记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

" I* p5 J3 K* @# Z( H: B 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 " _6 T; ?* q4 w3 @! [8 ^8 P. b

* v- Z! y+ n- f; P, l/ ` 众亦信安，中意你啊！
1 R# S! z. s! p
- q: x, {8 k2 c) Z5 pingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 6 E0 _% _9 ?! y# g+ h' j6 L

]( U( O4 ~* @9 O& F# U ingFang SC,serif;"> & f3 y2 k8 @+ [

; x o1 W; Y: }
; g+ V7 n4 D1 j% g 众亦信安 # |/ H' @' ]$ F3 U
2 R0 B- r. l8 J: W5 Q1 Y- N
; ?9 {) a+ f9 [. E& c. J; K' [ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> - p* \7 Y/ h4 w# s \
7 ?9 ?9 g, L: D
- Y, c1 I2 v! w( S1 t- V ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 5 m( W* C& }4 D' m0 q0 H
- G/ J x" ~ a# E
$ T% l) H& e* e7 S+ k/ \ 公众号ingFang SC,serif;"> 2 k5 T- c) h- J! R
5 Y! }# X7 y" K, e
: J7 H V. a1 q0 p1 b2 S; g0 l; b
2 t& [8 \: v* _3 z. j. M
1 g2 O% V r1 V( C5 N4 A% t9 p R/ k! Q6 e* i o6 }/ }7 ?+ o
: I9 h6 V& q# i6 r+ I. N/ M
点不了吃亏，点不了上当，设置星标，方能无恙！ 6 ~: }3 ]9 w+ u# [3 D
4 Z5 I6 Z2 }7 J ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ! X# m) E- o& X# W4 U1 M+ C$ b6 Q
/ b& l( ?/ u. q4 i5 |* ?
, u! P1 {( d- B0 j7 g* }! n9 B2 n/ b 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 % y4 u, l% w" H2 V
( k* Q5 ]0 A' D% {' ]
7 |# Y% ^8 G0 S8 f) z# M* q : W0 h: K' \1 u* [
' T( [: v$ c6 d% a$ |: H; [
; I: x6 |( r2 I" L# N % ^. N; A3 l$ {: _. K2 r
3 D. M! U2 o1 l# G9 N2 A4 M+ A 无线or有线 ( m3 R; q3 e- N8 W( [, x* m
; M6 Q& L5 \/ W$ B! p J$ O) x$ k1 ?1 k; C2 K
/ d3 w: s7 z+ Y! B% x8 `& Y 4 F, c) O! F/ L7 W. f( q) U
; `1 Y+ g- d1 ]: j1 G* d6 F 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 : b) N2 ~+ q! u$ f) k# T2 a0 S
, U5 T! Y8 y0 b3 a, N4 U' T2 f7 {
& b" \1 V7 Z& R( |+ h 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ; ?6 c4 M* I4 P3 |3 u+ [1 q
- u, G6 w" U) ~# m$ L
/ _- U4 y" {$ ~9 d `6 `: V" M 2 ]& i. z: i# f0 U) { y7 O
0 Z! _6 a P9 n; e, y
8 ]2 W6 I3 y+ F. Z5 V # u2 f: N5 y! P7 C; @
5 `; s8 A) \7 a! @/ V
2 _- K$ `3 Y7 B 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ) O( Y D' L/ {! j5 h. x3 {& V5 e
- v: b# e! X- u4 c
) q" C+ K. P8 G0 O. t1 f / Z' E2 c6 @( f+ c, h
7 _/ T- Z0 z' ~" G D9 d. n
5 ~5 {; ]6 Y; ] b+ C 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ! G0 A$ a9 T9 D( _0 p$ z+ H
5 T% @9 T# a N* s) ]$ W
6 A" A. o; W/ j; c! ~ + l# W7 `- q8 h! |- P. j
( _5 N2 _% ^+ A" D/ l
/ F/ K, ^8 i4 k1 Y; m ? 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 1 x' }6 N4 l% t# m2 e8 [" N
0 O# ?1 N* M/ n6 n3 t3 g1 D
2 }% O+ B. B& ?: ^: C% N/ @ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 & b' g3 g, b4 T/ r+ F& P
) U6 Z8 R0 ~& L0 e7 ~, E
/ e9 R3 v3 Y, p4 @7 B4 c3 m; R- c. a9 T 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ) D8 M) f. _! t- p2 A
* U( R+ @ d9 a% B3 k, J, o! Y% G, c
/ l5 F( ]/ w+ o 9 _* {+ [* C" }, @3 S
$ y4 M8 Q: J. z: b+ m( K. }1 {. w 内网渗透 6 I+ U3 S+ y/ Y4 S: ]8 J* _2 t! c
; F) A5 z2 a" j( C, P" j& A 4 j1 g/ L4 G4 j3 q) v
/ B" Z: }2 L3 _9 m; T 5 f, }: ], g" X* b
! M* }/ K, ]- J win下搭建cs和linux类似。 , _# C0 K: s' U" W% J0 }
- Q! C& p7 G" d1 _
9 M0 |9 D% l& E) @; N& B
teamserver.bat + ip + 密码
! U1 X6 j( m% k8 O1 x% G0 e
3 y: g$ N; _8 z( p: L! x) q
# ?/ P8 _7 t5 k: k. ~8 g- i 3 q. Q7 m. V w4 O0 \( m
V9 y9 C/ W/ X- ?# i' M
+ V& X) u+ \6 ~: D( O/ y6 v) j. b% [ z fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） , I3 U! h0 ~7 f1 W& p; g7 U& w0 N
# i6 [ ?8 ^/ q* t
3 m0 z0 b# _, { 3 ~# Q. {( C7 C7 {5 E" y& O: C3 e# c
( z$ O: H! S7 j7 c! B
+ e5 ]; y& K$ T: H9 P9 j! f+ y 4 Q/ d6 |$ u& ], t+ Z
% Z& V1 D3 R9 f" r- t; s4 p# f
' P3 w& x# X# n4 _, i I* ?/ c# I" K 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
: A0 L$ |2 ?1 D( w
5 Q3 ~. d' n) K* t0 {1 d R9 g% G& T6 ~- E$ u' N
_/ M- b3 I+ b
C* E- A, Z) g5 L7 H0 e/ ? " y1 h9 a! j7 Q G0 a* P" Z- h
: m5 f C! S# |0 e$ x5 ]
& p7 w! g3 W9 S0 L fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 $ Z3 Z# T0 P* a5 w. V) @9 K0 y9 _
$ b! C8 }, N# @$ g `/ V
* m& c+ i3 _) K! r/ G* @- Y PACS系统 6 T( }! y: H0 M! P8 h& @
0 Z& L5 X4 E. e" x0 B S
* C" t; F: W7 Z, ? ( F+ M: a: |9 L" g6 f5 s) ` |8 ?
$ T, P; Y. P4 ]+ G) k+ l1 Y0 G# F
( I: a2 G: j. q9 L
3 J9 `6 C0 ?$ i- j4 a3 G3 L& }
& k0 F- `6 b( R5 p( X 2 Q; M8 C) V4 P9 j# K( e
+ P! d: O1 g7 J# n1 E; z" {
1 i# m" Q7 N: W1 X HIS系统 / @7 s6 Q! Z/ u1 R: O+ L
2 }: `& w- R* c/ }6 n: Y
; |6 @0 s, o! m9 X0 W + ^/ B _( F+ r: C, v! k
; g% ]4 D' D0 E, p
8 ^+ b0 ] C0 i0 Y) ]& U 4 d/ E* [, Z/ ]. e4 p) ~
2 \- y2 {! N7 q7 O4 t. Y7 R
% a5 E* m) b) t4 ]7 r % b) d% w. C i! c7 J- C! C& _* h
4 N5 p9 h# `8 Z# A: g* t" I
$ y, K5 x3 `) a1 t) B8 E; R! }/ k 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 # h& Y4 o# ]+ ^" b" \+ V
4 J' P6 }! K, x
) A% {" \$ @/ s8 h
, p% Z; D3 U- v9 @/ x& C
- [3 A8 v8 u9 H9 F; S i+ | / b" y8 \9 q3 Z* C5 E. ^% | e
; K7 y7 i- o! b
8 O$ h J2 R+ C 后话 ( G, |* R) V+ D& S1 F; o
$ w( L' I. q* N, R
- [& U3 f- }$ u6 m( k 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 7 w. z! X8 S6 ?1 {1 s. K$ J
# `2 }) s$ E) N8 i! E* Q2 `2 V# e
! l( A6 ^: W" m# B- C( `+ _; n9 n ! J% Z, b0 S3 h% V
8 b6 c5 Z$ J4 u: r( \% { 1 H6 ?1 |+ H# [
) j, y2 ~# X, H( C' e- e + Q% h2 g; I& q: l; R" x
- [. V' Y, [* d0 e: B 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 . L# n- o7 V; e: d% c
) A6 N" ]7 e) ~& {( Z
1 ] ^5 \. O2 F @. E 1 k% [! V$ Q% S l! e0 F
% y1 n% G, @9 ~. B1 U- T; ~

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

3 D. M! U2 o1 l# G9 N2 A4 M+ A 无线or有线 ( m3 R; q3 e- N8 W( [, x* m

$ y4 M8 Q: J. z: b+ m( K. }1 {. w 内网渗透 6 I+ U3 S+ y/ Y4 S: ]8 J* _2 t! c