记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

! ^8 s" J c- H9 R+ R4 q. B 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 2 [ t" s) m8 \% _) U

) q. J8 ~5 h. a% C 众亦信安，中意你啊！
* C) q% s1 i/ _$ i& {1 f0 L
/ p( h6 y$ {. v: t% `: {ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ( Q. x6 Q7 u) u$ [0 N5 ~

: Q* u2 Q& s" P5 z: c; t2 z ingFang SC,serif;">' B+ I0 Y5 I: f8 H; Z- `7 I# n

+ ^% P5 T! U$ g7 x0 D8 s6 y$ ^
5 x1 @+ K3 s. @. H 众亦信安 $ c x4 w! t* x& R$ _ a
$ c) m8 S9 t u3 {, f
1 x1 e' s2 H' v- c3 j/ x( S. x, J 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> , {& D9 K& Q% E: N M
7 v; U: k. ]; w% L. l
! S+ b. u! Y' L. n; f ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 4 M6 R3 G! e- _) L
$ f) j1 M# b i. r5 ~6 K$ k4 E9 S( I
% |1 s+ \/ W4 |2 o7 c/ O3 J 公众号ingFang SC,serif;"> 9 k& X$ b, X: @6 t; z( q) x
1 r% x3 a1 _( F! J5 n% y( G( X0 w
9 p# Z( c; E+ s* [' N
6 U8 k( J- K. `' h w/ N
( a% A% k u# b$ r" D& C' i) K : f$ L+ Z) n3 E C$ ^/ r+ v4 B$ o
6 x, g; O _- }# s; I; t$ g
点不了吃亏，点不了上当，设置星标，方能无恙！ ! T% w# @5 i; u: m2 L
+ \8 t/ G9 ?4 C. E ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> : S H1 E& a3 o, T
# E0 u# ~/ V' b# n; H, V* r
: C/ _& k5 A8 Z% B7 r, ^ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 / W# L" y ?! c+ f8 J8 r4 }% A
5 K m# Q' V; i0 N6 H
! {# u- I% i5 s7 G( S$ @9 v Z0 C( k5 O5 u. J5 z6 @ B/ J
3 s$ R7 i, ~/ H: Y: {
# d: ?8 B* q$ F3 K" h , m9 a# E0 _' n
- @: M; E l: z1 _' { 无线or有线: y- s- R! ?0 `2 v; H& X
# L% [7 j; q! ~& J5 f - V) G7 O# c6 q! ~% \% Q, @
9 s( c& N: `0 Y+ p " u6 ~6 X9 r; d4 P! E. o
2 C8 `/ `' r" s' u/ \8 N 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ! N4 |, {' Q0 R+ ^5 d
. ~' W) ~: }8 U
: f; ]9 G4 S U$ t% ?2 z 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 & b1 h8 T0 r& e5 U
$ U5 l7 S* N4 G. E
; u; f y5 P% U# \# d& m7 u / ^0 a; V# t M# z Z
& j7 X7 [7 ] {: K5 R
. f8 o' |" y Y9 t1 J 9 |- D$ ~8 v1 d- f
# L [+ ?) S) A- E: v
' L8 f& A+ @( H+ n. [3 J 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 6 |% B. ^' d! w1 h! U- r
& X& Z# i2 A; ]9 X! C+ Y4 v( @
; _; o+ m1 B3 Q6 B( D! A 7 C- Y5 c: v6 }: @2 X) b" Z3 L' I
3 O9 |# ]& @: d5 O
# L) b1 P7 i+ H 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 4 E; ]) t$ b) {6 K# m, ^+ N5 ^* F
& B3 J) h |) q6 t# |
2 }# h! d! A3 J! o ) _# s! V3 _3 g5 A8 G$ P0 c& W$ I, a
( P2 n6 q; V, j" E0 z% e
L7 `" C) {# b- D3 Q% R2 s# ] 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 9 v$ V0 a7 r W) k
" T3 N* _7 S- q' {! E \3 J6 b2 c
$ N) ]' K& W- J2 g* [ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 / q% P3 B$ b1 B: ^
0 s- L3 w+ }+ q9 T9 \0 p' Z5 n! t
* b# C. |+ K% d" R 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 4 K9 e( T( c9 ]* m7 N! j" Y
2 w1 J1 N$ d. v0 ^5 S9 G& c
+ D h4 y7 g6 T& b- g$ S" |* C F 6 A8 y4 h+ e/ M4 d9 k
& H+ z& j6 J+ T! j; P2 n( T& q 内网渗透/ z! t9 q2 U: C" b, v# ]
) V9 E6 @% E6 N* j1 ] 7 F' @3 D1 t/ |. T Z
" A' o8 f) j7 J+ y( n; B 7 i/ `- Q% e& W" m( r7 P
^7 D4 K7 I/ Y+ |0 X) \& [3 A win下搭建cs和linux类似。 ( W; v- t, E7 |* @( c8 M8 u
, H, ]; ?9 G) F: s) U* ]: V0 T
# b! m5 e6 V+ A! S2 Y
teamserver.bat + ip + 密码
4 M" I5 w7 q: Q% m2 ?+ {
5 N3 U- a8 g: T% l4 U% s: q* }* G4 x
, `$ F5 L' M0 p$ Z% S5 R- _ ' q3 j" i) h+ V) r9 i7 Z9 o* @3 M
6 U5 @: K8 N& P1 ]3 L$ t Q
) h! I( E/ X1 E8 m+ C. r1 w fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） % ~7 \1 l% y7 e: D% {) `$ e
T s: w7 P p) h" N% D; `
3 m L! C5 Y: H4 z' h( S ) V# w( S2 ]7 _5 K) p$ N2 Z
+ w2 z2 T) @8 M* N. h
' W, {( d; E0 k( a% Z6 J) a5 } 5 H- t% n0 V& A
1 _7 g6 y6 ^% y) p" F+ `
/ ^- d) M I" D) v7 p. H" P 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
& Z: `$ V, u" ?2 ?1 O2 S) a1 s9 W
I( Z8 o. e3 B$ j2 Q$ Y$ B" ` 8 `7 B3 H' A9 v
7 [7 i" ?4 X+ i0 I& h
* b5 {3 D# M# w# D8 D ! d2 o$ [$ V4 K; Z H& ~1 w0 }2 o1 f
^3 T* O4 u0 I; M! K' y0 Q, v
$ A/ y* q/ e) W, l/ p4 G( G- U fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 $ }8 \7 R+ P4 Y) d" e
) i/ F5 `7 Z; @$ K, P [
. H: |, }7 n T' N) A* y PACS系统 ; ~( G& @8 @* Z2 I( a
( Q5 k) u$ h8 C7 b
! @8 B" m7 d1 b8 m 0 Z0 G) C2 G2 g$ B8 ^2 _* \& U
' O9 p* U- U" Y
" S* X7 J6 T' d- Z5 h9 T
% {0 B4 I1 i+ f) A0 U& |
9 @5 W3 e. |6 y8 N. W/ P& m 4 H+ U! L( _+ v8 L: L# z# r( N& E
% o+ Q4 U j: s! g# y n! Z
4 ~4 x1 B' E- P HIS系统 % U5 ] L4 S3 `: |
4 ~& Q# n9 }, K, V4 ~' V4 ?; h
$ w& X- h1 l1 \. H6 d- K5 T 2 h+ \* h. V- x* X7 p- F2 |7 O
0 r9 o( u9 e: N# _2 W
; z) K; E, P6 x, G5 c! T 8 u, l H/ B3 Y" l, c4 Q
9 g" K! @( H1 |
& G! {& c7 ?. h5 i5 e+ o 0 F5 X" \! q7 Y" [1 F7 a7 b
) R3 N! g% _7 k7 d9 ~! g0 `
# l, b C9 _8 }3 P1 Z 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 0 P" m9 F* @; q) u, Y
! M/ T7 ]* |# b8 n
/ m1 i2 `' t$ Z, r+ ?: _$ h( d; R; I
3 U" X J4 }( ?3 ?/ d
+ M. p9 B: e% R & e. ^- `8 d+ D/ o1 R
% T2 Y: a! Q2 h: L6 p' n( w
5 u' u- P5 S) y5 ` b4 Z4 k' R/ g 后话 % O: r3 o) y" T, d1 e
% b4 d' N2 x0 V: a# x% V/ a8 ]
+ ?! t, J2 F7 D) l: ]) [+ ]/ z 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 4 [5 W# M# [! T; y1 Y- c. V
$ {3 }0 G6 F0 L% D2 u5 _
2 Z0 U y- h. x' n% M1 L ' W+ l. k% I; [7 g/ }( R& ]
* r; q# _, Y: Y& `6 ^+ g+ V4 {) H5 w! V3 _ ( Z% w9 B2 v6 |1 c7 v) {0 V
5 h* W( @% h2 `! R; o& F / N, I: O3 U% d) P, ]: |; B! B3 x
$ C& V/ H$ m+ B; X' c 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 $ W# u0 `0 U& H) V3 p
' T& D' l, s ?% z5 U4 I* M
2 \4 H1 r, F1 a6 u! E 6 |4 R! Z* l9 x1 c% n
0 K. M% r2 N. p& t0 x2 L5 i

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

- @: M; E l: z1 _' { 无线or有线: y- s- R! ?0 `2 v; H& X

& H+ z& j6 J+ T! j; P2 n( T& q 内网渗透/ z! t9 q2 U: C" b, v# ]