记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

2 T6 v3 ~ e9 }6 M" O3 H' ]# a 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ( Q8 I {5 o( M/ E* w3 Y

0 R( g3 ] H- n0 A* X 众亦信安，中意你啊！
: ^' G/ q% u, d
. O! P, H. N- Q5 f- g, V1 X a+ Y, s ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 5 n) g; o8 R1 K0 `! T) a9 [

' R" X n, U* g! m: M( z u ingFang SC,serif;">1 \: l* ]9 t" [( v

6 y0 B$ b- Q; h$ v0 X
: Z/ w) [$ G2 ?1 U/ G% s4 W/ E- r 众亦信安 5 ~+ X/ ?; c4 V7 ]
' k5 e$ d2 t8 Q2 _9 @0 q
0 X/ n8 ?7 A0 l( f 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> . J- y# _; g+ q/ f1 e' M: _: a/ B$ S
5 j! _( n, H% j$ `: D- E8 k
. n7 G. l' [) r# I4 W& w ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 3 X, f2 X E8 k5 ~" C% T3 l) Y# z
; k" g: Y3 k) r* q2 i2 z
% U* k6 k9 }# d* u; n- y4 ]; e 公众号ingFang SC,serif;"> ) k k. h% {: Y3 g+ j" N5 S4 v
- @% D% p9 S( _/ C0 _; b+ o
9 l* \& @' ? R, o! ~3 v$ G3 d
! @3 m% [, Z. X4 u/ E) C
( e! o( m1 w2 H, m 4 G" ~9 Q4 u" N
. O3 k( b' C! F& W$ K8 b
点不了吃亏，点不了上当，设置星标，方能无恙！ # w p+ h' L9 Y5 u1 H) U
: |6 M* c& Q' m% R ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ( R1 n, R* z8 _& A" N* v, ~
% E- i! u' d. I( U) E
% Y* r- f8 A3 | N, s [' ?0 c 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ( f+ F4 O1 M4 F8 N8 t
; O6 W! y- {! X& i2 V
& {' g$ Y, o5 e) H1 ?, y" U # a& O* E ^# L" S% X& E1 _
7 `; n( E9 ^6 s: B: f
4 R1 b7 L* o( g+ _- v: u " T0 }' I) ^2 U5 i8 b4 P# E) H
( [/ H3 m3 ~' b" @+ Y1 R 无线or有线 - _3 l1 `$ v P6 l! e4 h
) T; ?! g0 L" X8 g& d W& h & ~ M& i5 l$ F7 E
! B5 d) s3 I" d # y, l7 ?' A/ Y8 C
t6 e9 L6 _6 c1 v- B 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ! _- q4 F- n9 D( P/ E
3 `5 \$ M5 D c# n. t
; Y B) u7 f4 J; R/ G! [5 q- y. O 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 : o" }! e* G5 E
# t- P/ R" M: o- n) C
$ U# Z& N0 P ?: d / B+ T0 D% j* m4 w
8 F) a+ P$ _9 z5 ]3 B
/ R& S" A; q0 i2 M6 j+ k 9 z1 x- j# _( ?* p
. F# Y: U3 M; K# h- o3 N6 f7 s/ M
Q/ u) h3 L& c5 j0 F 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 : p; Z0 C6 x7 W. V
( p$ Y: q ]7 v3 L( @: k6 K
3 x; Z7 Z7 L7 D / P! t6 D" }- l6 R T
# h5 M. O7 ~8 k0 d
, A+ J. M, u) N/ E. j) n1 `; ] 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 6 p2 ^" Q/ Y1 P% I. N5 a: S
% o H ?! P3 i9 O. M/ H! {
" H$ k+ B: m1 B* D, f; ^4 U7 Y& I3 b! O ) N( A' h. c J+ W% c. v
% n: }2 e/ k: m; t/ [7 ~( B
, h" W% X8 J% w7 Z( H4 { 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 * j% i- a1 W4 Z3 Y$ q! b
- p8 @5 k# P f
0 A( k* w0 l- N5 L2 U. ~ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 8 t. J+ H: Z0 n( l9 e
7 c4 L9 t2 h( y2 W) s y
: w: n/ @6 M4 K1 i 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 + p4 M9 f1 _; z2 w1 C& A
: G4 S$ w2 C- w# }/ h
) L" e- L7 f g2 d) B # y) Y, u8 Z# a, r. Z+ h- W
9 l; l4 K0 n9 I" h( }* q { 内网渗透 6 h2 q* X( A' n& y! |0 v `
7 e! c) ], ?* G1 |: O8 S 3 @, J+ v6 U9 }1 a8 v. Z3 U: L$ ]
7 i2 [4 m4 Z4 L7 Q: K % O, L$ v7 a$ e5 c) K' n/ t
5 l+ ^) h V. q7 T win下搭建cs和linux类似。 9 f% i S1 h) H* G8 ~7 G+ w- w: H# j
! w- Y6 q/ {. l* S1 y, S
* \/ R5 N6 d0 E3 N: l
teamserver.bat + ip + 密码
- L3 W( y `7 P3 f
5 E6 n4 Z" ?7 P8 [7 m
. ~1 k+ x$ `9 Z , K4 B4 I9 n/ {' `0 L9 O. e
8 ]+ k; k: d# M S$ @# Z' |
+ \: ], D! U8 @2 h& |6 b fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） G' ^# c& ?" h1 \, O
% t$ U, o, w* `4 o& e
" E8 F& u8 {; T' o' v . l2 G8 j8 V# O2 v6 B0 `0 E
]3 u( Q% A) \; U4 o+ q9 y' }
d; X Z4 v9 C4 Z H: @0 ] 9 u$ c* s" n7 i' o) g" A8 M. ?
% Z5 G" H- w7 n" W2 i
+ }4 L5 g8 m- j: w 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
1 B3 p2 E* p, ~3 i, Y
W/ y6 d( F; [$ p Q1 X 8 w" n% v7 H& o' H7 B9 v
: r" s1 ?! i" f/ _! d! X
& |( E+ p. c3 u6 v3 P* Z/ A9 I 6 p0 B+ z2 A. V1 W w7 e! t
5 p& R; i, J; J0 Y w: @
+ ^+ w# ]2 z1 J% N$ ]+ M% q fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 9 f9 R9 A( s' R1 u1 F$ W) t0 F
" E* u5 X7 Y* Q' T1 \
# }4 ^0 f, S5 W/ O" I PACS系统 0 s7 |4 o a* s, S6 R
$ r: ~* \% J& }6 A4 G. T. u" P; c8 E; g
* ~: a. f0 v' b ( k/ s7 T* _9 ?, i9 K' \5 Y
, m( n$ S8 O3 F9 j2 _
/ @# R8 r I1 x' _: y8 v+ }9 x
0 } K- `9 d, X( e' Y7 p
- X+ Y3 r. M0 P- M) A 4 m/ v, f% Y/ ~& a7 k1 l, \8 |
! h( F2 m, c' m9 p- |
- m8 ^! s- K* G HIS系统 ( O$ W3 J. r; n* U0 Y, ~
, s3 ^ n! h% O0 N
0 ~( a( W9 R5 V0 @4 v8 y+ z$ Z ! g+ a4 [1 b+ g
. r7 D. B L% D! y' [3 L. C: i: G
8 h& \" L! T8 `; H' c5 I3 S 6 t* Y; K3 p; F3 ^# ?7 ]
8 b$ E, \9 @; ~$ X
+ [4 Y; h* Y5 x2 T2 ^5 R& [ ( W& X+ \" k; I6 p" O3 B
! N, _5 s( i$ E2 Z+ c0 }
2 {1 Z. w8 U, F( h4 ?3 P 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ' k& N$ J2 x. w) z* ~) w6 @' c! B
( u1 Y0 u o( L9 a( s
( ?. A- u, x9 o2 z8 l/ _
: t0 D4 p" o! F
# u* |. n7 B' h0 ~+ u$ ^ 8 G" ^) A# d: j8 r6 e
# S3 R! P9 H% W0 `0 t* W7 V% V
# c+ s% ]; ?- a4 X9 V) D3 A' ^' h 后话 I$ x& I5 c, e: g9 s' o) \
7 _! [7 j5 w5 q! \
) x4 [ J5 v9 q8 [ 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 " U& C3 o/ z/ R" R) o R5 l
D9 U: H$ q$ B8 E% X3 |
% ^7 v' f1 Y9 v# ? - a3 |* \/ h. a6 E: i
7 k# b3 a( a7 o- X ) l$ m3 y0 ~" r4 `9 y( W1 ~
" j+ B& W( @1 I 1 Q V+ A: M/ J' a
6 Y* A- h: c5 n3 p/ F% G. `/ K 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ' ?1 S! D5 m2 ?$ W8 V# B$ [
! D; a( x% G0 q! l
0 h) e% I; M' A( x% Z9 I# _ ! [/ _4 g. l0 m* D" P2 L" b, n i
& ], `& ?0 O1 ]4 f

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

( [/ H3 m3 ~' b" @+ Y1 R 无线or有线 - _3 l1 `$ v P6 l! e4 h

9 l; l4 K0 n9 I" h( }* q { 内网渗透 6 h2 q* X( A' n& y! |0 v `