找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 记一次某医院渗透(近源)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2359|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

6 _4 @8 m( O1 @7 G' u 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 9 ^, R% ^! p3 M! u/ O

2 P0 i& t, _8 e; {9 `' ]

$ z3 F- @! F+ K 众亦信安,中意你啊!
2 ^8 k* b; W d
) E9 K% K6 z+ K, \1 K% ~+ g ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> , b, P9 a7 G# y+ m- y+ O% ~# s2 j

/ V% O: O% h+ x3 `, |6 {

4 I5 ]' ~( J. X- w: N D1 q$ w ingFang SC,serif;"> 0 o& X e/ D) w# z9 n! L9 M

C ^0 K) s* W, m6 }. K
( T% t3 }9 ~. t: n! X

( U' Z8 ~) |( U9 J8 s 众亦信安 / \% N4 D. p7 A# p8 `5 H/ m

5 R4 E- D; `4 }

4 J- h1 U0 z8 _8 b# ~ 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 8 z: j' f% ~, K, v7 I/ ?4 {& {

" o8 N! b' t- T! N7 p8 V* p) o0 u* s

( G1 U) x. a& h; Z. e" Y( f ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> " K: O |( A6 @9 A

& D7 \6 P3 q5 _) a

! F: A8 d* N5 k' G; l 公众号ingFang SC,serif;"> ; f6 g: _) R7 g: R+ s! T" x+ i+ t

* i/ P4 V: D; e |9 e

3 O3 ~ X( M$ @" }* r/ r' _; Z X7 M
' _ Z& x$ M! v
8 ^& |# y: o- g$ ?+ T; K# |3 y z& d+ @% z4 W1 C7 h6 P

5 v, r4 v+ t7 f$ O0 f1 q4 O
点不了吃亏,点不了上当,设置星标,方能无恙! ( K" @5 f6 e8 ~" [

2 S# S6 Y. f* o7 t* S ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  % v5 i2 v) ? A/ A* ~8 K4 |

6 y% F; W6 U L7 q+ {: z2 a* E5 Q

$ j# {$ P8 Z8 X 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 ( m- w) I: W! Y/ g0 J+ y

! t: O/ m& {$ k& n6 ^( e; ^

0 h9 N" a5 c& s5 S3 j. x   * x$ H0 B+ d! h% H( z

' r- f3 j/ e% @0 B6 y- v
5 ~, C- u. `2 w7 b ' L" t* E; i9 v# w: J* w

# K1 b8 c7 S& H2 G- G0 [ C 无线or有线 8 U+ a0 q2 \) b* ?% ]( e, e

* p# _$ t2 A& _' @' l 8 Z9 z7 Y0 H" }5 E, b3 N
. {" n' o% O+ o1 ~7 J W 1 I+ D9 ~* s6 n6 A

; V# Q9 v$ T% b }0 c6 ] 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 - h* J8 F' ]2 J. U; y" }

0 @1 ], @* E4 N0 f

% q9 E* e# A( O 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 6 U: q! W% V9 o" Z! A, r4 _

& f7 X8 R4 }. R% H

% C( X& l! _& Y vshapes= , R* _+ I" Z/ Q& l' |2 d

, H+ e1 j( t5 i1 R

3 _5 v" d1 Z n: k vshapes= + L1 @- e/ `5 N

' E, ]! h8 `. |4 f5 K, i8 M

! F* \+ Q& S# Q" s0 n2 E 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 # Y7 e. L" c y

! z0 J3 z# Y+ e7 F% ^0 B. N5 q3 U

- n1 b R: F8 O- t+ t vshapes= + Q8 X2 A4 F/ X3 h! H8 b& m( O4 \3 t

2 `* h6 S9 K9 F+ e- d6 l8 z, x1 |

# ]# p0 i* m1 U: L: C9 o& @ 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 & m, H5 w# u* p4 ~6 g1 ]

3 i2 z# `# c! h

9 r) H5 a8 [* q7 R$ i vshapes= 5 B# X) [7 j9 c3 Y# t7 A2 [+ O

- ?1 f/ ?" [ E* M& m% J$ d

0 r1 v! N0 M! N* g 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 + V6 }8 X. x3 f! `

1 [4 h' N; E1 S% `5 }

# K% b* p& w" p4 L" ?/ x 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 3 f: ]. F0 g: e! b

" `9 M3 [& K/ j9 x

+ G" ^0 S( Y- e/ X- m 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) # ^8 q; ]/ E; I" ~2 q- V7 K

) I! X9 R" Q* e% B
3 F% A [: f9 U" B; Z: I) [ ( i* k5 Z; B! C& J

8 S1 Q5 n9 f' J 内网渗透$ u8 Z. p: Q3 Q9 H

% _: v7 q" I& ?# l 9 R- S9 W4 v' `
+ }' l5 P( x; T3 V% z$ f ' c) d3 w' T: G1 s5 T# y$ _% s( ]

0 ]3 ?, A7 |$ n; |: | win下搭建cslinux类似。 1 x$ n- o- j/ F, z, S8 B5 n

2 u' D; C, t0 @% [
@- C. X5 f- `5 G7 a) X& ]6 H0 f x
teamserver.bat + ip + 密码
- X* E5 b! O2 b: v# S/ o$ j' X
- G" X* C! f. _8 I

, I- ] x, f4 C& L/ B. y) U vshapes= 8 s) S0 H; ]4 F" _# |7 C& _

, n: [% P; G4 `

! w! Q, \1 I0 T fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) 9 P" G4 X) h# f ^

& l! f. m D: Q1 D$ l0 O

2 K& u& C8 U# J0 Y# P vshapes= ' z8 F' o' W! `* U2 ~

0 `! Y) f; u1 C2 C ]7 E! c- @

2 i8 T( e, ^2 T; | vshapes= , b! Y) ]7 r/ B* _% @- i

/ H/ z! p, ?+ `/ k

- D7 s8 E/ B; {/ z2 ~8 ? 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
. I2 _5 d6 d3 m
0 Z5 @! T" K/ L6 p$ _/ J 4 \# v& A: r i1 Q

7 v+ D. R3 v: x6 L

3 J) _+ B3 K' G7 \8 ^( T vshapes= 5 n0 @8 G# `* W5 b6 T

/ y1 y$ L8 ?* k* `- E( D% }

7 Q, b" ~( m- ]9 x8 S1 q& h fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 : k" `& w: z- m9 t

5 N4 \4 `& j, f3 `/ ^, ~0 B6 o

9 }) [3 a! B/ u" h" |( W PACS系统 ' A) ~/ a+ N4 _/ S) H# H2 q

7 m+ |, G; L& r8 G; x: G

* |7 n0 _' g; _% }. o vshapes= * N: L+ ~+ s, w. V/ G

q, { V T- q' n/ [

1 {* |& A) `4 T, R vshapes=
0 A u! z- F# c4 S$ ~$ c
+ r8 U( S' l' B: Q* H' i* x 3 \1 V6 T$ V5 _6 e( e: P

4 l! |& R3 T* c3 L$ e6 [$ }( S% {

4 H: l# d; h9 B( i3 \: B; V HIS系统 , P3 H0 J$ y) C5 H

1 I8 F D) l7 A

" i2 n1 t6 a" Y Y. g4 I; F vshapes= _2 f. w7 Z& ]) x6 q! t: q

7 Q, b5 d' m( S9 s" \) W4 Y

( }2 y1 g/ c: G8 q3 ~6 _5 @   $ \2 D; h1 u/ h y7 f, ?

( q7 ]. T7 F( r) j

: Q' c4 C4 ^; ] vshapes= : N; y* U: ^2 v: q$ E- }6 e6 Z

7 e) R8 e5 g- i2 ^& R1 h0 V

4 Z; `/ d9 m- P' T* g0 U; ] 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 ) b% F. x7 k/ x

% H9 a' h j7 H* w/ s( `# _# r

% F) _ F; t4 r+ e
" r1 C9 ~ c4 W9 j4 ~8 z
1 A2 h! w! t/ j, ]& W( f% H* G! g- [& C- h

' { X" v: A6 Y; o/ u

H6 a7 I$ s# P8 Z 后话 , k7 _: ~! K5 | w5 L8 Y" ^) \

, g& ]& C2 V. m5 p/ a

0 D) e$ `. q" O$ l: J 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 7 Y7 K* v/ D, n ^, H

; u" k. B2 U6 B3 v
# r: H- |$ i6 v. H ( @& r5 a! K$ y& ^5 L0 j
7 `% \( y* w2 `5 K& u# L& y 2 D- f G, U- g
% a6 J. y1 H# r. p1 E2 G' h 7 o9 v: c- z% d. c( \. ~

9 E( V/ v" G7 O& V6 M1 H3 \ 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 , A# V* x2 g/ F# ?

1 p# }" `9 C3 K% W8 G

1 @4 U% y% |! H( W8 t7 ]" K   7 \' |8 w U( u- L6 q- q

" f) j/ c+ z% y1 c+ P- Q3 V
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表