记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

" Q V5 k M2 q6 t) } V6 y 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ( O1 M; j8 w6 A" v. ]) r7 I, a

! A) \5 M- S/ l! h 众亦信安，中意你啊！
- N, b6 ~1 ^' p* T. X% n- E6 e
( u- \0 r3 Z0 p1 ]8 v4 P+ [$ EingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 7 k; t0 X, k' Y8 X

6 M( H7 n, c. w/ A" w ingFang SC,serif;">3 p' K6 M1 r) r( e: ~) s

5 W2 R/ M. x* H$ |: n0 l8 y4 E
- T4 \+ q" f4 |2 ^4 m5 p 众亦信安 & Q4 s" j8 A5 ^; @4 Q5 q$ r
; Y9 }1 t% x( Y1 }: P. M" X
+ {* {# {* B& c) v/ Y8 Y 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> & r1 R% U$ g5 z8 h e
1 c/ e! C5 f$ h+ R# N8 c9 D
( n* ]+ H: \) I" C& D ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 4 q0 L! S& C7 b6 M+ P' b+ j. Y2 u
5 J/ @$ R; Z: u5 @. j+ E
- q" A- y* ]' L% v5 L 公众号ingFang SC,serif;"> + s( C+ y6 d# o* X( e* J
7 }; M0 l+ P* x! T
) a, [# p" \: P1 R
2 K$ ?8 ]9 ?& H" X* q* _* a
/ X+ [9 Y9 o8 E 4 F( {0 |6 }; Y9 H9 K& `- ~
+ `8 h* x7 s- @7 y1 {3 o
点不了吃亏，点不了上当，设置星标，方能无恙！ 1 j" Q3 l1 n/ K
+ q2 X0 P& {. G" P7 s( P ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> : _3 X+ s1 E- T$ G, t
& u# S9 V, J7 ]' H2 E
2 c5 J% U+ n4 [1 Z# N# m& w6 p 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 7 g+ j& z, ]! t+ O
2 V2 {8 _) E z r/ c: Y
; T& K' O+ r; g# r, b $ @, H9 g D \! H* G$ r* M; c
C$ D7 g& N) |- s
) q, [: R" B4 t" H" h7 x. x9 ] . E; @" V3 s; H
9 W- K- |# [4 b) f7 S( Q! n7 P 无线or有线 5 B% p h( q; w0 }5 p2 L' O. F" ~4 W
1 w; z1 n8 K$ V, N3 z2 F 8 \: M8 W1 e/ R
+ P+ k* X$ c5 O) H3 N ( b8 t8 `3 Y, e4 V
$ C5 N+ q* f$ M: z 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 7 ?- ]; z4 e _, t! U
% p; P$ u$ I7 @
2 [' X) c- e. m* X( Z3 ^ 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 : v" I' k4 G: n) B; z3 `
+ g' n/ I* u2 H. a% J
3 \, v9 D# T# k* z6 _4 Y+ o ( d* C6 s( |3 O2 J# E- j& o; a$ ]& ^2 ?
: A# O8 m+ R9 m# \) e" Q
$ _' d) d- a( X- M) W1 m$ W2 [0 U ( J5 F e# Y& e
" {; `( G. _6 \ [6 P! L" I
5 F2 |( a9 j( \+ Y) T8 G" X6 N 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 4 V0 d! t& {# C( }) c
4 q) w& m9 J" t2 v6 p( k
' ?/ e5 y: s8 ?$ G9 y3 x( L / z( E6 [4 T( s! j6 S
4 _9 d4 }8 _: d4 A6 H8 S6 y1 U
& I" z. G) o/ [ 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） + V; L- I* L* a3 f' c
% G# {) ~. }$ A; X
7 |! ~0 l- Q. H. Y- S& { ' U1 _' o4 F9 \- }" C1 Z' U
! U N9 y; J) e( N5 b8 x
1 Z7 ]2 z( A; p$ o j 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 1 r. i2 \6 U" S' Z3 z8 B! k4 ~& g
* x' m' |: J# a5 s$ Z
0 B( \% @( C( W' K 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 . g5 O/ [2 ]0 R
3 B( E$ E) M) N/ M I9 e1 X' Z! b
# s% {2 V9 W2 k9 X$ v, ] 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 , L5 X5 C. a, ^$ P0 r$ K7 u
" u; [# A8 _1 x! `0 j3 N# x0 B" Y/ F
* s, g4 d0 C+ W $ n; o+ u6 D# Z2 L- z3 W( \7 w
. L# @) {! B& c& F" e+ Z 内网渗透 5 @9 a+ A' H, X A8 {8 u2 T" o* L% N
6 V- A! c9 @0 f ' t0 X3 \/ c, Y9 g( i
( } ^3 _# V6 G6 { 7 I/ b/ T# x. l8 N- L, \' S6 S
# }/ i' b* A+ S& y6 ` win下搭建cs和linux类似。 & B/ ^, a* ~7 A5 \7 H( Q
# t7 h& D$ f3 X' M5 l8 P
# q5 x& Q, x8 {1 E3 K; n5 Y
teamserver.bat + ip + 密码
2 L9 l* W2 j# z" f$ Y V
3 j; G$ Z! X4 \+ f
% L2 @# A8 q0 Z7 {- u/ | * K, p7 ]+ K) l7 @% J- W, t
, p0 \1 q1 S5 d* m
9 x+ s& u9 Y9 Y- ^5 M, N7 J. B fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ' _1 l5 u1 z. S. ~/ q7 a! K
9 b( q4 x, R8 Y2 `/ b3 E- u4 P) k
% F5 D: d/ ]$ Z, G- ^9 f2 J( z : N: q4 `" i' w, x- J4 e- m
2 }( }$ Y Z+ d7 o# [
) I9 w. K G6 |" a) C 9 ]6 d% I" E; q G6 \2 k6 l
0 M, F* }$ }2 B
) D. [' g' l$ o9 p( a 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
% I6 ^' K' b; o0 Q
% J* N8 m! d8 c5 B4 }# ~" r. z 1 x% O4 {9 _; H& F) p
: X* v3 ^2 o6 ]8 o8 `. m" E! _* {$ W
* A K+ b6 |3 t: M4 V) b1 v & i/ a4 a$ H7 b" A* v: c3 y
- N! d5 f0 s9 A8 ]+ ]
, _( t ~1 l1 _, c fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 8 ]: ?1 J) K' r$ Q" J. E. D
2 {+ C2 G1 J$ U; T
8 A5 `0 A/ O$ A/ A8 i! w* ~: u PACS系统 0 L g$ Q3 b1 w
6 W( j6 D) f3 P* {7 ?
/ X% C( h% o: o # Z5 s ^7 [; N+ x
; k2 J Q/ E! s* {0 n3 ^
; A2 H8 F$ B- z! g
8 O" Y. i7 w, b2 y4 ]
; O. Y n2 I8 ?" t# f 5 y# O h' W5 \2 k) t: k1 v- }
. P* o8 \2 `$ K% _
! b/ N- u$ d7 @, F( ~& M: O HIS系统 8 O8 g, r7 | F8 f+ [& e* ?
. f7 e/ ?# y6 L% K0 n
. s# {' B" x8 J9 p+ T 8 v) R+ v# Z% { F; q
. o& }' g) W9 p8 ^( a9 t2 g) g
% c) q: h6 q5 Z! c8 I& L' B) R8 J5 M ) H! e0 h1 b- G& M6 \$ @
& N/ B+ {7 h3 S; t3 T) f
$ P" V* \" w. J$ g) o1 g " I5 W+ `4 x4 I& A
0 X6 u; }9 t( ?; [* S6 F
2 u# n2 [5 n* w8 A. V 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ) S8 h2 o* c+ G- c1 I" F& y
/ h/ N1 _. X* b+ J& {4 l* z% L
& v( q4 [0 S1 |
4 K5 ^6 t9 o6 f, [8 z) o! D
, R, i, Z/ `7 C3 c( S5 L* r- H4 K+ r9 k
$ ?8 k2 f4 P; p# r8 n
( h+ D" _. G' ~! w( | 后话 # q t2 D* P, E2 D
8 h2 |1 y) Y8 Z4 V3 \/ K
9 B" W0 ~! Q/ f6 G$ `. i b T 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 * b9 H& ~' _6 b U$ F
3 F9 Y" U6 w3 g/ L3 J
& [0 l3 Q* l" l* H 8 q+ t4 Q8 [1 B( d$ h
$ t% w' o" |+ h2 m. n) s) J f* V - B) T6 @$ j0 O1 U1 O
- H. i5 E9 c' Y9 M$ v& U , i) i0 J6 I" U. I, c' T5 @
) d1 `$ C- v/ d! |7 D+ C6 v' p4 z 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 % D6 a+ i5 B; A. y% j2 E2 V
/ o4 k4 o3 u; b. l! y' r# _
9 S5 [' K& ?- L' D/ E# e" e : J/ L. @( {9 q# s; w1 N2 E
% c2 \6 F% u6 b4 J' Y6 f4 A

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

9 W- K- |# [4 b) f7 S( Q! n7 P 无线or有线 5 B% p h( q; w0 }5 p2 L' O. F" ~4 W

. L# @) {! B& c& F" e+ Z 内网渗透 5 @9 a+ A' H, X A8 {8 u2 T" o* L% N