记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

6 M0 H+ i8 c! Z3 ]6 d2 T% q$ g 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 , N A9 m+ o$ m$ o: p8 h" ^5 V

5 u& L( |! \$ B) [ v 众亦信安，中意你啊！
% h( Z6 i% { q
$ i4 @3 N; [7 Z! WingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> % {$ N+ X# l! w" [& R: \

1 q* `* P: I. u; \$ m/ C ingFang SC,serif;">. {7 c% [' s9 F& A

* R& \' E& I: |+ e
( J" z9 F) q% {- @ 众亦信安 * o8 o, H+ U \0 e) I
/ Q7 z) T2 O: B9 `9 b$ t
7 X4 L2 u& b; j9 O" ]9 C7 j 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 7 l9 `* N& a/ M# A, i
& }* {: | O/ u) \) d. |
4 o& L: Y8 b* y/ Y4 h5 {7 a- @ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 9 X: J3 R: T- I r9 N/ H' b
% i8 C* R0 r2 r# r4 t( q
3 K$ J4 k- {( h- ^& w! y 公众号ingFang SC,serif;"> / \$ @) r \$ ~- w) w- Y0 k
7 f) i& a8 c( C6 t
: ?4 E! ], v" W3 e; h( ^
, y5 T6 V' F; P- [
: _# T6 f" L$ f: E# ?& i g o8 U2 w; d7 o; `
8 O, U/ X; [* _' H
点不了吃亏，点不了上当，设置星标，方能无恙！ $ F) v8 n n& u( e( P0 N/ A9 E
7 C9 H3 b1 i. p0 D. x ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 7 S5 ~! m$ e# B! C
7 H8 {$ Y( ^' e3 X
+ l. [2 w$ J. _7 ^2 A 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 + h& `, d. A$ y
4 A7 H+ B* v7 N! \/ A
/ I9 E& n& A4 }1 B( M# p2 g 0 L- v! y+ Q. I3 {
& U$ |8 G. o" B
* t8 ~* V/ c2 S- } ) l9 ^: h$ d" s$ s H0 G8 U
E+ d) [+ z) A: W 无线or有线. P7 X9 ?1 \3 E/ P6 g* t4 \+ H
7 F2 A' r# c& S - P, n) m8 w$ e" i. o! D) W2 t
, d, Z: T/ \$ Y' f' R1 `- ] 8 l, n5 t) e, C
1 w# H# J" q% q, j% _6 v 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 # Y" ?; F4 a" g \" c- a9 h
. I B0 d/ H3 y" I, g0 O
1 J: X; |6 N" {6 D. B! [) X& d 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 6 X* ?3 c v8 I
. _* }; x) R f
d1 s( u7 P" U$ K% G1 j( f: E ; ^+ A! X: t0 C' d4 N
/ j5 S- D" J4 j, p" t0 E5 n0 e& d
& s/ y Q# T+ I% g+ C2 m ' _ m0 x. ^, a. q+ m
9 E% |0 }0 C) a& a) \
9 |3 |: a9 T! Z2 v 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 p1 L6 V2 e0 X# o* ~
* u0 F- k; j0 f" u
" `# F& @ ?; A; t. X) \3 R! y 4 ]& M$ B5 X+ {/ y6 l! ^
% ?: N9 H1 v& k- f$ A! k1 Z( C+ P* C
% g- v5 ]% X) R" A' t/ f" } 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 5 E. |5 r% X Y4 x0 C0 q% `" s4 W
- \7 f+ e9 r5 T; [
, m: i+ {2 a7 \- _; g7 F _ 7 R/ r, ?. q8 E! k+ M
. u. `6 `. n. [( J
% d" c3 I; W* U* @" M6 T( J+ T 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 4 C5 G! F2 @5 z
, n) r1 d$ i: s+ n1 C
7 X1 S' ?! ^) J6 A 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 / R. ^. S. l. ]
( {1 ~5 a" A6 E. `+ J; x% g
! j. d+ h* U' B3 r 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ( h7 f+ }* z3 d, V/ \7 O
9 Z! h& ~* B1 T" i- ~' P
2 ]" x5 T1 b g' u( {4 Y- ^ , h$ T+ ] | V }4 m" G
* ?# d- J% J) E' x+ D 内网渗透; |$ q5 R$ u: T( C# x G F- X
) ?6 V) M8 S& t' R, s' X" a8 f , l- Q% `) T& h6 J
1 ?+ w9 M7 Y6 s+ d% T & t$ |' J: Y8 w& @
# ^: U- B* {/ |0 c( M9 P. g$ i win下搭建cs和linux类似。 % ^6 i3 t( w, z9 s% h
- h% b7 d0 T3 n! Z, k
9 s6 Z$ U4 D) V& J% y) u9 H6 A* o
teamserver.bat + ip + 密码
% P0 o# T& T0 w/ M5 g8 `
; D" ^ z" S% }9 N8 b3 L) L
3 N$ T/ h! Q% m6 Q% {* d( O * c! O( P5 n7 a1 X* I. R& j3 L
* Q7 B+ o, s% B8 \
) _+ B9 }4 |% X& _5 c5 F( ~: Y fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 0 `! |. c7 L6 Q' t& A
6 {: J# T I* z
0 W. e& \8 G' _4 M4 X2 [ ! t: Q* E9 r- s+ Y4 q' B R m
, e* V$ K% |# Q- Z% b
) L7 y: ^3 Z' N5 L 8 [. l6 q& L I8 s& l
( i' c$ R* N; F
' j9 q+ X* B/ ?7 r1 W. X# p. k 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
; ?' r; h; ?7 R: i
6 m( A/ A- c0 t( c% Z . O0 V' F7 \+ j+ h# Y7 C
) N+ Z* \5 O1 b: j
+ R1 ^# R/ I" o q! J1 q 0 F* c( W5 F/ J# l$ D( k
: `0 b# F6 J: V8 w& K
R+ D' d; G& F: ~% l v5 r! E fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 2 `. M% Z2 M: }" \9 |+ a
* q+ ?: M# E; U; O0 n5 }- X
! h+ g5 V7 O/ J2 F PACS系统 $ X. a9 A6 x+ L# }
. }2 w. Y6 G3 ~. i
! @ c# ], s* z8 J% T ; o6 K( D+ @! _. T/ E
" z1 ~: k3 P2 a1 S d8 e7 ?
; b2 W# K$ r; c. }
7 T% N: T8 P# H, ^. l/ D' ~
8 r3 U; t* U- A+ E) W% `$ v: Z" n 1 [8 D, l5 C. ]0 F* Y
/ |+ R5 K& m; K6 z4 E* d
# i# Q% L3 S" I9 |4 N# C HIS系统 1 B S: Z' f9 W" n- b8 c4 y
9 ^7 g+ b) f- k2 o& f; w
: O; q s; H9 z 8 s8 U* y: b, g2 t
) ?/ I) t% f& \1 [# S5 _
0 z1 Q/ `: s1 m5 y7 p( A' e * |" B' s9 j/ R2 k1 s9 q) \
3 T. C9 O1 }) [# n% V
) X7 f0 E+ W6 | / A) [! i5 z0 k+ y+ C( w% w3 c
2 x4 h% `2 a; B: r
. X) V- Y. ]& a 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 & e7 s3 x2 x) _/ ~
+ z5 b1 R5 K1 k* m* [/ u
( ~$ R X9 c; Q/ m9 m7 C
; \9 P; O0 V2 F* ~8 c2 F; B; R
# M( h7 K# Q* @. ^! F A4 o* ?6 Y/ I6 V# w2 I O! _
7 D* a. o! W" _9 s# K
' a# @. L" f' ?0 }' s3 |2 l: q5 r" k- H 后话 8 m) Y- g: Y, y
; X$ C' _; h$ a& \3 f" R! u
8 o# t/ U( Z7 A0 X. \( z: }5 Y. U 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ( v" P+ g" q) ]/ I) ^
3 q/ w5 }9 i; |: c2 ^5 C ?
) I" t) k3 ^) x4 w $ B+ }& P2 W. |& ?* L! Y8 L# s
( K9 \" _9 i, D0 D3 D1 G% k - v3 w* B& _9 T3 ?
; t* K; |8 h3 N9 m) a1 v& D. Y 5 i- e; O4 X! L
* C+ X; Q* x7 H% B6 W6 b% Y8 ] 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 5 P8 J( b) n t- u& y+ u& r. f+ J0 ]
) l8 u2 @! a, P$ k3 ^
( ^ R( c: P& F6 y 4 O) i0 I @9 Y6 x
4 j, M7 {$ r& `- Y J

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

E+ d) [+ z) A: W 无线or有线. P7 X9 ?1 \3 E/ P6 g* t4 \+ H

* ?# d- J% J) E' x+ D 内网渗透; |$ q5 R$ u: T( C# x G F- X