记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

* F, N; }$ e O& U: s. Y& S4 X 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 * ~+ s s; @; b9 Z7 g

& y' p6 G2 Z! F, U: w- f 众亦信安，中意你啊！
* A5 \% E% W7 U7 q. ?
( W- M1 Z- o7 n# x) f ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 B( j- S6 t3 S) }+ N

" n7 y% U' l& ^9 U+ A+ f+ h ingFang SC,serif;">, h' e% ?# d6 X8 B5 t/ K7 i8 Z' ]

5 ~! S9 ~4 T' i& D
1 ?9 W" C7 S7 l7 K 众亦信安 $ S) J+ h0 A* a4 d4 A! S b
% [& Q' n# `8 k4 k
" k' O7 }$ q' j" f+ `9 V2 r! J$ X 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> $ t& H" s& A9 i
$ |1 ]( B; [/ Z( g
b, A7 t; ]4 z, k6 Y( f ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> " w$ U# T# f9 w0 r
. k% d8 H6 e3 w# E) G# C2 x
: u. L" ]% M$ Q+ P: J& q 公众号ingFang SC,serif;"> ! X' d& G$ u9 ]" e% E( R" |
; N2 Y* `6 C9 y: B8 l6 e. E
! y3 x2 I5 E4 w! T0 k: d H
( H1 j" t; n8 }0 p# @8 v3 K4 @
, \" v5 z$ e2 w: T1 E 1 w: q7 ?& ~: }4 z3 t9 }
# Y3 v% J- K0 F( q
点不了吃亏，点不了上当，设置星标，方能无恙！ : @5 e# q0 [( E/ q! ^ j
- x+ G. H% u/ y& W) y ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ?) t) N' f8 R2 {; J
, E; g( @1 n0 x$ p5 `! s/ z
6 s: F+ j$ o! F/ l 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ! g; e) B7 }7 O/ {( L/ R
6 A5 T C) V. D0 l' W. C
$ D$ j4 ]. x, q/ {; L" y( e % M! ?- y# W. j* E* v
- W- B) z, v, k6 B2 x3 n- I
7 r# t% W# n. H0 { 8 o" i* [* z- A7 @
: _ F; b+ s2 u& x: O% q" r 无线or有线 2 u" ?- l, V/ }, ]) }/ V3 D
6 `6 m5 i+ p% }6 _7 D; s 6 m: z: D& p- i- F
7 T- O% \) b" d$ K . f9 X& u+ c& J- p1 x
( c& [* M o( }/ y 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 0 t: ]( i# ?; q* \2 \+ J. s
# I# f- A) {% [" p+ t
x, a k( `/ O# i# ?3 Z9 e8 G, x 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 % Y6 L1 E8 b# s; ^& Y5 ?$ ?
; Q: Y% n: T0 i8 F5 I) e: Z
! L# f, w( W7 }' r$ W : m, a0 s y& e5 Q/ X" E
, W* I5 f1 L8 Y+ v
* H$ P: d' G: \2 ^& ]$ M 6 R/ X/ A" ]& v6 j5 f& `: K0 A. o
" e% c1 N P" ~3 Q
% a# y/ ]! `/ H+ v) h 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 " @) u9 W4 A3 C# _
& i, @" m L. `9 N2 \# _
* v" e d& }' ^' I+ ]0 W# y 4 F3 A0 M4 F7 Q4 Q( g0 @" ^% {% S
6 Q9 r% b+ ~# ~2 O. s1 m U
) k8 @6 P& Z3 O+ b; d! U 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） & ?* h: n0 R D- c
3 |# I& ?) k6 V5 j& G, X
! O% m+ j( S. S( e ; |- M, h. A8 W. O9 U5 g8 d
% A% C* r0 H% T
- g& A, I, p6 v! i& z! U 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ) ]0 \% C- N/ o+ _9 X+ Q
3 Y; n, k, i0 `# Y
" k6 E# A, @9 _) T: Y# c" O 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 3 U* u) C; i z0 N9 a4 \
( [0 B. v* o/ t1 D( [
% t2 E1 ?, g' R$ ~6 [# G 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 . K3 J$ }$ V1 h, N9 S+ u/ [
- |- w- C! }7 K: T$ a9 i, y! Y
; C$ r. \) T7 A- O3 { ; g; @* \" t1 k) F4 f' A
* |0 R n! H9 ^1 U6 t 内网渗透 4 V3 |9 Z1 E4 H/ r' r1 ~& U- C
6 d$ e2 w* H2 ^+ Y3 D! r ( [% N' h, s7 c' u7 @3 U
& i& T# p- ^. J 8 X8 S+ i( v7 {
/ c3 a3 h& W7 {$ @ win下搭建cs和linux类似。 * X2 ]" h8 e9 r' y( \9 {3 Z
, J7 o8 E# m* C. Y
6 g/ L' V8 l7 k# F- E' n/ {. y
teamserver.bat + ip + 密码
, Y( [8 @8 O! c3 p5 Z: r6 X" E1 o" l
) c' J. o- {6 u
" X3 f! z" v" h5 K* _/ Z1 m9 Y* ~ ! ~; [0 T# n2 [) M3 {/ O
/ A* s8 {& a' q' @# d) d
0 S* E& j. d5 v" j+ a6 t fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ' x3 K5 C3 v/ P: m( i: ] h: U
$ {" b! K# ?& l3 p
' ?& D! j" Y' H9 I$ p5 n3 p 5 V- Q& W4 [+ S# C) L
8 `# R1 w5 E) E5 N
" u9 t$ H, N4 m" W, f ( _6 \3 _0 w- [1 J
! H# V+ [% a2 X
1 C4 I# i f9 C 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
9 Y$ f- K7 J$ Z6 b4 p4 {2 e$ }
. [* ^+ ]6 m3 |/ p S# V: p - ^- q5 y6 s& S# O7 Z, }2 y
1 t5 z4 g5 x% i
, v3 u* a# m- n! h & p% O W* e& n6 }+ H& C' c! x
J3 Z3 A' ?' G! t* e$ F+ g7 M8 {
; I y+ Y6 ]2 Q9 p% }% v! X fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 8 e( h$ y3 o7 n- ^3 e- P
9 o5 s$ X3 n# M8 }
) n; O) `) s- g! Y E& N! i# E+ q) a PACS系统 # Q/ N4 ]5 |( D% U- p% A
2 @+ Z1 i" \; U
/ x# {' y, _# m7 y3 Z3 c ' c: K. n) S n3 N3 c3 W
. d) c; ^( J1 U& x6 {6 i: B+ L& ]
. y2 ^$ v( s& c' V7 Z8 G
/ I( ]6 R1 E" ~$ v- |% z5 D' H
) D* Y/ a& @5 b3 D3 F6 i, S $ O# j0 \, L9 Z$ W0 J, w
0 |; n4 I" Z5 e% B, \
' M _9 L( i9 [3 d) R' u) v: E HIS系统 4 I9 {' n! V- J4 \' ^1 I3 o9 A
' h u& @ {( e3 x% b" v7 k9 [
. y# L# E3 h% m( x) J6 B ) d. N# N& v* X# P' h$ ~
4 l0 F- m1 q5 }! e) B
V" ^8 _- v9 x : Q2 |8 P9 c2 b/ i1 @0 z0 R
! H/ } c# J8 q" D8 Z$ J
8 c% l* I9 p* V' |+ a 6 v: M0 b. [; x- \
% }; l7 v L1 A9 e+ Y
" G$ t3 w, r5 L9 ~3 B/ F/ L 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 : `7 E0 t! l% t+ }0 C7 U
$ G2 s0 d8 d0 T0 u) v
" h0 h8 C( i) H0 ~
' V5 P# k, X0 d) B1 E" }0 [+ d' [
* s ?/ a: K4 @( M2 m& T 2 Y9 V1 S( Q9 k& J# s
* U' c9 \3 w. n9 y& x J, a+ @
) J8 L7 e; z6 f' j- l* Z/ g 后话 0 f2 c1 Z, ^/ y
* J1 J2 \# |- V0 h0 |
, j2 D. p/ Q; C 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 7 J, Q+ I5 M2 P7 g: E9 V
( W, R5 ] ~2 r/ `& O- G. j: v
; E% y. w( Q' l' B+ E8 _+ ~$ _ L+ v* W" f/ d% Z* r) ~4 {
5 q1 }' D( |/ r& s! q6 T 2 H) _+ _9 M, A/ p. X& A
+ T# c( m j7 _ Q$ |, |1 V 2 q# n( O7 n% L) ^
& h1 d4 W; u$ q4 E3 [ 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ' s5 ~2 C4 t3 G% t& e! u
& d6 E. q+ v9 T$ v3 s! t4 J0 X% [
2 }* a: Y2 O) ?7 e3 q' X8 k 4 V% T9 P/ Q8 X% I4 f
# B; m5 p7 `0 f