记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

: Q: f, ?; b; m8 B 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 + Q4 t: _. v& f9 e" X4 C% z; U1 l

! Y7 y: N7 @0 N4 v Z) D, y! ?/ Y0 X 众亦信安，中意你啊！
& b. t: k/ Z' N$ e* Y
, D4 B: ]* P5 D% zingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> m9 M8 m( K# n3 E+ v7 F

C' o4 }( Z: f* D/ c- X: W ingFang SC,serif;"> : U4 c' h p" j( U

) D }" ^' x) x/ D; O
' x$ H& ^3 _1 O1 w 众亦信安 6 v2 X3 S6 c) g: m/ K# G( k
$ F! e; ~ W# `/ U0 [: W& Q4 ]: d J u
/ B) z4 M" L1 ^ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 6 X! Y7 R4 N$ w' ?$ v& V
0 r6 @3 v( Z* l7 M
% ^8 |; ]: {, q5 N ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 5 `& ^4 s, j" H5 |$ u) W2 u
9 R6 l% H+ R7 b# H( H& X% k
* M* C% G/ g% ^ |% Y 公众号ingFang SC,serif;"> * |9 O9 [ s8 h, C/ N4 n- M- K) l
* D ~+ `' |8 d3 B
' C- @) G; t5 V6 g# ~' y
9 }9 M- `+ H% Q8 J* f7 V
9 C2 \4 Q- ]3 @/ N: F0 |, o & `& o; r5 H: Z) g' S% H4 m% L
! s5 W: C, N( h
点不了吃亏，点不了上当，设置星标，方能无恙！ 0 K3 I# K$ Q& ~6 m' f O: Y
0 N7 O. [3 f# v ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> . v4 t. I0 n) Y
: _4 g* K. N9 A+ ^
) q) T! H- l6 P 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 + ]6 l! l: G6 ^ r# `8 H7 y$ A$ |
; N* z" h8 }" K2 M$ ]# e
1 E3 K& [$ V- s ! p* F) L! Y5 G
% b" `3 ]* L l! K( v5 N
2 c$ ~/ p& W. i3 Z, e ( \ w* |; Z) t2 @
% k7 e8 b! ]: w( y, j+ u/ @5 E( B! V 无线or有线. e) S( w. h5 X! U
7 C% k3 X6 Q& J0 k& \( {# X6 u ; i+ C" Q0 n) R- }. d0 d' d7 {2 K7 `
) `5 j8 B4 N: M2 [ X! D + o# G( Y, A' \( g
0 ~9 m# B5 T8 g6 q4 R 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 8 l5 Y# R) B; d1 }$ ^/ ~# _
7 B4 q1 Y- D) i3 ~
9 I- L) Z7 k9 b& {' l 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 & P* t. W# v. @, l; b8 l; _
6 P: f2 u6 K* h) T# T! ?# }
7 r" `1 G1 X' @ H1 C! l# C9 ]; k/ Y 5 I+ O: R' r4 x' d( p! ` w. U
; p+ z$ {# d3 S" Y2 x7 b
; ^1 V1 S) o8 L& ^1 ~) S, \ i# i' C# ?- C; i) p
5 R& @4 K( L* I; x
, {5 u: D5 T v: [" g 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 # i4 {' p' ?, [! d# l
6 J* b3 b9 U$ U! x, u+ A4 N0 P1 r* ~
1 u) \' A. O. M; x 8 ~# R) {1 A' ^
0 x8 L' B+ h$ ^) e- X4 z& S
) \8 S( h3 H* D( M* k 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） , F8 ]( r- e2 ^& C$ b
! G, V# E$ ?: R1 d' A
* [0 @. w9 m$ n1 j, f T" p ! c+ u; q$ p* T) K
0 p5 m& u1 E p0 C9 p* f9 K
) E' E3 c( M0 u2 _0 l# ~7 D 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 4 A! s- p4 c& E( r7 P* Y1 w
E$ g2 J. O8 I Q7 m1 M. `, J
' K F$ H5 H. \ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 1 b' ?) l9 M* t& I! D7 _ I
; C& X* |1 t; P: @+ M+ ?+ L
2 `5 q# U5 @1 P; b5 ~% G% p 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 8 t3 U+ W( |7 q: g5 q8 w: V% z
5 d2 Y% K& u6 u$ V
- U$ G0 f2 i6 s- ?; c 8 H! N6 Z( B4 O9 x7 q5 z
; o2 `+ y1 R% Y$ l 内网渗透6 q0 H7 l5 Q4 K H/ Z2 a
! F# w! H, R$ D5 ~3 w( Z9 _- e & C( @$ t$ o# j, Z
2 j0 {8 f0 \4 ^5 o4 r( W . u$ \( U1 M1 }
2 `' F- G, K1 @ win下搭建cs和linux类似。 & k3 n4 X* e4 M8 K+ a
' t) M* f9 z4 p6 C% y7 v7 I. O
" s* Y% F* V, p, d# K4 ~, X
teamserver.bat + ip + 密码
+ v& ~% c/ y2 _
& ]4 q! f* @- m; r* G) U
6 k: L" m3 I1 v; U. t7 W. Z9 Z 1 |1 }! p& w: _( Q$ g
M: o3 V, N. m. x6 a' N. ?+ l- r0 z
X! g: a5 ^1 z& J/ k' N: T' X fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） + M; D) o% \1 k+ M7 v4 V, i
! R* @4 X0 k6 {
# a, |, y: S) B/ ^+ C' g% y: w9 ?' c) | 6 f X5 A' J c* t7 r, |* l) L
; q* U$ x. S$ O' l- C1 ^% j6 g1 T! h
6 c2 H" }5 S1 x5 V& y+ D/ ^% u0 ? 7 X% ?% [, P! E5 ~' b
$ N2 u, k$ h7 {& J) s
9 X+ _8 N' U0 D( b& t. ~ 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
' x* }8 G' T+ G2 e7 E. Q4 {
1 m0 y( E1 f7 y# E9 `6 M9 c, j9 J1 u5 Z$ L9 [/ l2 D" m% e7 o x
( ^* r' Q' f: O2 D
3 \ I8 h; {+ | c, F1 V0 G$ l ; V9 ^0 M0 X7 S" _6 ]* L$ o
/ G- U2 c, ]% @+ [: C! X+ k
+ Y" { P) h+ W fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 % D0 E" k8 \7 [# @4 f) D
& A" b1 r- q# i
8 Q! b+ y. W4 q% i" M9 Q PACS系统 8 K3 A1 l4 ]. m; z& u# K
$ u9 K7 @4 k* v8 s! C0 C* ^
+ t9 [2 J p$ f2 l3 O: A+ ]' ?5 o 8 r! S# J( y4 U' ^
2 x' `+ @. b, x Z6 B0 c4 P
2 [) }( t$ s0 s4 @% R* o
( h0 ?; ^7 @9 T& ?
1 C r) Z6 O ?( u) Z " D- W1 y# X2 x2 m1 [
L" M* ]4 y3 e9 `
K" ^$ c1 F0 H* c) F. x" V; j HIS系统 9 r. u9 L" Z1 j9 _' o0 M# M8 E
( [& W3 \! V. y6 |: V7 C! T
# s% J7 @/ x8 f6 s% K% K 3 a, |6 D( P$ n% y5 p1 | ~! p
+ H: u2 _$ b# M
9 Z/ k) }/ O) z/ E' i) @9 q / q" j) R+ L3 m+ x
4 ~( n8 Z7 ^, B( ^' W& u
T; T- t6 l5 {4 q 9 ^+ H2 G1 L" K4 `
% ~& C- T5 t+ G" P5 n5 P
4 p" N0 H) ~: O4 ~* X8 Z 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 T& l' k' H4 c: _2 c
% j' F& f! }% ?/ u% X
, P: b# ~3 |5 c) `+ m1 J/ R
1 T D% ]9 @/ M
- `4 ^7 W |0 H2 U7 F, d . {; N/ s8 h% {: c9 n1 W
, Q$ | n! w" K2 X9 V. b4 \1 y( u
. z) @ Z. \- D H: K$ e 后话 - p& N1 O# _. ]
2 y1 L) ]4 k6 f! j, C3 B5 i! O
6 E5 s. Q, ^9 J4 N6 y! L/ B1 Z; X 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 7 _0 u9 }2 ]3 p) L# \. V0 \; Q) y
, g4 a% `8 D6 U v2 N# d
* y& M5 z3 b: D0 [9 Z) l0 X2 S1 { 5 a& e* n! I4 _& H5 V
0 h( u- x/ A' ]1 Y: c - K4 ]2 C# Q; I+ n
, ]; l5 d0 v( g) h/ v# [0 e ; g6 Y8 ~+ o2 S1 ~, ~8 `
0 L! G! `4 x0 P 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ! j" _4 N2 H8 B0 ?5 U
' Q5 l! T$ ~( N5 b) n
1 N. z+ Q ~+ Z3 |! G 9 z' E8 K) R# ~7 Y' `6 i0 B
' l. B. _ \" [2 f) T2 `