记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

& o& j& v# G7 F# @. t& k9 V 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 0 S5 Q7 j. T' y8 C& B

% V5 f$ J4 H8 _' o0 w 众亦信安，中意你啊！
. D& `7 [: R4 C) i+ I/ n) o
& d7 Y/ F: h5 u/ U8 ~1 x' u ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> - @ W/ b( }7 f+ l0 _; c, p

) {: W' I0 E7 q3 L/ Q- Z0 X% N ingFang SC,serif;"># f) Q7 n8 p+ y* V

$ b! L- p" ]! S- f
2 F0 N4 ~2 G8 z, s" D 众亦信安 2 @! X# Z* Z% L; l% B# a: A! _4 w& [% q
7 [ a# F n. c8 s
: W! S% J# g3 V: z9 M; _( _ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ' l8 r3 f# |9 _7 K8 d
1 n8 W; y8 h; h; O
; H4 t! F- L& D- k2 {" I+ q3 G ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 8 E. k' O& A; p9 S' x; `/ c3 G
- v! {) m( t _9 @6 g
' x1 s; N# B/ ?$ ~* Y 公众号ingFang SC,serif;"> 0 [$ L: \8 F8 ~% R
8 g- B% L4 Z" M- T
! v6 B' u/ j/ P) b( \
* O5 z* n2 w. j! f- F1 @
" C/ F5 F9 V+ d' F+ B+ N; [2 _5 Q( K9 s$ r6 Q; M7 }, r
; v9 A. w" b" C" J. T9 C
点不了吃亏，点不了上当，设置星标，方能无恙！ ; J2 X+ p, t/ C9 s' W& _
- s' K1 _5 ~- ]# \# T0 K) r ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 6 P1 K3 ]2 H. {; Q( j
" {' I- G+ x1 Z
+ z1 i' g4 p& A( ?5 i5 s+ E 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 5 t" ~ |9 i/ U0 K; V: q
1 U' ?3 D- t. `7 g
2 i( j+ K: P. l" D/ W) B* [7 I 2 r5 g* `' e1 r0 x; Y
* l* ` n ~9 N/ T. R; b# A
* }0 D; u7 @* m' m* v * P& n3 ]- \2 r" y
( b+ F$ f( @: F, q8 x 无线or有线( G8 B% H' K' _# r3 `. D
/ j- F" s8 {0 V4 o) i" ^ % ?' p2 O( @: O) F
, L, |3 D+ v" t; u& [) @# a ) C6 S7 K( r' w
# f. N, e0 Z; d+ I6 o0 z" K 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 2 |) T9 O' ^3 u$ o0 q- q
( p9 h1 N2 L! y% r
1 t- f9 D5 \8 @$ v 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 / I# ~0 A! N* z/ T7 k# K0 Z
1 P+ `& I; D6 w" T
4 K- ~) O( d |- Y8 c4 A, ?" I ! Z" ^ Y! U6 v) j/ d2 m
; D T5 X0 L. q0 t' _& [1 L) `
! o# y- J' x0 g3 A4 U( m. U 4 R2 n6 F; h) F7 J" ^1 h
! T) B' i% ^% p, q O* F3 H. m
0 w0 ^- h9 X# ? g, e) j! n9 Q1 e! t/ d 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ; N, n, Y5 F& B
7 ^" b+ n$ t2 B1 O' Q6 Z
7 R! \8 v! p0 {8 H) N . Y& c! ~" z( Z& [: V: [- P
s0 f: m* C3 ~: D3 B" O; Z4 f
4 |' {) O6 w- ?: x( S) J" ?1 J4 q- D 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） " q6 }7 ~- A0 j, ^% s
: w( F! K; i( B, w9 w4 |6 p5 c% g5 Y
# u6 z4 [. [) u+ M% f" n % r8 b8 c" Y$ e+ u. M2 G
6 P4 b; p! M$ p3 }8 l! G! X. [
2 K1 X1 p G' R, [ ~ 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 6 f# v" p& ^* U0 P+ j
7 D: v S2 e1 J( v
3 Z# M& }2 N, ?2 p& x. c 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 6 f- _% [! Z1 T
% `8 Z$ O; d( _5 c0 l/ y
/ ~ a" d2 T7 }* X$ k$ m# y0 S 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ( [6 ?- {# U) W, y/ r0 y
" k# x: @3 J5 C' L0 X. _1 o
( K9 v9 z5 v5 T! b3 e% t3 a5 J : h* b% c( c+ A3 Q5 C$ }- v
3 }! ~, l5 \( l- X( a& O# m! W 内网渗透 * I7 b8 B9 k' f6 K. }9 t- Q
6 F0 X% J8 Y s5 w* o 3 N: j n3 _" U+ w6 ]
, j& p& T2 O: X/ L 6 Y/ s, K3 C0 i" Q- U& Y8 U
& s9 ?% m4 E+ ^+ b& n% Q win下搭建cs和linux类似。 8 s' W4 _8 l; z5 f: E, ~ L/ S
9 B7 ]; b8 Z. j: S8 r
% R9 f2 N1 r6 G
teamserver.bat + ip + 密码
& a) s Y- v) O2 x$ J
: S# w, m5 t; q( s: k
5 c7 i3 E8 B7 a! H 1 }4 K2 o9 A; W* P' Z0 z1 {4 y- ~
' R& P! x. R4 D
- W! S, L0 J1 g fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） * o. N" d) n# l
: O" L# P% b9 j9 T
" C( Q: \' H% e0 [4 ~: {3 H3 Y ! |, e" _8 @& W3 E) r1 x2 S( k( T9 n
7 q, ^4 b+ f( r4 t3 I+ U
0 s3 H) ^- k& S( O5 Y0 b 1 M% D3 O5 R2 w. O" T, {: n% D
! K4 O2 ~% t1 p5 e; _, G
7 {2 [" A# Y% J8 s 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
& o0 U4 d0 Z. ^5 n- o/ c1 A' {
3 w- i- V. U3 ~& Q V0 G6 t% h6 M4 M5 T
9 R9 s) |) N- V3 Z8 W1 e2 ]/ X4 X
1 k3 z9 ^! v9 {) o) f: ~ . y0 X) C+ g5 Z/ c: f
/ R8 ?. w- A! `# _+ }
- [" {) U$ g, Y# _$ H7 T fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 + H# N q7 D7 o+ G( k7 Q, `
( p& Y, h" A1 D# b$ B
9 e, e- v& @9 J* l7 c0 ^2 m5 r* G PACS系统 5 d n" {* o, M% O
; ]/ f# F! ]$ A% v
( U; M- U6 F: |. c 5 o# R/ U! z+ U9 h. Z
% Y, P8 P k+ k: n5 n
; Z: l/ ?/ l3 o9 x; U( Q, Q
6 ]* N7 I+ ?; @0 p2 a! a
. l% t9 N/ T; M6 c2 N# e, Q+ I1 Z 6 c& X/ z# q( p1 v) c& t+ I
8 j8 d; N, F4 x0 ]/ c
4 J% m9 j0 G/ p. u HIS系统 ( V0 S" J( u3 Z5 A/ j
& u; Q9 v. \2 c# q$ l' L
4 `/ [$ Z7 _! A- Z; u ' z! L! g9 X1 k+ T( r. N
( E3 i8 X5 Y5 i# ^/ r' d8 p( {
! }' F0 |) N: [7 z$ I8 s) q 9 `- F6 j. k+ d6 V! k8 |
5 u# U( L6 \( L1 Y
) Y# `) A$ ]! N# J% K# [) f! R ' H) [+ n3 D$ O+ t/ G, ?
3 W5 q d3 T( D6 N( Y3 |9 n
2 H. T1 F; f4 a R1 L: | 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 / P8 m( x( X7 u6 k. N2 O
, Z$ x5 X" }& A6 x& R. @
5 \' K6 G1 F" k/ i5 Y1 A
3 }5 H3 E: T$ R. W) C* p8 \
" J# b9 n/ [4 W0 Z. G 8 T: j) @' Q0 P' C/ p
" W& R& l* Q% N- {9 |
" h- Z9 P1 J+ @' b2 P# x 后话 4 c/ A/ Z3 N2 |9 M9 X. `& w2 @
7 K) K( J$ b% Z6 o
! \& M3 T6 d) d 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 % ~0 `+ E1 M9 L; @0 W8 k% @: E
' z- F2 T N. F# z* s5 D2 |3 r% a
) D9 E8 G$ N8 P/ d, A8 Q% q( g 3 n( {# u! U s
7 H$ H2 C( r+ x2 M1 N- j 7 B. h9 k3 |# t2 H- ?* K) N
, Z% |. A) T8 u. M! Z( [ ! F& K" D5 Y: ~, b3 N
5 E4 }0 A t v8 c4 I 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 2 P' k; l& m6 X. S' V- n
( R% i' S9 E+ n/ Q/ w$ H3 l
% x8 b0 b- R; v, l# O, g) a : N# \. z9 A+ M( Y
/ N2 m, T% b+ c/ x. X0 Q

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

( b+ F$ f( @: F, q8 x 无线or有线( G8 B% H' K' _# r3 `. D

3 }! ~, l5 \( l- X( a& O# m! W 内网渗透 * I7 b8 B9 k' f6 K. }9 t- Q