2 T6 v3 ~ e9 }6 M" O3 H' ]# a 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 ( Q8 I {5 o( M/ E* w3 Y
# j9 \1 R2 p K& M' y& i
0 R( g3 ] H- n0 A* X 众亦信安,中意你啊! : ^' G/ q% u, d
. O! P, H. N- Q5 f- g, V1 X a+ Y, s
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 5 n) g; o8 R1 K0 `! T) a9 [
* C. X- f6 t5 x$ \$ e7 |
' R" X n, U* g! m: M( z u ingFang SC,serif;">1 \: l* ]9 t" [( v
+ `9 ]& r2 \( O: \" ?) |' ? 6 y0 B$ b- Q; h$ v0 X
: Z/ w) [$ G2 ?1 U/ G% s4 W/ E- r
众亦信安
5 ~+ X/ ?; c4 V7 ] ' k5 e$ d2 t8 Q2 _9 @0 q
0 X/ n8 ?7 A0 l( f
红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> . J- y# _; g+ q/ f1 e' M: _: a/ B$ S
5 j! _( n, H% j$ `: D- E8 k. n7 G. l' [) r# I4 W& w
ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 3 X, f2 X E8 k5 ~" C% T3 l) Y# z
; k" g: Y3 k) r* q2 i2 z
% U* k6 k9 }# d* u; n- y4 ]; e 公众号ingFang SC,serif;">
) k k. h% {: Y3 g+ j" N5 S4 v - @% D% p9 S( _/ C0 _; b+ o
9 l* \& @' ? R, o! ~3 v$ G3 d
! @3 m% [, Z. X4 u/ E) C ( e! o( m1 w2 H, m
4 G" ~9 Q4 u" N
. O3 k( b' C! F& W$ K8 b
点不了吃亏,点不了上当,设置星标,方能无恙! # w p+ h' L9 Y5 u1 H) U
: |6 M* c& Q' m% R ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ( R1 n, R* z8 _& A" N* v, ~
% E- i! u' d. I( U) E
% Y* r- f8 A3 | N, s [' ?0 c 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。
( f+ F4 O1 M4 F8 N8 t
; O6 W! y- {! X& i2 V
& {' g$ Y, o5 e) H1 ?, y" U
# a& O* E ^# L" S% X& E1 _ 7 `; n( E9 ^6 s: B: f
4 R1 b7 L* o( g+ _- v: u
" T0 }' I) ^2 U5 i8 b4 P# E) H
( [/ H3 m3 ~' b" @+ Y1 R 无线or有线
- _3 l1 `$ v P6 l! e4 h
) T; ?! g0 L" X8 g& d W& h & ~ M& i5 l$ F7 E
! B5 d) s3 I" d
# y, l7 ?' A/ Y8 C
t6 e9 L6 _6 c1 v- B 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。
! _- q4 F- n9 D( P/ E 3 `5 \$ M5 D c# n. t
; Y B) u7 f4 J; R/ G! [5 q- y. O 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 : o" }! e* G5 E
# t- P/ R" M: o- n) C$ U# Z& N0 P ?: d
/ B+ T0 D% j* m4 w
8 F) a+ P$ _9 z5 ]3 B/ R& S" A; q0 i2 M6 j+ k
9 z1 x- j# _( ?* p
. F# Y: U3 M; K# h- o3 N6 f7 s/ M
Q/ u) h3 L& c5 j0 F
这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 : p; Z0 C6 x7 W. V
( p$ Y: q ]7 v3 L( @: k6 K
3 x; Z7 Z7 L7 D
/ P! t6 D" }- l6 R T # h5 M. O7 ~8 k0 d
, A+ J. M, u) N/ E. j) n1 `; ] 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21) 6 p2 ^" Q/ Y1 P% I. N5 a: S
% o H ?! P3 i9 O. M/ H! {" H$ k+ B: m1 B* D, f; ^4 U7 Y& I3 b! O
) N( A' h. c J+ W% c. v % n: }2 e/ k: m; t/ [7 ~( B
, h" W% X8 J% w7 Z( H4 { 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 * j% i- a1 W4 Z3 Y$ q! b
- p8 @5 k# P f
0 A( k* w0 l- N5 L2 U. ~ 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 8 t. J+ H: Z0 n( l9 e
7 c4 L9 t2 h( y2 W) s y: w: n/ @6 M4 K1 i
一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。 + p4 M9 f1 _; z2 w1 C& A
: G4 S$ w2 C- w# }/ h
) L" e- L7 f g2 d) B
# y) Y, u8 Z# a, r. Z+ h- W
9 l; l4 K0 n9 I" h( }* q {
内网渗透
6 h2 q* X( A' n& y! |0 v ` 7 e! c) ], ?* G1 |: O8 S
3 @, J+ v6 U9 }1 a8 v. Z3 U: L$ ]
7 i2 [4 m4 Z4 L7 Q: K
% O, L$ v7 a$ e5 c) K' n/ t
5 l+ ^) h V. q7 T win下搭建cs和linux类似。
9 f% i S1 h) H* G8 ~7 G+ w- w: H# j ! w- Y6 q/ {. l* S1 y, S
* \/ R5 N6 d0 E3 N: l
teamserver.bat + ip + 密码 - L3 W( y `7 P3 f
5 E6 n4 Z" ?7 P8 [7 m
. ~1 k+ x$ `9 Z
, K4 B4 I9 n/ {' `0 L9 O. e
8 ]+ k; k: d# M S$ @# Z' |
+ \: ], D! U8 @2 h& |6 b fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) G' ^# c& ?" h1 \, O
% t$ U, o, w* `4 o& e
" E8 F& u8 {; T' o' v
. l2 G8 j8 V# O2 v6 B0 `0 E
]3 u( Q% A) \; U4 o+ q9 y' }
d; X Z4 v9 C4 Z H: @0 ]
9 u$ c* s" n7 i' o) g" A8 M. ? % Z5 G" H- w7 n" W2 i
+ }4 L5 g8 m- j: w
通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
1 B3 p2 E* p, ~3 i, Y
W/ y6 d( F; [$ p Q1 X
8 w" n% v7 H& o' H7 B9 v
: r" s1 ?! i" f/ _! d! X
& |( E+ p. c3 u6 v3 P* Z/ A9 I 6 p0 B+ z2 A. V1 W w7 e! t
5 p& R; i, J; J0 Y w: @
+ ^+ w# ]2 z1 J% N$ ]+ M% q fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 9 f9 R9 A( s' R1 u1 F$ W) t0 F
" E* u5 X7 Y* Q' T1 \
# }4 ^0 f, S5 W/ O" I
PACS系统
0 s7 |4 o a* s, S6 R $ r: ~* \% J& }6 A4 G. T. u" P; c8 E; g
* ~: a. f0 v' b
( k/ s7 T* _9 ?, i9 K' \5 Y
, m( n$ S8 O3 F9 j2 _/ @# R8 r I1 x' _: y8 v+ }9 x
0 } K- `9 d, X( e' Y7 p
- X+ Y3 r. M0 P- M) A 4 m/ v, f% Y/ ~& a7 k1 l, \8 |
! h( F2 m, c' m9 p- |- m8 ^! s- K* G
HIS系统 ( O$ W3 J. r; n* U0 Y, ~
, s3 ^ n! h% O0 N0 ~( a( W9 R5 V0 @4 v8 y+ z$ Z
! g+ a4 [1 b+ g . r7 D. B L% D! y' [3 L. C: i: G
8 h& \" L! T8 `; H' c5 I3 S
6 t* Y; K3 p; F3 ^# ?7 ] 8 b$ E, \9 @; ~$ X
+ [4 Y; h* Y5 x2 T2 ^5 R& [
( W& X+ \" k; I6 p" O3 B
! N, _5 s( i$ E2 Z+ c0 }
2 {1 Z. w8 U, F( h4 ?3 P 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。
' k& N$ J2 x. w) z* ~) w6 @' c! B
( u1 Y0 u o( L9 a( s
( ?. A- u, x9 o2 z8 l/ _ : t0 D4 p" o! F
# u* |. n7 B' h0 ~+ u$ ^
8 G" ^) A# d: j8 r6 e
# S3 R! P9 H% W0 `0 t* W7 V% V# c+ s% ]; ?- a4 X9 V) D3 A' ^' h
后话
I$ x& I5 c, e: g9 s' o) \
7 _! [7 j5 w5 q! \
) x4 [ J5 v9 q8 [ 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。
" U& C3 o/ z/ R" R) o R5 l
D9 U: H$ q$ B8 E% X3 |
% ^7 v' f1 Y9 v# ? - a3 |* \/ h. a6 E: i
7 k# b3 a( a7 o- X
) l$ m3 y0 ~" r4 `9 y( W1 ~ " j+ B& W( @1 I
1 Q V+ A: M/ J' a
6 Y* A- h: c5 n3 p/ F% G. `/ K
点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 ' ?1 S! D5 m2 ?$ W8 V# B$ [
! D; a( x% G0 q! l
0 h) e% I; M' A( x% Z9 I# _
! [/ _4 g. l0 m* D" P2 L" b, n i
& ], `& ?0 O1 ]4 f |