记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

6 ]0 w- ^ j2 ?6 O; ^ 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 * j; O# Q0 m! H; m

( _! s0 E. f1 ?( A5 G0 N, @ 众亦信安，中意你啊！
n* J$ Q2 J% p) }& Z3 r5 K
" J$ A8 [% x# g+ [- I. |ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 1 k+ s5 }" x) s" E. c7 A

- g4 |7 ^/ U; N# r8 J) ^ ingFang SC,serif;"> : a. @# v; E% X9 @4 V2 e& T4 C

: { I! M5 a# c/ U7 [. O
! O5 }5 ^2 g M# U" N2 a2 w 众亦信安 . L! @* n$ x% S. u: {' }/ [
% e y7 ?. R4 {5 a2 l
+ |. A+ z) `5 X% y z' ]6 `) U 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ( b# W6 f! ~5 Q2 k5 S4 e* ^
6 T; T6 m8 }- ^4 {
* ~) Z8 w7 I7 J) t+ \! P ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ! T- W3 B1 Y- m
* F+ c0 U ~- j, R% W6 x
$ T& x. R2 V6 O0 x$ u 公众号ingFang SC,serif;"> : U' M& `" U& D& w k2 `
: O+ n- I1 }& B/ e
" Y; o9 u- d g$ w$ I
' N; A- s- w0 L' I% W7 E
' {. w/ M: ?8 J; D ' X$ U' B% r# d: U% H b
) H7 R+ O: y% p' r2 Z3 u7 p
点不了吃亏，点不了上当，设置星标，方能无恙！ 7 i V$ T* c: s( ]1 l
) q: q+ V3 O) G2 P5 e- W/ h ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 6 q# O. c2 x6 ?$ Y$ C
: m' V0 w. \ N* o4 j' i
& _" P9 |& T: C+ E" p$ b 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 " F2 e0 t/ ]0 }! _% o! H
. g( P6 q* E }6 E9 S0 I
$ Y" e6 e7 c+ e# f: j* w- c ! r- v7 F1 b; Y' h( m
: y% h8 e% t R2 [
* `' N6 e$ Y6 r. K$ j 8 o2 `! Z- g, V" }
# n% p. M4 n( X, U! |( z 无线or有线: ]7 o; ^1 \; v( O e& D2 _
9 v8 \" O6 R& c% G; x - n5 B* @3 I) M% v5 h/ L# s
2 _9 D9 O8 e, m: v% w/ C 9 R6 f' O& ?1 J" Y3 a8 ?
! Y8 k5 S6 |' W8 q& p 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 / s/ v/ f3 K+ r& v; p! P
4 ?5 ^4 n0 n. R# c ?0 u
% e, a$ `- d* j, J 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ' m! W& ~! |8 J
; k% c u. G8 ?9 S% e
; k$ v& f) V% K8 G 7 i! Y7 Y7 a* T" k% \: V! ?2 Y
* U; P# \* e: S1 s2 F# ~
$ p. o8 E- B' j* J0 d8 B % M$ t2 `! F2 ]: S7 Y2 J
3 ^3 M$ P1 Y6 k( w* V! F; k& e
6 k" E" ?: V* n7 x7 q' ~2 a0 P9 @ 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 : }3 G" ~6 W% C( {) E- x9 W) e
1 O7 H3 v x% W4 L/ A
, l1 I. {# Q8 q) b' _$ ^" O0 u. u" s - F: Z) e# P, I
. O( X3 u; _/ v2 Z. F" g. Y
' I9 C( H" `0 B- K: J8 W 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） : I8 K, ]! p& Z
6 b0 C5 r1 R! c' r
) I# I% E! H% k, c1 @ % n3 m" V2 Q1 [! [/ [' ~2 G
' u" c7 O* T/ [+ i+ {
' l" i% e5 ?4 }9 Q 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 . m. h0 r# e! [+ U
7 o7 @$ q5 u6 V* r
! \2 D0 L( i1 n* \1 T" \. K 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 / w" N9 m. e7 Q7 [# O
0 [& I: O4 _) t
* U* W% H0 |6 p8 c9 Q% d 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ' R; s, i- K. K
: a" a- _, G# E4 o7 n9 |
* R& D0 _, w7 H1 q9 j 5 s" N0 ]- c, B8 I
4 E( \5 u) B7 t 内网渗透 6 Y% r' ]$ | n3 h( @
X# x/ }3 h, F' X 6 l! Y3 ~- ]' L6 |3 C
1 T1 n% \& u6 R ; }! ^/ {5 [' m, n
6 r' ^$ I9 T- d1 s7 }+ ]; A. i7 b win下搭建cs和linux类似。 9 u9 `& W6 Y9 K4 c& d6 Y- F; t
' B, p( s% ?' b0 Q; |
' g5 W7 B6 W) I0 h1 y* `* d2 Z
teamserver.bat + ip + 密码
7 r) c% D+ Q0 V9 B! D/ a, Z
) F, Y& L7 r. a' L$ b: ]% j5 h
2 l J. `! c# P0 y+ }; J( v / ^& N' M& B5 d( E
U( X6 V% J9 }% c/ g* F
% P9 D5 y3 y& K2 R' F4 B( @ fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 5 ^% o d- \0 z; d# f) O
, M [% f: B3 M! @
: t( N+ `* x+ b: P8 E; U: |/ [ 7 l# i% z9 ~. K1 E# w& x
" c* \$ [+ a8 G& s3 }- Y+ e. M2 r
& @& G2 N% ]: s- g # j1 i( J' H0 q6 A! M
; G# m9 _# a5 B# B) j( ^
$ v/ K; Y& i6 v2 n& l) d; k$ O! i( y 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
- w+ \* a' X3 t# m0 I% w8 j
, S3 v; D3 d% u! s ]4 y0 P! ?/ W8 W
( n" _# G' r+ E
% H2 U O1 C" l1 N- f$ ^ . l4 D# I( f5 I& H" i
) H. @- p2 f6 i U
( o. O( h- @$ b1 p; y' ] fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ! o6 i" ~5 A) Z
) ` I( d, e$ k0 f2 y
. ` F" D8 Z4 M0 e4 N! E& m5 W, v PACS系统 + d# `; f( h: b, k5 j6 w
9 d2 y8 m1 ~8 k* r" q
6 P' c a/ P Y* x; \( Y 6 [0 b/ v# n2 U8 K! r; N* e9 b
+ c7 Q& ~7 l/ }: U7 W
+ O9 f/ v' N; X4 @6 j8 H* y
8 _% D, [& W% {$ o
V3 Z7 H8 d0 \( C 0 N+ ~# C8 z- x- p( o* c8 B7 j8 I
4 V% @3 S2 u. ~7 w3 ]) f
- w: q, p+ q$ y% t# C HIS系统 ( F$ d' z" G A: ], m ]
0 V) i& `0 P4 L; T
$ B3 M/ D" k# L; N2 _ 7 W+ A# r& P# j t1 @ G7 Q# {
% Y) M+ [! ?" K$ A
; w6 R' q/ W6 Y8 }0 D8 W# ] - K9 c/ R1 I9 z3 k) x
) t6 h! T \! b
7 l9 h' C* y* f5 N, k, R ! I$ A6 ?( J( k+ a9 d
: g; I7 k0 ^, _ F [
# C: ?& C$ d% `! c1 F 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 2 }( v' |# ]- @% B/ d% X/ {2 s
% u+ X+ c3 T* l1 [1 S/ \
# W, m! r0 l* k( |' w/ ~
* ]3 c/ o F* @$ w8 y# ]; L
+ P8 C" m- h3 U1 C( [+ R. E 1 Q, ^3 W/ j) F: V& e
' L0 w' J8 V/ O8 U2 z+ V5 ~
4 F" _2 q1 j3 G9 g; C3 e 后话 " R7 f( R' v' \3 m4 b9 j" X% j* |
2 w* Z5 m6 G/ H0 d. v" H, `7 T
5 N7 i$ J# C+ T2 ^1 V J4 b5 e 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 3 y o3 V( r, H" W. z
1 m- \0 C8 T* e
! b; _( e4 i2 y7 m# j% W5 {' W 0 x6 y8 c- ?. J, f; I
9 ?$ Y* I2 B6 t* c8 \ & s' ?! t3 Z* A; f" o f
$ z5 A, J8 Q5 t4 a+ y9 q # E5 V7 ^& ]8 v
9 d+ O9 n6 D0 k: _' S: R6 ? 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 + U" S* G( s7 X3 E
9 _' u: |1 v% S0 C. T
+ y) I: Q: K1 m 2 B# Z. [6 f. e" m& v4 e' X& r
9 U( d% B) _! D7 k6 G