记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

. y% y) ?" h9 R" K7 n$ b 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 & @/ v+ F9 L' S* X3 l$ a! k

- V, Z, X9 q; q6 ?) s 众亦信安，中意你啊！
5 t# E# Y2 q y* g% }6 y- [" \$ \" n
9 w0 K0 z/ R0 Q4 ^- H( [( H7 }, D& ~3 oingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 1 V. |1 u* a8 E6 y* x% C6 C) d7 R

% V3 k' Z2 P1 f N9 Y! X ingFang SC,serif;"> 7 j' |4 V" B' J8 l. i

% P5 B+ H3 z2 R6 P9 _3 b8 [7 y
/ k: c1 g, v- _; S: ^ 众亦信安 / J4 \ }/ x7 t Y+ C. T
, S; X7 L) i- T! J8 h' Q# K) s
2 i$ @; R n0 c8 _ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 6 k/ `! k- U5 \3 _' ]
; i) L2 g* X1 Q& j6 g
* ]5 a, ]% B8 J) X ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 1 P2 }" H# m) }- ?( Z! @
( | }, E8 [ K4 x8 o( c" _8 [
3 S( z5 i) q: {6 |! S 公众号ingFang SC,serif;"> + a5 u- }* U, X- @& g# |" y5 I: R
& M2 X) O8 Y% d6 z
* W2 P1 `$ W M1 {$ U$ ]
$ O8 J, g3 ~$ N& C# A l
1 ^ N6 d3 ?6 F! F8 r - v" X1 B- O! B& s
F( u( I+ @2 `( X4 q) L
点不了吃亏，点不了上当，设置星标，方能无恙！ 8 m& r' Q2 v+ C- q5 {! n! M; P
+ ]: H6 d- ?- x ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> & r& I; H3 c$ j& `5 `4 ]# Z5 x3 Z
" n% l3 D1 v; O( \+ j* w6 N: p
- U- b5 H2 y- M: E( D, V 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 * H' s7 K& O: K+ W3 I
+ r/ p. ^- s% _8 Q) _
/ z; F6 C+ h! F) d \, M " P9 |( i( Q' E5 h; o* a9 N1 w
: z! R/ O: Q6 O+ f& V0 ?& Z
# @& P# c* S2 P$ G: |5 y / c" ^) I; ~0 |( D
& i% Y" H7 `- `/ | 无线or有线 $ r1 _- ?. @" a
$ `- o. P3 e0 k9 e& } 0 s% b" Y9 j# l" M: Z# r
4 B! B0 N2 d+ L ] ; b( E& A. P0 Q! I3 f, L
% P2 [) W# H: I' ^; G7 c5 r8 w' P 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 " ]0 @- [" Z- i# x& G; f. Z- ]+ f; `
m, S1 O# u2 H0 {
8 }9 w" t- X" O, N$ [; ~ 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 . J& [1 m/ H- s) Z& b% K* r& ^
, R0 B& F4 v5 K/ P/ B V
$ P2 ^ [* T* q# W! i8 {6 \7 Q * `! B8 V& w# y
( K% q. J. V* p4 ]/ o+ `* E, X2 Q. n/ a
% a& F8 [# g: o9 r . g" Z2 g3 |2 G) ^# E6 o' y
0 O2 S- z: B& v1 q8 z
/ z) l( g9 `; }/ ?7 O 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 1 x. N# I4 F( d4 w x0 C
5 Y1 I8 V7 }% L" u. s; y
1 I3 o- q7 [+ @; f: J & R- Y2 G: s+ \* Z- k1 \
/ E8 C& x0 T1 {: E! l% f# v8 ~
# s' g7 L! p3 N, Z$ E 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ; k+ D. N. I0 M4 H9 i" y
- B/ D) n/ G0 K: \: B# w" y
4 l/ w% [) D/ ~ ( U+ X3 H8 f3 a( Y; j$ b- [7 K% }/ c
9 u$ h7 w3 k/ c& a
2 F/ E* {6 f& X6 w: a 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 % i1 {' P( Q8 ]$ |6 d: W! H
/ A5 M: ]: U$ Y4 E4 X# p
& G1 g! `$ L6 E/ u( i) A- R 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 # i) f# j) K( q
+ U E0 ^7 I) Q' j; I7 Z9 P
Z4 r5 b( y* A. c8 ~$ F- }# R% z 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 $ X8 k# ]2 q( M' `
1 N; i3 \5 x8 k+ D9 s
1 U* y( _6 |1 c L8 `% o J( G # |2 D4 Z; T2 k0 D
" i; n, |1 y) T% ?% S& o& p 内网渗透 . w/ l% H. q3 H% E" v9 ], U
8 _; ~( @ O: B, l" d' ~' H / u$ W: p/ {. D4 x7 c
. {2 N& M5 O/ H! V# J- K + a1 b3 P: z% I0 h
* S- d. @) k- b- _4 i win下搭建cs和linux类似。 ' P& L0 I- C: i6 B
1 L# M& }, p0 L
" _' @& e, s' q2 L3 E$ A, t }+ l
teamserver.bat + ip + 密码
( \( w' e6 _3 ~
4 b) C1 i/ K- }
. D( d* h8 A0 k/ D. x% |* ^2 E: T, H 0 w( U( x; ^5 `' r0 F
! A* `) ?; p9 C( H/ R: P
7 R8 x1 U% {. l& d" x fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 1 N, A4 Q, j$ Y& \
; X" [: Q4 N. K9 a2 P: }0 }
0 e$ z8 V+ p% [- f7 }" w 6 c9 r; w7 I& B& J
! x: O! S, Z# Q
) n# ?' K; S+ u4 n7 }( ?# Z ! V- e$ G k7 g4 E# C& V9 `
; K2 S' l6 y. F1 p5 Q% N
: m" m( z) c' n# [: V. M 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
5 |& U: M: x& P& }* @
$ a# I9 B+ q3 l# F# X( `/ K - x% u0 Q0 Z; y3 Y* [
9 ]& X" R' }3 B9 H7 S
0 Z) Z: R+ h- K$ i( H$ b9 W a / h/ K8 g" A0 k1 }. P
( u0 Y$ S4 i( R+ E) z$ q. J7 @% q6 l
5 J: K n# [! Q1 k fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 8 [$ z% |1 F% M9 O, F5 Z; l$ S6 H
) [5 ]- H7 P7 i. y* D; B g
) h0 u" r B2 x% r# G( o PACS系统 7 r( V7 d# W4 N( u- W! _1 I
2 _0 Q; a( K+ v# g
4 r$ C9 M% A" ` U6 `( p . b: A( I. q0 D
1 h, B% O" A# g/ o c" f# t+ Y
$ S% j, K, J% W7 ^. a2 g
, h# e# x' ^ N* L: u4 Z) M
5 |0 \* G7 l( O8 w - w4 L( w: c! e' Y
: C( c3 s7 c; K3 e# c
! X- ]2 e; `5 @ HIS系统 0 }7 @- r2 D4 ?6 P
2 H0 h- J8 N, r9 l6 d2 M {# P; ^0 |
- D( o& j. k( q. g, ~5 g + t0 t7 G( K" z& X, H
+ J! v; H* c; f% J, P _- N
& E3 T8 C4 ?+ w # g& a* |6 l; Y0 c' q" \
0 c' q% q- ?" l S* `4 q( K m
2 G# V" K y# Z' n! Z2 G. e" q 8 y4 @1 l- C/ c D+ q* c
( J$ i5 `& M( Y: J6 e( x/ T, V
+ {3 p/ N7 @2 D# O8 n" b 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 1 z( v! V4 ~8 y) i4 k
* v9 B2 K6 M# g/ ^
1 [( c3 ^: y4 }2 z6 Z# b
) d v0 B, V. O6 n6 p
3 {& j4 V- Y- \: o$ }' n- {6 ?2 K! \* ~ K) W/ L
& ~4 j; u! Y: s" e/ S T2 u
2 B6 a# ?! [- }* W! b 后话 9 x \6 ?( Q; l
3 ]( ~' {' @/ r' ? A! X
1 D; x! S% n. u4 O 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 / c" m) L ]0 u! r. h
, D1 g# \& y A/ b4 `' @
9 u) \0 W6 b5 Y9 k $ W5 P0 F! S ^4 U4 s0 H3 ?
0 W( u# p% O, V4 q3 h, m . [/ G/ t) O; s% D$ M! n
; [" k$ q# Y8 g) ] s" m5 n" [ 9 J+ C- B3 W9 }; D
& D" V- s. ]* t* T1 g/ L7 s 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 6 u2 k9 i3 M# \7 {. D% v; ]
" L+ U; ^4 ^0 d4 D! ^
2 ^& \; `( z! n7 }' u! w6 y1 g 8 Q2 d9 @, w0 `9 ^2 |% a# r1 H- C
, N- ~+ C5 e' z/ X. L: C

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

& i% Y" H7 `- `/ | 无线or有线 $ r1 _- ?. @" a

" i; n, |1 y) T% ?% S& o& p 内网渗透 . w/ l% H. q3 H% E" v9 ], U