|
5 c% A- Y+ r% O6 r( D' p 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 ( R& R; N y( d8 R' a: C7 W2 r
! P: @$ p* @' o: M" h( p9 h
. }: u9 W- M7 L* F7 q( Q1 ] 众亦信安,中意你啊!
V( D+ _: {( f& w6 [
5 x6 g5 R9 s Z+ i0 ~
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> # h |- L) D+ T* Y1 ?2 X9 l2 V# i2 p2 Y
6 ]! H" \1 T" t5 E
) W, \- t. T7 I
ingFang SC,serif;"> ; y# J$ U# ~+ C1 l' L- u i
* U, j2 h: d4 U' q: j0 b. [7 y3 B- `
+ D' W0 A' j1 p% ?: W! l+ a: H
; |$ R8 `/ d3 b5 |* }: c 众亦信安 8 T" ^+ B# F( C3 Y+ k
& M, s$ K% u0 Y( I/ r% f E+ k/ x a( r& h$ ^6 `8 x' ]
红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> & B1 t" w. B$ x) T
2 d* }+ D0 w4 F
4 ?7 W! S- R& ~& ?' w* ^/ Q ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> , ~7 H4 S E0 C- S3 p/ N
8 B* [6 H$ D4 Q: V( y) U
& u2 Y+ Z+ X. | p
公众号ingFang SC,serif;"> 7 a( K" v) ^. h {3 X) T
, k7 n1 Q$ M; A8 W4 F# K# g% {- \5 u* {7 e5 O) f5 P
& P0 W) \4 v; }' {
# C4 p" ]' y" n+ M9 B3 u
( D5 I4 b' y7 f: h: {! H2 g : U/ g" U5 X5 y* e
点不了吃亏,点不了上当,设置星标,方能无恙! - Y" [2 A. }7 }" d
3 b9 G3 U5 `( z$ F& c! j
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 5 e* j; c! E" ~$ k o
+ L) u1 Y( `' o! Q
9 Z% n. M+ y' D; D. q$ g
背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。
4 f. K, G& O3 O- }8 a; x' N 8 a) L5 R0 \. V1 G
! J6 s f* u* {6 h . A ^/ L6 G: p
% ~- l. Q' i7 T, z, Y
9 o3 I1 B5 E3 x
9 C( X- M& c" f, w
, l1 L* K) n4 C. \& H
无线or有线
; H; [& n6 D- V; M5 t2 b ; G* M4 p9 \- |9 Q, A8 d0 G% h
1 G# y+ M+ |0 a6 l. X
1 G* k @" h. q C, _ + F0 P% z; w: B; h& D7 k" f
/ |, E* |$ R: B# i# |7 V) w
大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 5 `3 X2 Z% F) x: C+ w8 J9 D1 u
k, r, F( ~; s+ g9 d
8 o4 C6 o& G' D f) I/ } 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。
5 k1 ]+ d) a" e! M$ o
" | p% o# c. h/ n
- s& {8 e/ |/ `7 ]4 K% F \" o  ' [1 I0 G6 L5 j5 H0 m8 x8 ~/ c+ x, r
3 e% B' ]9 M- P2 F
2 }1 L6 Y4 C E# ?8 z  $ u/ [- e4 @& C& B- I
- D' x# Q$ z* W8 j, P# a6 u- } n# V
% N4 o% w6 \9 r 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。
2 Y* X2 {1 f7 I% N. q3 {9 d : @3 N3 \9 Y2 F4 h( Y' ?
' a! j5 x. |& f
! N, B4 T" ?1 Z$ \ ` : O' r# b- i" Y% T! d' ^: R, F
6 _; V2 b/ g5 |$ ^# |, | 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21)
/ W3 i( b# \3 u+ A. S # a$ l! }6 d# H
+ ]8 Z2 o+ G3 O* { 
% Q6 e, c% i _: {5 Q/ _/ A& p$ k $ C4 D& v. s m7 z; ]
: U" e* F6 S2 k& v/ m% a6 M 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。
5 x/ ~- g9 U/ x5 ^$ q2 o4 `: _ 7 {1 d8 u: l! j" w2 A& O' b
" B- b! K- ^3 m7 _. \9 v7 L" j7 s 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 " q, d, J8 c" \" ?; \6 W% Q: @
3 ?2 {& @9 P7 U- b5 r" e8 g" m
: o) M, m) w# {6 C K6 c0 x 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。
5 t7 G4 x8 `# | : r) j2 ~9 p% h
5 G( ~# G T& C, v$ @
, D4 @ n1 J$ O- a g& P) H 3 G0 j: X. d1 l5 S* g( v
内网渗透
" h+ ~ k* S* G. }1 k7 D2 Z& _
3 R5 V- o* J7 G7 ^6 j% T. o q: R5 L % C- F( F# |! w
- u& D G4 [# o. w7 @) g % h9 }! f$ W& C+ G* F' w4 x* ]
( L8 k4 Y: T1 a7 s9 Q
win下搭建cs和linux类似。 ! m6 q6 h3 U3 ?- ]% e
: k) g( f$ v3 o8 ~: l0 w1 n$ m$ r: u
$ w5 X" i" W: O# nteamserver.bat + ip + 密码 * @) c" D8 J3 y% b% C( _: F
; c4 C2 c' x$ L# r
& q$ @# v+ \- F% j7 P+ j  , u& M' V& W! p2 w9 F$ w
3 m& {: ~7 f5 ~! O# _9 x. l) U. v4 w# a8 ?2 Q
fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) H6 P; ` I, O1 N5 P8 f6 D" W
, y9 E8 K" F( a; y) Y$ z: q5 A
l- x2 V8 i3 {* t 
$ X; R7 W" Q! X7 [, b
5 q' I# [9 s. t! n% m+ u. H
! E3 N+ t( z) E" m7 f  1 I2 M1 i3 f0 \- D' _1 x
5 v! g7 M2 [! V
x1 k% `; M1 I8 t
通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
$ S; h" E! o, ~* g/ x
9 u' u" `" A% ^7 v
: K* P3 j9 A& E C
; R4 D4 v8 c7 x. y% Z- B4 w: G+ Z' Q }9 u8 r2 [+ m5 {* a, V
- i' @1 _3 g' ^2 o ]
9 D: n# f! m+ o, {/ A2 L+ L1 `/ ^$ L$ b& L5 b$ w* [
fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。
6 R1 }; A8 P: C
1 C* F# F- @, z4 B) `% I' Q! l) ~3 i9 J" d. d6 f8 {& H
PACS系统
( W( B2 ]5 O3 z, D
. i( Y1 p, X0 M7 [4 F
9 r1 u# @! o. Y$ a* z- k' ~  : ]7 i9 g0 Z" f# _& \3 a8 P; H
; f0 w+ H+ M$ y( C! f w
3 y2 U4 q+ J% P8 J 
7 D; c( E4 _2 i9 j
- f7 o" ?# h3 O5 Q3 i- ^ ; ~+ F4 k) Z( ?3 J `2 n
" W( _% U; @& b' X' t3 z% J, G4 ^& Z' |
HIS系统 , |5 T4 I9 H0 f+ @9 g* p ~
$ c; ]) K9 h% T# ^+ {$ c3 k1 f4 U5 @8 a- B# \- @+ L
 . A5 X9 j4 K. `9 Z
% m4 Z9 T, G$ x- R. u* o, _
5 k1 f* M- D( q5 U' ^ ) A S# M1 f$ J7 [* w( ~9 n
+ X/ N% M% p5 S0 N) f& d( o7 e5 _6 c
, O. x: e" S0 w' `+ S% O " j7 i& q/ k' Z8 c' T
$ q9 i! h. Y& {) ? b# P
还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 . ]5 t3 l y' R2 A E
+ |' Q6 U, R1 t8 T6 [/ j
. }- u- c( g* D1 ~
. p6 [ k6 y0 ]; @
' M+ c! s) ~+ j! |( h
8 u, E9 _4 p, x6 S# J
- l- \2 ?. }" N
2 W( T- _+ ~( c( p0 C 后话 8 |- |( i) k0 v% r
, u, R# B# _& f$ _% m+ g
% t) F) z. ^6 @2 K1 {2 f; d; p 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 0 A6 h- ]% ]: P a7 ~9 @
4 m8 u; \) I5 F$ U9 [
5 {/ Q( X R" \( z; a 6 E+ T `5 ]9 ^( X; l) B* a
8 f# L# W5 f8 w' } * W5 {/ I4 Y' w: N/ H4 y
, O; o9 n @" h4 ]$ E7 z% N& C" c
' A: B$ s- r! L$ K& |- S# ?& ?; q& ]$ e2 W$ {
点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 6 w" ?% \5 q4 ~: k
, Q, M9 a+ D4 Z* b" ]6 c: B, f
, J5 \/ r# E3 [
( p9 B$ n, H' ^, r- B5 i/ D* U |
发表于 2024-3-1 20:15:03
收藏
支持
反对