记一次某医院渗透（近源） - 中国网络渗透测试联盟

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！
) v S3 v. T- |4 G, ~$ y
+ t6 n! x: v+ t( ~ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">

* z% c5 Q0 i, J$ V4 y" P& o, e
: l( l' `6 q$ _9 A 众亦信安 & H7 [: l" m, @& H( H. Q, G
9 c1 f9 l# U2 o# N9 ~7 k
" E" L3 {" t9 G+ w9 L( T0 t 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> $ F$ e0 B3 w7 E* a$ K$ [$ [
; U% n& o9 T6 j1 D' I; t+ X) X
, T) b) X ?+ G/ ~. W ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 2 M! s" s7 b/ k! }4 w& n% e
( a4 N; I; F, J+ [6 h$ g
! d+ A* S. b4 t# o. S 公众号ingFang SC,serif;"> 3 e6 P7 O/ h2 {' c. r( s
3 f" V5 ]/ F; ]: o4 [; M+ m
$ f& X( ?- f- g) F- R- j
" b5 ^" W$ d: Q, ]! ~/ K4 x4 L9 ~
) n: R" c( O/ S K9 f0 S9 C' O ( S, K. W: ~5 _8 P% W: {
% P" W7 @* P h" v
点不了吃亏，点不了上当，设置星标，方能无恙！ $ s2 C+ Q. A# A# V/ c2 x
' U) s3 h: i5 Y& f ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ) e6 d% t: r( l D* q
t8 x/ E: M n. V1 l
3 z* u( t' g/ N, G0 ~6 x 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 5 L# d; u9 T4 V( q
+ P2 P' P- G$ L. M& D* ^) H
. ^% v6 ?. F) l0 m7 A9 ~ . n/ A) S% M$ L$ `
O9 R' M! \$ N/ Q) `" G& \2 C
e1 b& X: I3 W' j5 M 8 @6 s, v% {- ~) Z4 X- G) x
- E7 n! [ C( j3 |3 Y) X1 I9 ~- q 无线or有线 # R+ L3 N5 n* \
/ v3 h* @& }# U: n/ u! o; l * G+ Z* z9 l. b! P3 \* u
$ `6 l* g# f% G( _ . ~1 [$ Z7 j. j8 y
5 h; N6 y$ c4 h 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 0 x' v$ f& Z: }: ^6 q% K3 P
/ `: o7 z& w$ G+ e5 V' J
f7 Z( D& Q4 z! [# c$ v7 l 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ' P3 k$ Q0 t% w: u3 R+ W
L# d* C: n" h" t! \/ I3 v
& g7 b- `4 g' r5 B / E2 G% G# d6 a; l* N
. A0 R, J; `5 I! q
T) ]- }. r% C) n4 h- X 7 K8 f% `% P9 I! u7 p! l
# C- m8 J6 d4 Y% b9 `
+ y7 z. O9 N' n; W 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 , Y: O; X9 H# k# R, R O6 H: s4 O
: o9 s/ E0 K7 a5 l P
# z) N" f- l: Z4 C0 C0 Z+ ?( s5 S+ q 2 c1 O- H3 V+ c' w1 g
/ X* n4 ]; J$ W2 w6 M
9 ]- C+ U4 k+ p" Q" d. j 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 2 l; r1 ^! p7 _, S1 o
; s+ f/ K$ Y) s/ L7 W
6 F* S0 y7 w0 ?" b& s ( v( M% I8 H$ I
" K5 n+ H. O: A+ m( ^
5 J" @, \3 x0 R5 W2 {2 { 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 # d7 ?+ [! m. O7 ~1 {
* P; }/ J" I5 w. ~! f, U
# @" A, ? W0 j/ D# p 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ! g2 w" `6 l9 _4 V0 _8 ^
8 K+ O8 v/ B( \2 f% [
M/ @# f/ k& T4 Z9 Q; H 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 7 p( Y. C7 s( ^/ ^- ]
; z! u7 L4 ~% S3 n% u$ A8 @
6 a3 J3 V5 J8 K9 { . [! J% u* d$ H/ L+ H
* a- Q9 Q; e3 G 内网渗透 * A* I' S0 r& o5 k2 |1 ~/ }
! R. J# F9 R7 Y; h9 O9 Q 1 F: D. N' _; Y1 G" f @
( T2 H* v* o+ b + ~# r2 D3 G/ S! C. w* [0 u: b+ S
( k- G" m& F( ^( S1 V4 W1 q win下搭建cs和linux类似。 0 `+ U& X- E8 J% F( d
* W9 L7 m7 O2 ^2 k; z4 c2 M
% ?; S4 t) O( d; R# ^- @9 b
teamserver.bat + ip + 密码
9 z: Z: U+ K# O) u* w
9 ], j! z4 `8 V2 _
9 k5 J* @4 G- s 9 ^, t$ l, @9 [7 G6 K
3 Z p" {& w( t7 p: k4 Z8 e% T
& a! [2 t1 L' ^$ ]9 [; y1 d3 { q fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ; P( o) t9 }5 ]# A- @( j4 \% z6 [) H
3 a: F' V9 N3 T& x1 I
& t. X7 w. b) h # c* X0 q: ^3 M" S8 E; @
$ g7 A3 ]0 F: X. ~/ |9 v6 Q, s
, Q8 B, m2 a1 }9 W5 ?" {1 X * g& |$ C$ T* h2 ?7 b# P0 H
; B# [+ d6 b4 A
1 [$ r- l- k- U9 W& |# } 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
9 ]- y# d! R: X, X1 D8 ~- H0 h: G
1 L! n7 h4 T. v' z, s, r) } $ n u" F2 D! Q2 M3 k5 q
* V% ~0 u# n" _
( a4 d) r2 G. H3 U# b( [/ Q : c7 p. k- Y. P& z' \& T5 h
& F1 M$ i, Y) k( p; G
( B' O& b+ A( \$ X* d Z fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 - n9 D6 a' C$ `# H. {
. O5 {2 k9 R2 m7 d H( l1 y6 o9 y3 ?
; P4 `; i+ g f4 V4 p4 y7 F PACS系统 - N6 Z P0 P0 N
, U' K" f3 D- ~6 B5 A& m5 D
: C0 t5 ?0 K) P6 W& S; y & F6 {) n, ?$ s, N5 ]; d
8 ^' d* {3 M g0 Y0 p( m
9 `! f1 H& ^4 k% g$ D* }2 q U
& t8 S+ c4 d* ^9 x7 o& N( w- T
/ i/ W$ W+ L e& N; Z/ h 4 A+ i% p, f( j! g, N* ?: b) l
) p+ a; g1 O- X ~; D
k: W$ C( A* D0 J/ _# X" u; R HIS系统 " w' e! }0 _ T$ i4 _3 k) K$ F
4 u7 z; U$ s2 g
7 M. a% l" v+ A# B; _9 W 4 e: \% \" Z8 P1 f6 L6 @3 b
- n, t. L( Y3 R6 m# n) T
7 q5 H3 G4 z3 H " F' A" B7 D1 X) [- g$ J3 t9 R
; _" s( H2 H" H0 w
8 Y5 Z9 p1 B+ j# y ) \* ?( g0 F! N% J. y
U8 V" U+ U) f, q4 t) m
1 N4 m6 z& B' J4 d. ~! n$ ]! c$ j/ m 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 % v* ~& ] z4 v% J9 [% G% S W
0 _0 X0 u- o$ j2 Q
# ~6 v M9 v( E" g" |& Q5 E) x- j
# I' ?6 ]: O2 T8 H4 e% d$ Y) J3 M
2 p3 n, s9 {% J' Y7 u( h5 z( k: s
/ q+ f: l7 M2 E& ]: V
0 h" Y; @" I) I* L 后话 , ~. j) B* S& I* h! m I
i3 c, h- z# t/ _/ H
6 [3 g0 S* n6 f/ y 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ) x* ?. c+ j Z) K+ G
5 ? n! I0 ~2 C1 q. H# s: T \1 ~
0 R- f/ C T5 S& J4 a1 [ * [; s" L0 F3 |8 w* X7 A% h
# d' T) X: _+ \+ {+ [( {4 J , I* r4 n: h' M1 Z% X
6 C. m7 ]3 N; C8 j # J( @- k9 l p! h
, _* O2 S! ~5 z) I# ^& | 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 + f( h) D7 I6 [* }
5 z6 o6 [. ~, \/ k- k/ m+ `' I! p; f
: R H2 i) V1 H" x ; x3 }8 v; {; u- k
5 q7 d# R8 g1 s2 G1 r6 r' u

中国网络渗透测试联盟

- E7 n! [ C( j3 |3 Y) X1 I9 ~- q 无线or有线 # R+ L3 N5 n* \

* a- Q9 Q; e3 G 内网渗透 * A* I' S0 r& o5 k2 |1 ~/ }