记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

0 @/ k: O& f* r$ c; c8 z# `: b, F 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ) X k7 |/ G, k; d. W; \0 C7 |) K8 U

2 L; ]* H! [& y" X 众亦信安，中意你啊！
/ R2 o8 ^# u9 g6 d7 x5 H4 D
; I7 l8 Q6 V6 N2 V2 k; Q* l2 \ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 8 o( I0 `2 O1 a# Y+ @

& Q4 {& T2 v4 w+ ]: d7 Q3 f/ ]% C$ L ingFang SC,serif;"> 9 P0 B' j' a. a0 ?, A/ S# {

$ q% }) E# i* C+ K( J( }
& k# L# c: [# p 众亦信安 ! M/ ?/ T( O0 X& D& b6 l2 S
! m) D+ e6 }7 E
9 N ?. _/ y. Q, } 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 4 P% c7 r# {. m) j1 L- j0 I: b
- X' a9 M; k- m8 r6 E
) V: P' {% e2 ]" I: T ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> % ?& H0 ]$ Z" u7 g" z- Z7 r7 V
" u- l# ~/ E4 V( l/ \
# ]2 g; G& W- w 公众号ingFang SC,serif;"> * c9 ]' p! y) t2 R
* e/ N# h" I6 \" y
. s1 l7 d# ^: ^2 w* a
- V1 j) B/ h3 V4 y+ n" G) q
3 R4 x6 O1 A. U - W/ e0 ]. P) ~6 h
. J. L, q1 X a6 U2 ]$ w
点不了吃亏，点不了上当，设置星标，方能无恙！ 0 s+ H. d T' N0 \
4 [( v- E. h" p0 ~ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> : G" ]( D- l* H
6 K- r: j d a8 B* m2 g
$ K+ c! x9 E' N9 q 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ! [0 l0 D* k! }; X; \
. n# Y% E( v8 H0 c: p) X$ _9 t
4 S: z7 G0 U2 \9 ] K: v" c 3 p# x# S, W- W$ D7 k7 M# \
/ A% z7 _/ T V( s
" b% r% x6 Y7 v) u" h' f; j 4 z+ L' S3 f: I& L( L1 U/ p# y
( [8 D6 B/ r$ }7 E K7 S; T 无线or有线 ( }: W: j) C/ y/ k* O, m4 n' P
1 c& \" S) y& n, k; R 3 ]- _- I" m+ i/ g) Q6 Z
- X* G! }0 E) W8 x/ I6 G . V5 |, R$ B" a+ Q! m6 W0 T
; j' \9 M6 D" C1 W2 U" v0 Z 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 % i! `7 `$ C! g9 {! u, W
) e) u- B. u9 k+ d; w
2 X, T) Y; P4 [+ B% ^" t7 _ 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 " W6 G. \ F1 ?) w9 `
9 M6 I1 y$ d: f* ~+ K3 Y
- K0 O! c( ^, @' }, u 2 `8 w! J2 S3 S4 H7 g
- L/ H& X( K+ n
( J2 L9 i! @; \* L 1 Z- g; { O+ T* v* m
0 g6 b. f ?9 K |$ q; _
! }, I7 G: n4 K( t e& r6 w8 ^ 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 : G6 i" g( l4 w7 S
) o3 l v" S ]% l# a9 H
" ]7 K% P1 @+ x; a' `/ W/ g! { p3 R1 [, Z4 G% f, I; }. Y$ _1 m7 O
5 P4 [) Q( h- K. @( o0 ~
( I% @; P. `2 {& z5 X) N. |& F, X 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 8 X5 y% {% L6 F) ]0 Q- u+ x' E/ ?
/ D$ \# M& H; o% x
; r& O3 [- c8 v9 M+ I( K * @1 q2 S' j) U! G7 c$ ?7 i
, v& }- i1 F/ c) S, j2 ^" I
( N ^: M) q0 t- }; R1 s 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ( D3 O! ^" A( ^, `+ c X% l" D4 s
, k7 ~8 b/ O! }% \2 G$ X0 I3 X
' s7 g& t) W. v4 }) E5 e2 j3 r 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 - O7 e# A: K7 c
0 z3 G0 T# Q2 S3 N+ d
& ^2 u% y3 @5 O2 h% ~1 F C+ I# j7 s 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 6 t. |) C% f. m+ w
- V+ r" c( ?, o3 E
7 f) t2 N7 h a( a7 o1 Z & y* _, M: j0 x7 ]; ?
* D% d! c7 r/ p, } 内网渗透 ; ^ f! }# G- n# j* }+ P2 T7 j6 M
0 p( `4 F! h+ S$ V" t0 Z ( h1 Q V2 r2 O5 `( @& g
/ g7 o2 P. Z7 x: Q0 I: u , \. I# r' L: p% y8 q! p, h3 h
, s- W) [9 l' b% W1 n2 { win下搭建cs和linux类似。 / Q3 Z) n H! l) T5 C4 |8 n% I
( \7 [7 z" _; S- c1 X
+ Z( a/ q% @2 {' }" B( V
teamserver.bat + ip + 密码
V/ l# S% R0 O
- y2 S7 ~. C* h' g: N( C3 y4 Z
7 e: D2 V& ?4 z' F; f6 i& h6 U5 v 4 u2 c& \, ?( Q, D$ w
/ _4 A9 e- T' O- t0 s
. V$ l( n) ]0 B j$ P& i fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） + k# w8 Z& N# x2 Q
) t9 L9 J, B% H! G: Y( K
4 w; X X3 M P% B* U% x8 K& ] $ v( G2 m. x1 c# O2 a$ B
+ J% n7 g, L5 t' d) a
! _' f$ F6 L- x$ R. k% R! C 4 I) c) L- z$ U# Q
4 a8 `4 s2 J, R
, Y2 }% a" ~& f6 P+ K1 m% F 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
7 ^: W8 m C* n; L- c. O$ S
0 ^8 j/ {- Y5 k4 d9 g( n3 @: y$ q' r: E/ ]9 s, U% G) W1 L6 J
7 \2 g# P% d1 A, |
/ p* \' C" X" r {1 D. e; W7 L , G; u0 b2 B0 m: l, U
1 I; {3 [# w+ \0 o& [
a) }" a% \$ P% |7 h$ q% m fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 6 T# T( S' H+ s# R
4 u. ~5 ]8 }0 b" \" M. c
; g' f; ~, }& t: D% i9 x PACS系统 5 }# r2 \" K( K1 M; c- h8 ^
3 b9 E4 D, C, N
& ~$ L9 P. Z. C7 R2 w( i. J, f 2 ]( Y; @" s E/ B1 o
* h/ @/ o3 z8 h3 W6 Y+ t* m D4 Y
+ f7 h: z4 U0 {0 f) \8 R# A
+ V" d- l; d( e1 o/ D
3 G# G9 v$ Z3 m% N2 o( a 5 [) x% R' F0 {% _$ d
% e; e/ ]! A. H% z1 B
7 x( q8 ]% M9 K* d V7 ]9 } HIS系统 4 Z% ~+ J) L7 ^' ~; H+ n
$ s4 |- U% y; }7 W% o1 t8 ?
; M+ d5 D F7 h& }9 R, T6 D : y! @! E/ w, |3 D( v+ @) c
6 T' J+ W8 q: j+ C
) K* m" ^' U) A" I; \ # K+ l% W$ d& C$ v$ _* ^! y8 E0 ~: }
6 I# |( h) @ i3 Q% d9 P
) Z8 ]8 ^2 E+ n& [+ u8 t ( Y% ]( G9 S% \+ ^$ t5 M
9 O, ]; f) L; r. K
- e D2 H/ i) J) T 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 P" ]7 w6 W3 `! ]/ b) |6 y, G; G
9 ~, E0 |7 ~( P+ L0 H+ L
: ?: `. x# @2 ~, o* i9 e& D
: g, v' e$ T- ]; g4 d$ K+ u3 F
$ d. c4 m7 D- l% I+ w4 l 1 c% W i! z& m7 ]1 I" Q
: q0 f Q: F( F$ H
% \3 ^# |8 E& h5 O* g( V 后话 + b' ~- Q% ^5 B6 b4 G
0 E2 E( e* _8 m- N
2 G {! e6 k; a 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ' e7 Q4 R( i' G/ k3 c& n
2 L' x f* W Q0 Q% ~6 L4 N$ d ]! m& Y
9 ^' v6 h* k, w# | & M8 c& w% A; ~: N! N: ~- N
2 K0 L1 P J" j ? ; @* g# G8 H2 t5 Z! n7 r4 w
( u3 V* `! }1 C% W. e* w) r& \ ; m( L! `% ]: C9 E9 T
! V# K y k% s; u; J( K* L 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 2 h9 b; ~4 |+ F: c9 O0 c5 a
* ~ i5 b" q B" f& y( h4 W+ \4 n
: \0 t0 d$ U+ g % f; E- @ g# X) r1 K4 U
w9 u1 j! j+ i5 B& u

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

( [8 D6 B/ r$ }7 E K7 S; T 无线or有线 ( }: W: j) C/ y/ k* O, m4 n' P

* D% d! c7 r/ p, } 内网渗透 ; ^ f! }# G- n# j* }+ P2 T7 j6 M