记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

8 ?8 Z) Y( I$ h; j- Y, [+ Z* X 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 4 j4 g3 X+ [- [8 h& Y

3 I6 \# j4 s( k4 W0 } 众亦信安，中意你啊！
! Y3 P; e4 G1 D5 C" U
' I' Z4 d3 T2 ^3 ]- lingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> . K- r) ~ @& A" n$ R) C

1 F8 f1 Q" W# R& \( }0 A" H: |9 p ingFang SC,serif;"> 8 K; x. H& _. }: h2 }

: J' Y" Q6 {, j: X
+ ^1 t: ^2 T7 w5 T& G& x 众亦信安 ' h. _6 w7 r, F+ X3 N0 }* C; i+ k6 K
3 ]5 U& A* ]0 v
* @) U9 e! y& y. W 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> " D U; U% K" h' c3 j i% l
( p3 h+ s! r! _+ r- Y6 u
9 P, |/ B/ d1 D4 {) V# ~ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> % x: j! c" ~" ]
( f3 s# a! g+ `
6 ?0 Q" t& {* P; V D3 Y 公众号ingFang SC,serif;"> % I$ U! q, }0 e
/ E# ~5 \+ e; y" n+ I
: z0 [& I! {$ S8 e
+ A6 D+ x# @% \* O
" j8 Y2 w {1 [. t 0 S; w6 r3 s' U5 P; `! Y0 P
! k; r3 y; B$ ]" P
点不了吃亏，点不了上当，设置星标，方能无恙！ 7 u, K" G& S, S* Z* S' Q4 ?
' o" d5 ^. U! } B4 ~3 ~ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ' D6 k' Q+ x& m/ Z6 ~
) \, h1 \- _5 a% Y
# t( X: V. g Z! D( E 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 * I m: Y, g0 j8 y! s- q
" N! A( P q; X6 b8 k2 z' h
% X! h0 W) L- u- [0 L) z+ o1 z 1 X. q4 F) `" N8 R
4 n" ?) t" o7 T! w
" w& J, X7 \* a- l' u3 m! U& u 3 B: l; @/ _, W) U: r R
# X G% _; C5 i7 M0 m 无线or有线3 I* S& D* G" G* }- {7 R) t* G' q
3 N W5 `- Z0 u6 J+ V! s " V6 G2 r1 i' f0 j
( n* j u( c5 V: }# c2 w9 j+ S . a! B) |1 i) `: f! K
/ q! B( c. x1 `" ~6 y/ }% ^3 O 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 , x" I/ F; N1 S- e
/ T* Y4 `; o+ X+ M+ t+ y$ L
) A, T* I9 u# e, W 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 " c1 \; o: Z! G; o$ z6 T
2 l G+ S) w; ]' z
3 t( U3 \4 L3 T% E2 P / e/ a0 F5 c1 Z
( u6 w3 N& L& Y, ^ i$ k( o
2 Q( ~" X! I. ]; J" \. E' S , [5 y& ^1 k0 n/ q8 Y) i/ E
' E6 K6 O+ m. @
. Y; u$ R' j' I* y# n" H 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 : Y, \5 Q$ p f/ ~% L
7 d& t( \/ }, f( [. l% W
9 F+ o! Y( t% R% O5 n! l, m; n( ]2 Z ( i) L/ v; u/ W; v
1 r+ e/ O7 w" V7 }' N2 M1 S, h
7 v! F- T" h2 w 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 6 ?- V+ p1 P1 w5 Z6 q" \
1 ]8 b- {! M. R4 r$ N0 y& h, p0 Q
+ g2 m" C4 K- h) A 1 H P4 m3 V. W- X3 k
" Z4 q4 Y# ~+ [% V% z0 Q, f" l
0 {) P$ l+ B. c$ q* L* ? 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 3 H _6 P, O; f1 j* c. y( ?
! T* N- q& P0 w2 c3 J% Z
6 }# [* ]0 B7 D" u: G a6 [ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 & p" C: c' I. V& V: Y. q
/ M% |. ]+ w: v4 k1 ]/ P
; C* y( k, m8 ~% n 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 0 G8 O4 _/ F1 C2 H% F( a
' a$ `) ^7 E# g; V6 O+ I- v
9 u1 X* X. N: F$ U7 f- M8 Z4 e ! O+ L K" G2 r& F" j$ d1 D
! e6 ^; ]0 g n* j 内网渗透 ; I X# h2 n: D
: O" U+ D5 f6 w' z . u* |; h* z1 y3 {: b( `( O
4 }# T* R1 h4 R3 r6 d6 i 6 l) u0 O( u; p/ S0 G0 \
+ q! H) h' \" T, r# H: e. ?$ O win下搭建cs和linux类似。 / S# L9 b0 \ z' B# h
/ f. F0 F7 a: B W7 E; Q @
8 E5 q; @8 k" o+ u! H3 J! k# E
teamserver.bat + ip + 密码
8 ?/ }$ I- q# o* n$ D4 v0 _, e! b ~
; a2 P/ ]' i1 I7 h
& Y& V$ ?6 g3 e. {& l- T& m+ a & A# k/ h8 e" k8 m; S9 d9 [
: j U" e8 ]) N d7 v0 Y- D. Y
1 t: n, F4 f% ^) W- C- I fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） : @! e# t9 Q# h9 C% ~ E
/ |2 n; A' u" G0 |
) M- p' {4 O% N ' F% X" w2 W, O5 F. J
$ P, A8 F6 k! @0 n: t/ x
: ?7 U) S' F% y5 G/ m 0 w, [- w( F1 E$ X
( u y( g1 ]$ Z0 e: X ?
2 i1 b) n: S" A4 g. A3 ^ 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
9 ]1 I* c: L, ]; b
7 H" K: O' R3 V, l8 p# b- _, M $ t; D6 ] t/ W. I/ W
2 Y& g. x3 f; u2 |
3 a7 t2 P: q4 x " \, @1 y7 _. }, i) w2 ]5 ?5 |. u$ t
3 D2 q# Z9 V; R" Z: f
' f w8 B, T4 s* F+ `/ N fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ( w- H4 j2 J" ^; r
5 @" I% v U' M# m7 x/ Q
* n+ z6 S9 c: d. q! I PACS系统 % l4 G9 e1 f( U1 t( k
, s# Q! G* S! [+ m2 F1 D: Z
( q' X: c. }$ \+ [4 c 6 i4 @6 p# h Z1 s) a _
9 E8 m4 T3 q+ \) G6 ]% q; Q
, C- z. G" _9 ^( R8 o
1 b3 |4 y$ l0 j2 ^- ^
. E" h7 H9 R$ y; J' |9 w4 [ ! z2 i5 Y4 Q8 H; V
/ ]7 \. X- _5 m2 X2 a
V ~: M# |: X8 q HIS系统 * u$ N- U! R5 w$ t) Q
7 u0 Y: F* w% M+ a( H
$ N+ M1 T- K/ y% w% Y5 v n 7 a/ F b. E. A/ X
# A! G. H$ S2 q/ z! Z$ P
) ~. Y, l/ `" |* S$ r R ' S/ e- v+ h! M: J9 b! X
5 o$ `8 n3 s$ n. G+ l6 B; M
/ q$ C1 [# F: P# `; h! }. X . `6 Y) L& M/ x* \% R
" W+ \- w; r3 E. F+ W) s
' \# o& r( w4 U D! E 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 % B& {5 p# I6 i0 O+ C
1 G) n7 r- o- u% u k) o3 O2 v
) d+ Z3 [( m* y# f5 m; C. L& U
: y. i8 K0 {0 |$ F9 m5 w$ \* h
& Z5 _1 G$ t3 a+ D0 |; \ T: L" M" j S4 S' x' s: {
" F% ?7 P& |, ] z1 E
2 c, y- Y, v: s/ _$ ]$ m- x1 ] 后话 # k, O3 x' M% z, @5 |; t4 @' p
/ x4 I1 ^) e2 v( h8 {) ~) w
2 b* d# b( m. `2 f! p 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 # z1 f6 ] p5 z+ h6 N9 M) W: K! q
3 a/ M" ]8 ~2 A5 h0 Q
# _/ X9 o% `8 N, F$ w" F 0 j: O9 Z- y) U5 Z% L! {
" R9 A+ |* b/ h- g# }! P8 d Z' O# G' R1 r" _% Q5 r
2 M+ u0 S- y4 M# G- G% n* l9 F" G 6 N1 b* s+ v/ `
! S! V0 F- F% N- m 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ! S: E3 n @8 [
8 u: q" B3 X; l8 t
1 @0 J: U1 e8 U, Z* u - J2 ]2 O- r: |$ d b+ j8 Q& @
0 H' g, E. I' C2 W0 c5 e% q

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

# X G% _; C5 i7 M0 m 无线or有线3 I* S& D* G" G* }- {7 R) t* G' q

! e6 ^; ]0 g n* j 内网渗透 ; I X# h2 n: D