记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

9 i- T) _7 e5 G' d7 T& \ 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 , F5 G0 \* s4 c+ \7 ]6 ?; L

) b! S0 r$ a! i0 v 众亦信安，中意你啊！
6 |# Z- N8 j8 C
a) f! p1 d# d) N3 iingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> % k" K$ q3 `+ X! w' P

2 u! G% M1 _( `4 I5 H ingFang SC,serif;"> 8 D8 ~* {3 I Y/ w i+ k V

4 h$ j+ x+ m( k5 M% v' f# o. R
% B1 w, {) c5 w( y+ n0 ] 众亦信安 : f: I( Y7 E9 \; z5 C
& \, d3 T) J# x" v0 X
: z0 A4 i" j/ `$ g- ^3 \1 i 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ; s T( Z" \7 N2 L9 s9 ?; j
$ q- a+ }( Z5 { h+ a4 `
4 b5 ?0 B/ M; q8 C/ d6 d ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> |; B9 o5 n) L: B
2 G& B8 Q0 O( B5 B
) F8 t4 H9 R5 B, C' g9 [# Y: Q4 T 公众号ingFang SC,serif;"> 8 ]& [. m- r1 r2 Z2 |4 A
5 p4 [2 g% E- f6 G" w5 O2 a( Q
+ O7 t% B. h8 O5 P- i! n1 h8 s
$ s/ N5 b( T# d* d; h
5 D9 h" n3 v& a' _ 4 d- h ~% H7 U" p/ `* }/ l9 y
7 c/ `; n" e, d
点不了吃亏，点不了上当，设置星标，方能无恙！ ! {, M' [( w" l& b
, i# s! J6 w" v; _ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 t" d- K: F( j' f& M* G X; R% `. z
8 w6 B- S" R- a; F& X
, C% n& j5 G: R' n 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 3 \2 c8 D1 y& ]+ g/ Q2 L& \
) ]- X, [+ c2 N3 J; K3 O/ S
8 I$ g1 u, w) y( s, c# j 7 B/ f5 P. }" `& j! P! d! c
9 A* v; q! C7 M) M
, ~: X3 D9 F9 Z1 t. F- m 8 j+ y& F& p) y9 m% O1 D3 ^, E1 V
3 S: z, J2 ?. P6 Y4 I 无线or有线 : u0 v! y% q5 \4 x+ g
; T$ F( j( ]! F3 q. z - _+ b/ i6 o% }1 N1 i; N: h
; _1 L9 C! p% B & N6 i; _4 v) I Y( r7 P
6 G9 J) X7 j$ l0 h6 q. E 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 0 W+ p* c* c. U0 H; t, }5 M
2 n" O" ^% u. u# j0 P8 @2 \1 \
1 d' ?7 P3 G! F4 }8 j9 P 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 # u5 S) ?; n, W- Q' ^$ `, v
6 K; N: \( }& ?" U. N& D0 u
( C8 m' _4 c m M% Z / [( F: @/ v% ]
# h' |" g" x- Z7 J% ^; r1 h( f% g9 i
+ ~* x ?1 A3 {, J( F& G% |4 f - d8 }. V3 l3 R2 O2 \( K+ l
: ]% q4 s$ @; s" R. b% f
" G$ { d0 p% l# |+ @ 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 " k3 H- F0 \# U, W$ s3 K* N
5 |* z+ L0 `$ N# P
* Y0 j8 I; h8 B; i N* s8 t0 K8 E
- d$ T( S: _' c5 @1 l5 u U
3 {6 m' d/ u* z, w 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 5 ^- M! P! n3 c* w* [2 o* g
/ O% n4 d" L; {# Q9 P
" f* R- ~! ~: ]& [ 7 f [2 Y! e' p# @- v
: ^* C3 q% ]9 O! N6 Q) P
4 `4 P* f) ~$ S* K5 {1 ] 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 - C# [4 A- ` o& R
[( x0 N. x: N
+ k; `0 g$ Y+ V# e6 Y$ W 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ) }# ?; T4 n. d- k h' U: [5 Y, A
- L% K* L0 U2 {, f( E
& M* E/ [/ w8 G# I" `1 O- ]+ ? 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 3 D; u4 X7 U) k4 G2 f
! x4 ?9 s& }4 B) B0 A8 ]9 {
! D- S* Z% N& c 9 ~ J& h- b2 X% }
( q/ z# M5 }" n8 V9 o7 @) V 内网渗透! N4 z9 o" M! h2 ]2 m
3 P- J2 @* \3 b: z$ Y# q ( ` v3 A9 j# v
; S6 I( ~1 t3 p6 v, y5 K; ~ " r* [0 q: t" G/ c9 s W3 v
0 y$ x) n$ N+ T6 L9 W8 Y( a win下搭建cs和linux类似。 3 C( ?: r) B: C9 W# ~0 n& K( z
- `) i- c0 F* c# A( Q1 `+ {
( l1 n3 U: h$ b" h
teamserver.bat + ip + 密码
3 p# i& V* g J E3 P& |
6 A( E0 W" A$ @9 ^- O5 h6 w
% f m6 l- Y- O( S# x) r ! _0 f8 ?, K) n0 M
- b' F1 E u: |9 d" ~+ W
# N* v, e; N+ M( n4 B fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ' z3 r8 _7 N( L ^) W0 G
2 B; M5 p+ z8 a2 F
) Q* D \: b K' u4 R w2 ~- P& G # Q9 ~6 n5 ~" q" a
/ w( Q8 e% _0 a3 k& G
. {+ T$ Y. E1 c8 W9 I ) b2 U* X% v. E
i2 g9 J' `, `
' m' i# S/ J: j8 v( C6 C: P& c9 U' p 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
R4 n+ q* a1 y# C
a C% F. w6 f/ C0 A$ U: e) M ) d* Q7 w/ c; V6 C' P Z) H$ p+ Z
6 P2 [' l% {1 ~+ j' D
9 R" I4 f+ d3 H" | " m/ y2 \7 N# F c* |% y' _" @
. n; Y4 N0 }9 B! r5 I1 V
- g- o6 E: c" m% B A2 h fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 d: V" s/ d5 P3 T% K* b( L
# ~9 j! K1 R9 c0 O
- I: J9 O) c1 }0 E, n. [ PACS系统 + ~2 ^9 U2 g, m/ j. G [5 L! e _
/ j7 u- v: E) e% s
1 r. h& g" Z, A7 B : ?$ Z4 C/ s# y. ?: ]# M
2 o( V9 [. Q5 E9 B) \) X
2 v7 Z" A8 y7 D& U& C
) Y5 n# Y0 f. m8 \! _) q
* K& k& ^% c; Y* X& F* ?* N 5 t$ c' I( B/ z7 k/ F+ F$ }
9 i( [5 e3 a+ h) I. f
) ~& D' ~9 u% ` v HIS系统 n9 t7 f, [% `+ w
/ q& m3 f2 Q3 P1 l) u
7 x4 R6 H O; q$ e% E" j $ a. j, \2 u( @' Z
5 H9 N4 a3 ^ d# _! M
2 J2 u* t- t" P! |$ B1 H( e 5 K3 D6 l+ o( j. E) S6 D8 t
5 R7 Q z5 d+ Y2 v; F* {' w
# ^! U/ R8 o/ E8 v. e" _0 H( f + b5 P# n& V# f4 U% e# _
8 x( ^0 P H0 F* {2 g4 E( R: d+ x
: {+ |( G1 |( n1 H: H/ {- M 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 + g \; j* t# d
# M g" w2 W% a3 N; P- E H
: V, r, a/ K; C& [4 R5 d! I# B
, s0 D! {9 X% R1 h& c5 l
# {5 j8 t0 x5 S( c) v4 a4 z * P) {( m! i9 [& v% z8 h
+ T- {( O7 j$ p+ u% B8 Y# G
1 v8 U9 H6 t' J 后话 , w5 T3 A$ a$ d3 A+ T4 }
2 T! i `9 ~( J6 s, O3 q' q7 G
, `8 O' r, s* f+ c 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 $ n. _6 g" \: S- s
2 f1 L( p" U5 J, p+ B! X
/ i1 `4 `0 S* _0 M7 @. o5 i3 f2 K / a1 V* c+ n0 ^$ ~3 A8 @1 d0 w
. t! H7 _; q# ]) b' b9 O ) T5 E3 b" O* T% E5 b, G" l
. u& d S3 e9 I h: S7 L/ ` ; S$ g3 j7 I. g$ ~# u8 B/ b9 d7 ]
; t; K6 _/ L4 ~ 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 2 y2 b* F* w2 N: c$ w2 G. g
* o/ l; ]! L& s/ n4 D2 _& d0 Y
" [2 W0 N& j7 O O: S# k5 Z # {* h2 A+ k1 d+ X4 F' w1 \% @$ p
; h! v, A A7 \