 k

9 W5 C( @% o/ @4 V

% r' w+ j: `$ D 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) 6 {6 z9 E4 Z( @ h. w5 J, d% a2 ?

) R3 m0 E; T" S& h/ j; E
! e. |- Z- E% O: z( k: \, k- ^) ]0 w , _/ ?# K" J/ ]

* {; ^, J" e1 r; m4 e& B 内网渗透$ ~1 j5 [6 C# C6 R

7 i' M0 a/ Z3 R2 o
0 h, U( n# n; h/ Y, a9 r$ y
* `/ k8 D4 [% K1 o $ h5 [% l. K# j: R" M+ N

0 q" b% M( g+ p, ]- ~ win下搭建cslinux类似。 3 f! M& Q. o" T; s) v& s. r

; E; C- O3 R, Y8 c
" _( T3 |% {' ]" e: s0 a. [
teamserver.bat + ip + 密码
1 E, m% j6 g1 o6 |. U8 R$ R8 R U
% b7 p5 ^+ z( w9 F' S0 D

1 L9 l( w' G: P: Q" { vshapes= # ]: L# b( b2 v" R" [8 l3 u

3 X$ P0 W' H/ U2 l1 g* V( p% Z

& ~' C7 [4 g o' w& h fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) " d1 @ s' w2 T% h% z( H+ p

- g+ E I6 `& g3 [ n% `& _

6 @7 a7 G$ p1 b. B$ F, e& Q vshapes= ( r2 ]) L8 y k+ U3 `+ x+ v

8 W1 A' t9 s1 w3 F3 U0 T5 S( o: W

; G9 D7 ~, t2 R0 \$ W/ {1 F vshapes= * w8 T8 ~& `. \( D9 p b" }" q' P

9 p7 ]0 `) ?" L- E

3 J- K9 p6 K4 h5 `/ u3 o. j6 C 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
: {+ E% L6 x B2 I( T1 C
* @# W0 H- Y2 X8 F6 I9 X, N2 s
& ?3 h5 y, X7 @0 J. p' V9 N

3 c7 B! A) Y+ U+ Y& V- K

9 s/ i$ {4 ^; h8 z. E8 B vshapes= 2 z! v* w( }$ I. A; X9 V: ~

m2 S# W' T% j7 Y

. O" f' j8 X d( @2 ] S+ L fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 " L1 _; T A( Y

, p: O$ P2 E( [

% b4 j; u; y ]0 A PACS系统 - g. X7 F4 p; N8 {6 e% S7 Q

4 |( S- M7 _- d; R' Y

! P# D7 H7 A- [4 \ U+ [! r vshapes= 9 ?% ]$ o* u- g% L# I3 \; ~7 S! {

4 }/ E5 Q. J9 p9 n1 l

: r. z1 V% [' O" Z vshapes=
- q- l2 R% c/ T# P5 a0 J
9 Q0 E- L% X+ t5 Z& c; ~7 d
" `# N! d3 B; R* l/ D

2 s3 ]! F9 P" P2 v5 h

5 I2 _7 W1 S2 v# }5 |% F+ | HIS系统 4 O' J: Y9 h5 w6 Z( p

! A6 R1 Y. A1 B% L7 h

6 o2 }) t7 y5 Q2 @$ A; q+ J vshapes= : t. x, ~4 K) V9 E1 T1 ]

1 P. V8 }+ r% x5 W, O

0 I! ]+ }. D; v( q& [# Y! \   / g1 r9 }! r! @. j: `

+ A1 v7 m: Y8 M. Z

: Q4 |- [/ l: W- h/ p vshapes= 9 X% [; K+ k* O+ @5 E

! h, Z* C, v1 p' c P# _# [6 |

# g; v# Q ]9 ], A" k 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 ; C0 P; F) z. {: r) W, q' p

V/ f1 B! z1 u- R& y. _

% N- \% }* L; a# R8 \! p9 B
3 C% e2 F% _5 B1 m
$ r* ^+ T. I. S6 }$ ^
: {% L5 B6 @2 K) T* V- j

8 N ^ `# {3 [ Z; n) S

2 W, s& P; s+ V. I8 H; e0 V1 f 后话 ( j: V/ P# f+ A; d4 \1 o

# Y, p5 a2 b! I- ~0 K

$ E# r) n% a8 x* u3 r 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 N4 o0 u! o" D: N) t2 O

8 k- A5 a; f+ `6 D
w( `( i" D! S. C/ l) L 9 t3 ^: ?/ s3 }
/ N' l. A' r1 @7 V4 z& s4 Z" N2 p
( D2 g1 R) t( ~ G& \; C2 ^
+ U' T% {# M* J / g, T9 O( q I+ Q2 Z6 w

# ], \$ t8 w6 L2 i: D 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 # t7 z9 J3 m% m* O: H3 \6 [

1 Y8 e# I3 Y! t6 [) B

: ?' u8 `3 s3 }# A1 X- ]   0 v( B- ^) a. }. {" ?6 L( n- E, }

' d/ }- @! s) ]1 L# S- ^: V
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表