记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

3 q( w3 R4 L& N' d9 n 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 - h9 a2 `. I# J3 J' c3 b$ q

( j2 F" w, p7 y8 M! O7 I! V, ]) t 众亦信安，中意你啊！
6 |5 b, ?/ t, ~
5 F( Q! i: f* O' N) z ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 4 f* G, j. Q! m. b& r

: s" W/ n6 Z# F ingFang SC,serif;"> ( U3 L5 N, c8 \. K- K: b/ V

3 q6 O! O) U% n: E X9 D! h5 x
" I1 V2 F5 V1 y5 A) ]* F- ?- v 众亦信安 3 R+ x7 Y1 C. Y8 P8 I
+ q! u* {" k: O' b
1 x# X9 k3 z& g! g" X3 M5 E; Q2 q 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> . z( L3 c& d) P+ X4 R% Y; D
1 K2 H x' J* N" u* o% [, u- l; P) {
/ m- {% b3 `! P9 o0 V/ L/ G ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> " D9 [/ J w) E* u8 G5 a
/ @ p$ F U' f2 W+ X
* b" ] C/ o# C7 i1 b9 A1 I& N5 n2 U 公众号ingFang SC,serif;"> ! T9 O6 [5 ^+ \! M. |
* e( R6 Y( Y- h% s5 l5 x
6 O) P, w6 Q7 k. a. h* y* E
& ^9 ^4 L- [: L/ p. m2 S0 [
7 p! A7 S3 h3 a; s. Q 4 w2 k, E& C/ B: K' J( g
' A& L7 P! o' r
点不了吃亏，点不了上当，设置星标，方能无恙！ / P# S9 B/ } ]7 Y6 h! r% B7 f
% q$ ~8 V) N9 i: l/ U/ N ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 9 G& k1 D& G2 i* p: O
4 B1 }: e5 G$ d* V
6 p i# m: y/ P: u& @6 p 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 % r: `+ x8 A' P2 {
% z1 @3 z' Q& _- g# y
{- R# y7 W4 n. }9 Y. g - v: {% |6 j* b9 [
; d" n8 W) `& T& y! [$ r
/ N8 _& C' R& ?# H6 `/ H 0 T+ T) O3 |( Q) X- f3 X
+ V9 G1 x! i( l8 i: ] 无线or有线 ! h. H B' O6 p& X* t
) J1 v! d6 d' |7 U, w- s* X & T) B$ p: u, X5 ^" f" R
0 X0 k. `" @2 L/ J " ^" r+ G; P1 {" q" L1 l
7 ?7 X. U) J R7 f' g# E+ u 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 7 N% n0 p, _5 r% D o
$ K- r, h3 d7 {# Y$ V0 ]
! A) J. ^: I$ E 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 8 D8 s N# y) q: n" X# H
8 z/ e; [2 D9 ?# C% _9 c c8 x
) M4 Y; W3 |% a$ P $ p/ i! a; C) P5 Y) x8 ?. E
) |, l/ r9 u, X( {8 a# A- D
- ?# m. B+ m' u0 w/ W5 ]7 _- | 3 Y- x; H5 Z9 a, ]
9 o* L, d, W# G# c
% ?2 D2 \& R( X1 |1 g$ x 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 4 K/ U9 U0 ?6 U6 S- `1 _* Z1 j+ @
4 A7 M0 Q! Z" W1 W- d
; n" a. L( K' \3 p9 z% Y9 m/ g 8 K" E( g8 x) S8 U. ^
% _5 F# i; k/ I: ~/ j
+ y& ^, S& x( i; i1 ?% y 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） * x* H3 t B# x$ k4 t, f& v
5 A/ z6 @1 j' w9 l) d3 Z$ ]
{5 M# m0 e( U" f; b0 a ! h; N1 U, ]% f' L! }3 Z
6 V( n; I+ @' R. d9 D. x
% R5 v/ g1 J, ~8 i" z+ e3 c 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ) n2 A3 y5 Y( G: A Y
. N4 h# ~0 p; T% W
4 j/ E+ q# G, k- z7 T4 k3 N 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 5 ?4 ]8 u; z Q2 ~7 f' Y/ n
+ P3 t; z% O" g' Y& ^& f
& H$ `0 o1 O7 y* d 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 $ P0 n& _6 t4 ]! }, q. q
% @( E) w( b+ D. b: [ e
2 y; ?# ~# Q2 c$ F ' \ ^4 P- ~+ b$ V! o+ T3 u. w0 K
9 G5 `) Z. v6 a3 R# G1 W( G 内网渗透 , Q4 \6 W2 |+ O8 v; D
; _+ E c5 M! i: k9 z0 t ( K+ e/ Z, h% }
( o" J4 [9 E+ F4 p9 w5 z 1 ]/ L1 | ?- b/ ^/ G$ @
: {9 f) X# n) q4 V' S win下搭建cs和linux类似。 o" M5 p; M) _+ j4 n# ~
# y2 _7 z& u) X1 E# J
) E/ z) P! G1 E ]7 F X" m
teamserver.bat + ip + 密码
4 |$ j) n; v/ Z( ^; h# _
+ ^# O9 d% J* n& |& x5 g
5 h; T% k- W$ F) h0 B ; C. D. f8 A; M# }) i6 d
- K! d9 ]$ C9 u5 @0 e: x
4 ]) n e# w8 h- @3 ^7 F/ q8 k fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 3 Q5 o6 ^' |5 M# M* ^
3 I6 g( x* P% C& n1 B& s
! Q( v% m9 d9 a9 t0 `. K8 Y i# h- I: c f4 ~4 D7 S
2 k1 c) J& ~+ Y8 v
+ M7 }7 D3 k0 c/ |1 j8 ^2 ^) V& {0 F 7 U. Q7 c8 O4 c; U# p, i) Y4 O A
; R8 p: B) X/ S4 z! i, `# a$ N
9 n6 N% T. c* p7 W, w 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
, d) a+ x( |4 Q% w. q' v
) }! {! V9 z' n/ E" g/ ] a 1 D e( _/ ]1 n$ d3 c6 m9 r0 e
& ?! V, [' j- D$ z
3 ]' }. m$ }' J# s9 w. g% \ 1 x9 ]: A B D
" E$ z3 o# H2 |8 z Q, u
, S( Q, S9 b* E2 Y1 i fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 0 S' y6 n& }5 V+ n
9 Y1 C2 u2 Q& J1 C
/ l+ t% a& j' W PACS系统 6 ]; b# ~( E+ U3 F' l+ t
" \- {8 ~/ ] |, b! G
, }% f9 x# S/ t& U- e 5 O- G# ~ @8 ~" M+ B% S6 I# K
* h; ?5 t+ ^, U9 w! o
- T M+ x, G* \3 |% ]5 L) d0 s
; b+ S3 r5 p- l$ N# _8 b7 n
0 w' b1 e8 U+ c. d" q* k $ L* w$ r4 ?( z$ Z4 S& P# r) f& b
7 G- m: E3 E+ y" m' ^
; t8 }% C( O: V HIS系统 & A7 V4 l- y; g
9 V1 E" N6 [/ i! Q
2 [2 G7 [: l \# ~: K# a @% d/ V1 a7 H# [9 H& d1 }
7 u3 z6 G# Z9 @6 H
, m$ ?6 K+ x$ c) r+ p+ D 3 V; ^& Q6 i( D" }
, y8 |# h( W4 Y
; D7 t x9 {! U' }( C# E7 w( i " h) j6 y( r8 A+ M [( R
2 t- ~9 J. ?. L9 | r
! ^) \5 }& \4 K: g 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 8 e$ k+ {7 _' c; f4 o' s
% ~0 Q& u& n: H: M- K
# T1 G& z$ h+ p: J; ]4 Z1 p
: ] e- \" |9 j( N- T
) i5 f @% q/ B/ o1 M. D0 T 2 [" Q& h- Y0 I
+ ]7 O7 R9 J/ N. t/ w
% d/ \; R; h( L/ n7 _" \, c" T 后话 5 E( b/ l* X, h! U& \; l: U
" X4 U5 I; H( H h2 |7 M' t2 o
5 s1 ]! C* S1 x% e+ u/ p. e* \ 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 7 ?) }) f$ W* C: \% v$ ^
' r4 \ d+ T6 B, z5 L, q, W" @
8 u/ P+ I* L1 Y [2 s7 U3 E" S- K ^ " n: N. y& g) a+ `" J: @" t
1 m) r7 _0 n1 v8 x$ _; X 4 y; P& r5 }4 {7 t
" ?; {2 q, U5 }/ H( w. d # ~ R1 u! z% u7 ~$ i& {8 g' V
( p o; g. T) r( z 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 3 l) `; {8 p3 n$ v; {- U! m- ~
' V. x. H D( q: A3 b3 i. z
' a0 d3 l& S) A! N- o# [( b / v3 _% C8 g* J7 l! [7 r. J( `
9 z% _9 T% X' Y# l' }$ U# L) F7 ~