找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2364|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

5 c% A- Y+ r% O6 r( D' p 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 ( R& R; N y( d8 R' a: C7 W2 r

! P: @$ p* @' o: M" h( p9 h

. }: u9 W- M7 L* F7 q( Q1 ] 众亦信安,中意你啊!
V( D+ _: {( f& w6 [
5 x6 g5 R9 s Z+ i0 ~ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
# h |- L) D+ T* Y1 ?2 X9 l2 V# i2 p2 Y

6 ]! H" \1 T" t5 E

) W, \- t. T7 I ingFang SC,serif;">; y# J$ U# ~+ C1 l' L- u i

* U, j2 h: d4 U' q: j0 b. [7 y3 B- `
+ D' W0 A' j1 p% ?: W! l+ a: H

; |$ R8 `/ d3 b5 |* }: c 众亦信安 8 T" ^+ B# F( C3 Y+ k

& M, s$ K% u0 Y( I/ r% f E

+ k/ x a( r& h$ ^6 `8 x' ] 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> & B1 t" w. B$ x) T

2 d* }+ D0 w4 F

4 ?7 W! S- R& ~& ?' w* ^/ Q ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> , ~7 H4 S E0 C- S3 p/ N

8 B* [6 H$ D4 Q: V( y) U

& u2 Y+ Z+ X. | p 公众号ingFang SC,serif;"> 7 a( K" v) ^. h {3 X) T

, k7 n1 Q$ M; A8 W4 F

# K# g% {- \5 u* {7 e5 O) f5 P
& P0 W) \4 v; }' {
# C4 p" ]' y" n+ M9 B3 u
( D5 I4 b' y7 f: h: {! H2 g

: U/ g" U5 X5 y* e
点不了吃亏,点不了上当,设置星标,方能无恙! - Y" [2 A. }7 }" d

3 b9 G3 U5 `( z$ F& c! j ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  5 e* j; c! E" ~$ k o

+ L) u1 Y( `' o! Q

9 Z% n. M+ y' D; D. q$ g 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 4 f. K, G& O3 O- }8 a; x' N

8 a) L5 R0 \. V1 G

! J6 s f* u* {6 h   . A ^/ L6 G: p

% ~- l. Q' i7 T, z, Y
9 o3 I1 B5 E3 x 9 C( X- M& c" f, w

, l1 L* K) n4 C. \& H 无线or有线 ; H; [& n6 D- V; M5 t2 b

; G* M4 p9 \- |9 Q, A8 d0 G% h
1 G# y+ M+ |0 a6 l. X
1 G* k @" h. q C, _ + F0 P% z; w: B; h& D7 k" f

/ |, E* |$ R: B# i# |7 V) w 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 5 `3 X2 Z% F) x: C+ w8 J9 D1 u

k, r, F( ~; s+ g9 d

8 o4 C6 o& G' D f) I/ } 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 5 k1 ]+ d) a" e! M$ o

" | p% o# c. h/ n

- s& {8 e/ |/ `7 ]4 K% F \" o vshapes= ' [1 I0 G6 L5 j5 H0 m8 x8 ~/ c+ x, r

3 e% B' ]9 M- P2 F

2 }1 L6 Y4 C E# ?8 z vshapes= $ u/ [- e4 @& C& B- I

- D' x# Q$ z* W8 j, P# a6 u- } n# V

% N4 o% w6 \9 r 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 2 Y* X2 {1 f7 I% N. q3 {9 d

: @3 N3 \9 Y2 F4 h( Y' ?

' a! j5 x. |& f vshapes= ! N, B4 T" ?1 Z$ \ `

: O' r# b- i" Y% T! d' ^: R, F

6 _; V2 b/ g5 |$ ^# |, | 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 / W3 i( b# \3 u+ A. S

# a$ l! }6 d# H

+ ]8 Z2 o+ G3 O* { vshapes= % Q6 e, c% i _: {5 Q/ _/ A& p$ k

$ C4 D& v. s m7 z; ]

: U" e* F6 S2 k& v/ m% a6 M 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 5 x/ ~- g9 U/ x5 ^$ q2 o4 `: _

7 {1 d8 u: l! j" w2 A& O' b

" B- b! K- ^3 m7 _. \9 v7 L" j7 s 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= " q, d, J8 c" \" ?; \6 W% Q: @

3 ?2 {& @9 P7 U- b5 r" e8 g" m

: o) M, m) w# {6 C K6 c0 x 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) 5 t7 G4 x8 `# |

: r) j2 ~9 p% h
5 G( ~# G T& C, v$ @ , D4 @ n1 J$ O- a g& P) H

3 G0 j: X. d1 l5 S* g( v 内网渗透 " h+ ~ k* S* G. }1 k7 D2 Z& _

3 R5 V- o* J7 G7 ^6 j% T. o q: R5 L
% C- F( F# |! w
- u& D G4 [# o. w7 @) g % h9 }! f$ W& C+ G* F' w4 x* ]

( L8 k4 Y: T1 a7 s9 Q win下搭建cslinux类似。 ! m6 q6 h3 U3 ?- ]% e

: k) g( f$ v3 o8 ~: l0 w1 n$ m$ r: u
$ w5 X" i" W: O# n
teamserver.bat + ip + 密码
* @) c" D8 J3 y% b% C( _: F
; c4 C2 c' x$ L# r

& q$ @# v+ \- F% j7 P+ j vshapes= , u& M' V& W! p2 w9 F$ w

3 m& {: ~7 f5 ~! O# _9 x

. l) U. v4 w# a8 ?2 Q fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) H6 P; ` I, O1 N5 P8 f6 D" W

, y9 E8 K" F( a; y) Y$ z: q5 A

l- x2 V8 i3 {* t vshapes= $ X; R7 W" Q! X7 [, b

5 q' I# [9 s. t! n% m+ u. H

! E3 N+ t( z) E" m7 f vshapes= 1 I2 M1 i3 f0 \- D' _1 x

5 v! g7 M2 [! V

x1 k% `; M1 I8 t 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
$ S; h" E! o, ~* g/ x
9 u' u" `" A% ^7 v
: K* P3 j9 A& E C

; R4 D4 v8 c7 x. y% Z- B4 w: G

+ Z' Q }9 u8 r2 [+ m5 {* a, V vshapes= - i' @1 _3 g' ^2 o ]

9 D: n# f! m+ o, {/ A2 L

+ L1 `/ ^$ L$ b& L5 b$ w* [ fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 6 R1 }; A8 P: C

1 C* F# F- @, z4 B) `% I' Q! l

) ~3 i9 J" d. d6 f8 {& H PACS系统 ( W( B2 ]5 O3 z, D

. i( Y1 p, X0 M7 [4 F

9 r1 u# @! o. Y$ a* z- k' ~ vshapes= : ]7 i9 g0 Z" f# _& \3 a8 P; H

; f0 w+ H+ M$ y( C! f w

3 y2 U4 q+ J% P8 J vshapes=
7 D; c( E4 _2 i9 j
- f7 o" ?# h3 O5 Q3 i- ^
; ~+ F4 k) Z( ?3 J `2 n

" W( _% U; @& b

' X' t3 z% J, G4 ^& Z' | HIS系统 , |5 T4 I9 H0 f+ @9 g* p ~

$ c; ]) K9 h% T# ^+ {$ c3 k

1 f4 U5 @8 a- B# \- @+ L vshapes= . A5 X9 j4 K. `9 Z

% m4 Z9 T, G$ x- R. u* o, _

5 k1 f* M- D( q5 U' ^   ) A S# M1 f$ J7 [* w( ~9 n

+ X/ N% M% p5 S

0 N) f& d( o7 e5 _6 c vshapes= , O. x: e" S0 w' `+ S% O

" j7 i& q/ k' Z8 c' T

$ q9 i! h. Y& {) ? b# P 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 . ]5 t3 l y' R2 A E

+ |' Q6 U, R1 t8 T6 [/ j

. }- u- c( g* D1 ~
. p6 [ k6 y0 ]; @
' M+ c! s) ~+ j! |( h
8 u, E9 _4 p, x6 S# J

- l- \2 ?. }" N

2 W( T- _+ ~( c( p0 C 后话 8 |- |( i) k0 v% r

, u, R# B# _& f$ _% m+ g

% t) F) z. ^6 @2 K1 {2 f; d; p 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 0 A6 h- ]% ]: P a7 ~9 @

4 m8 u; \) I5 F$ U9 [
5 {/ Q( X R" \( z; a 6 E+ T `5 ]9 ^( X; l) B* a
8 f# L# W5 f8 w' }
* W5 {/ I4 Y' w: N/ H4 y
, O; o9 n @" h4 ]$ E7 z% N& C" c ' A: B$ s- r! L$ K& |

- S# ?& ?; q& ]$ e2 W$ { 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 6 w" ?% \5 q4 ~: k

, Q, M9 a+ D4 Z

* b" ]6 c: B, f   , J5 \/ r# E3 [

( p9 B$ n, H' ^, r- B5 i/ D* U
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表