记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

5 L# @) R, ~" u$ d 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 / o0 d5 F" {' {8 F% C+ d

1 H5 U- K ?" K. U% G4 n 众亦信安，中意你啊！
! M' Z; V! M7 o7 a) _3 X3 f( w
1 |0 D+ l3 O4 m% R ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 x* d4 |. Y1 |

I& j/ h$ t _: r q9 G ingFang SC,serif;">" R- h( r' S. O3 g( c4 S8 j$ m7 I- E2 @

# u# h% ]4 f& D) [- M) e) G% U4 G
) [) S$ S6 F" k; [! ~ 众亦信安 8 p& ]% X0 D' _3 _3 x$ Z1 V1 a
) r/ w. j5 b0 [, L
; ]6 {" X6 d$ ~- S- e 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> & X' J% F7 ^' b0 o
1 N3 \5 I0 Q# v' U! K
1 I1 q- ~0 x. h! i$ d( T ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> . Z T9 w. k) g
) p; k$ f+ O, Y# B5 \, A2 H0 W
5 |$ C7 q, F/ f" q 公众号ingFang SC,serif;"> 1 r: B+ ^' g7 z' g. N3 ]
, n0 n# o+ M1 u; Z" p
9 r. a4 z8 t8 I0 z2 L
O6 I' ~- p3 y. w9 _
# M) O3 v$ f) A1 F0 i: I- X+ @) _' | ) X0 K; X: a2 e9 i4 _, u" s
0 @+ ]4 w* D" l9 b/ g) O9 |, j
点不了吃亏，点不了上当，设置星标，方能无恙！ 8 @& k) b) Q) T5 [+ p7 e
+ R% Z) f* B" L m ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> Q+ j' q- u% ~7 k1 k) O5 J; J2 P
! B2 g }6 i, q! o& B3 ~! D
! W" a, q) ]+ `3 ?! U$ w 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ; \, F( K$ \% {
% x( x) K/ ]7 P2 j: ~. J
) o9 y; l5 M% E8 F: m' L ' |7 _6 T# J- V( W
% k' t/ e( E0 ?2 P
1 M. z; \9 U; n . Y5 Y4 a# l. f5 }. ?: m
4 l0 R# T8 `# p) _ 无线or有线 : U& Z/ @7 W8 W2 {& B1 Y
/ @- ^. C2 q$ `0 i. @! r; _# _: V * `7 X/ q4 [& U8 D
8 W( j9 ]$ v2 @) v, U+ d , {8 Z5 ~" J/ m9 y
4 _# R/ [4 i* W 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ; J' s; H; ~1 Z
0 X. T3 b' S& K( ?2 L' p
7 T+ H9 z" `* u& i5 R* g$ @7 N 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 # \$ B# a4 r" n& J6 F
/ d6 R$ \$ u2 u$ ?
0 _/ L9 \% t6 Q3 K% _2 A 9 @* L4 o# |' G0 v
0 L0 K; t- ?4 Y. Q0 w8 L$ a! q
# Z1 \& S3 |3 o5 H 8 G7 f% w' w' w7 z
7 l6 P1 b- _% |! V, N
, L- @) ?6 K# L8 w- _ 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ( A2 i& V$ F( d) X$ D# t
$ }+ R4 L3 k8 @' g9 {1 a
1 I7 f0 C7 j/ s 7 S0 T0 J) O, _
$ f" v4 o8 _* @# j4 P8 s+ _) m* G
& n- F- U2 p7 s" Z 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） . n1 J4 ^. W8 M9 r& l
5 @& o% N: x" t+ a6 N: H% R
9 L& h: r- v7 J- O$ q& I , }# W1 F% q' F1 B/ L
Z! V" d4 J/ ?: L+ @8 s3 T! m
7 M/ V& I1 L) i2 Q: d, Q! ] 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 + \% z2 R. B* G* u
8 @0 r# J3 \ p
& U" u* e6 f7 B9 b; \9 t 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 0 D0 ?/ b8 ]6 O! {% c/ O
3 A! y w: ^/ V8 B' ~+ p
; E& y/ L6 P+ H, ?& C* u% U- ] 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 0 ^5 }" B9 h$ ]2 K0 }
/ J& q- o! \" b& i0 F
( {& g, N$ r9 q7 a ! ?% k0 O) Q% O% }/ l4 S3 ]
2 q2 h# P! h$ e) }+ x3 H/ ^ 内网渗透& w/ A6 y2 G% R; {2 r# d
. F& F0 T# Z9 l& o/ P) s * u q, L% C7 g6 T
5 K: r3 s/ l( r$ A4 \+ B7 m" f( ` 8 O! S+ |9 k4 g9 E6 N) P, U
) X* x8 C# G1 `( ?9 N2 Y win下搭建cs和linux类似。 . U9 R0 O, v2 R/ }1 C" K
M o+ A9 [) R# X+ A p; g0 L$ [
- y0 F+ j: _, \; T$ I/ B! ^
teamserver.bat + ip + 密码
; {0 u" S' J2 `5 `
# ]; c3 j3 z+ @) `% i a. b
/ E% g. ^4 t$ w f4 W8 h( d % m; T5 ^+ H: J: x- Z) I
^ C4 f& q( a7 [
% c/ G8 |: G0 ], J; L1 L fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） # t; |$ `# Z/ d' b
1 K5 ^; f+ E N7 P4 V# V5 D
2 K8 J4 Z" x% \: w ; v8 Z" D; p* w) E. w0 v
! A8 M: B: m* G3 x& R/ F: @) }" T) G
/ x. U; ? E9 l0 N2 u % D9 V% [, ^+ x( S5 T( m
9 x. k0 p4 ]2 [# i0 R4 ^
) t6 |6 X+ V5 P2 V5 o# C 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
( y: V9 G% @0 w. j: W, n
( Q- n0 r& Z) `' G 4 H; N x g6 \" ~" }: a0 ?( i
. Y( @* D% D/ G$ ~
* i$ _( o+ c8 G0 O; e $ K' t) I* J" H4 o% a) I$ \1 X
3 M0 b' c% z. d" Y
; s9 ]6 V6 J2 n8 E fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 , X* k. a2 b' g7 ]) \; g k1 I: _
- M5 u3 A$ ?, S; I
0 V3 Y0 A) ]1 W2 P PACS系统 / s- O1 W" _) w! s3 z/ \# i
% b4 y: I, X. p. c
$ q+ e# [9 L$ z- @; {6 T3 O 6 X% K7 R% o( C! e
# j/ ^% M& E! ^% ~9 l
" c- v) l/ P6 f: u
% P1 ?5 Q. Z5 U% k
/ z* P; H$ Q; u& }8 h! h : a* k) k4 p1 R8 n2 h
8 D% x& c9 Q& z) {, {: ^
" B* t2 g/ j1 w& k6 s& d HIS系统 / X Z2 G2 n- ?2 ?8 t8 v% H h
- U3 e! \4 R" Y4 \) l
3 w- W8 U' M: {7 I+ k \* H, @0 w/ V2 x7 \! t
) O: ~( Z. V5 E- G$ o
* |0 H1 l1 Q% b7 U # n. P' F, y4 X4 ?: E
% s) @! z$ L+ C( e
, w8 H* j& E1 [. Y : x, L- u5 Y" {7 O6 K; b3 c
7 @( O# j' E# N+ m
& t1 |3 C. H) g0 L; | 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 - h7 n7 D( F% v$ A0 ~/ ?
( _# B/ C+ y0 a: T
3 a1 o7 @( w, B$ U: R
# M3 ^2 H3 F) S0 k
3 }0 `, I$ r" _ 1 j5 m! e& T. o) h! \# o" U
% Z# p& e' O/ S
5 R, _8 p! L5 B' n& m' z3 l 后话 8 d8 |; d. h* _& _ l
Q6 H3 A) R/ B4 v
9 e4 q9 Z* U8 f- W 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 + {7 C- i [; o8 j
+ ]+ d* x" }; u) [1 X' F, p6 C
8 i+ G+ l/ V3 s+ g: N/ m0 ?4 v1 f 6 c3 Q- A* \8 s) N3 O4 p- o
+ z/ d1 \: O6 a/ q& x" Y * }, L5 \* X4 D8 `% Z6 k
0 a8 }! r- P1 o, O y. m' y2 _, l 4 g" |( Q0 {/ r8 [ R' E
6 ^* E* X2 k- g% s) I( J1 u; M5 T' | 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 # Y/ G0 O! N4 K4 [
r) Z! a4 x( _ Z6 M# g6 F
0 L: W. `) y0 [; m5 k / ]. _! o# a8 C" D. q! f
( u# H8 {% H$ |3 ?+ Y8 o9 w% H4 N8 }