找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 记一次某医院渗透(近源)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1950|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

9 Y0 Y P5 l4 m# K( } 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 ; v, R. O0 B6 w/ d$ ?* f) B+ R+ m

, ~9 V$ U( m( B7 P

" n$ G$ g$ P+ p8 Q 众亦信安,中意你啊!
9 q: w& X, x: n* z) L
7 x3 x Z. _: p3 g: P( SingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 4 w% `$ M; u6 D; ^% y/ T' w0 d' p% d

$ E$ Q$ D) z1 G0 G: F

: b# n. p( [5 G) W- G ingFang SC,serif;"> 0 E& J, Y/ k$ w8 `4 ~* |" q" ]

# t2 V2 M( j: B% }: I
6 P- @% ^, d1 d, D

) C1 d2 N/ ?, d! ^. t 众亦信安 1 x: H! K# Q1 |1 u2 v! F: e! w b

0 D( d6 u9 S( P: x- f1 |

; O+ z0 \3 o; R1 @ c 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> J( L* z. P1 ]- K8 Z8 n& {

1 w) i- ~1 H9 P1 I! z/ u

8 o+ r7 F* `' N ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> : m, @8 I$ G6 p: ?6 ^

! R" ?+ z% u+ ^6 A, l8 C

& M+ c$ ]9 `. R2 e 公众号ingFang SC,serif;"> ; _. k5 l) w8 l% w" ]7 m1 ]2 C# G

+ i+ a) U# {: o6 C) P

2 ?* o, k2 P1 U3 R3 t7 K) H' r
- G" ^. S% f) M: i, d0 R* Q [
4 O6 _9 s" A1 i3 ?) O! A2 ?/ o * i- w1 {0 i4 S* H

% k/ @/ l) C+ @
点不了吃亏,点不了上当,设置星标,方能无恙! & k8 X6 u% t) u4 ^! A* `

8 ?7 ~$ ^) _, ^+ b. Y) t# b1 e ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  % p# ~' o/ v$ f/ Y, Y6 b* F

7 h9 t( ~$ f# q

/ `2 g0 N, r* l3 i8 x* A7 x! { 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 ; d* L7 |+ q! C: z% ~

0 ~3 d. p. z( }. x

Q# L6 r& u3 V2 w: Y4 b" \. C+ `* B   7 b$ e$ c' W7 @. u4 `- x% [

5 b' ~$ A; x/ l# k
6 t$ i- }/ _& x% w. M 8 _5 i X0 q- I" M

3 e( b- H; {/ m+ b8 h+ _% I* V. k1 H 无线or有线 ( E. g1 G6 `' j

. u8 e0 V& a, W! p6 { & H7 V3 z- S& O2 h6 ^; r, D
3 i0 J( Y) x8 i& k7 h# J ; |; {8 o4 i/ B4 K, W& S

1 w( E. ?/ w8 ]+ p 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 9 e1 {( E$ V8 K' ]0 p' l$ u: t

3 n* I; v P) ~2 k0 c: c. z! V

* ~" P2 j! U5 N 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 0 k) h G% x+ H: B; `1 |* [1 j

1 J# E. r0 L+ Q* \6 ^8 p

# t" H. X0 v, A9 s& B vshapes= 3 f R2 _7 }9 {0 A+ C

( n, h" b0 A- x% N Y; x; }

5 R6 [3 l: B- R! h2 N6 n' a% U+ h vshapes= ( V# i7 Y" g% {- ~

: H' E, L8 N9 C. B

" S1 D0 c5 }/ z+ n* d/ X 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 ! V6 h1 D, [/ m6 V8 L, T

* N1 m0 S; r! d. i0 @

! n% H- v/ D2 r; S" T- o# a vshapes= `, w( D% F% B8 M3 T( w% U- T

4 S) c. ?$ R. L6 U

3 W- b; l D3 m/ P8 w 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 : ?; }* f1 E7 c# Y

: D. M0 \2 K; i3 X' v( r0 p. n1 ^

# K* ]. Y4 L& c; Y% m, z& `' B vshapes= 1 L; ?0 U# o1 @

& W; Q3 s0 _0 C

) c+ ~% D6 n3 l' G9 h" c5 B8 m6 L 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 1 d; A7 Z" v. w! J0 S$ [

0 c4 c; b: T. d

6 o: n% q; B# j, g3 }' X! Y6 E 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= * G2 w+ C4 Y# ^* X2 `/ `3 u- x! ?

. r0 f% ^ B, u: G% q' K

" z: A6 T1 v& l. v+ p: D/ S 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) # D O+ r; C0 O: v

; ]. B2 B6 X6 q
6 J! A( `+ A1 K* q% I( \ ( Q9 y; I" x7 x T

+ s# s/ ~( C4 X4 X2 V& p! H) K 内网渗透5 g: s8 D* ]6 o. j& ^7 W. R' j

9 l' E+ o1 ~/ w& `5 W- N* o 9 Y9 M5 a7 E' X4 R
" B2 P. [: U' n& s) o+ `; E6 ^$ t! @ $ X, n5 w: L) @

# f/ |. B4 o1 k0 M! B9 u8 y; W7 q# o win下搭建cslinux类似。 z; t* ~# p4 }6 m; ]' T, ?) B

# X/ t9 m B( `+ v! f, Z
8 {* v+ I' z) `
teamserver.bat + ip + 密码
) D: D% {9 i; w* G: N" k
/ m2 F( D7 n4 `* R$ F

* ~* c+ n' }, D1 p+ @3 p vshapes= * o# u8 X6 C _6 @# G7 _

; @! D" k7 a. t

3 P( B1 e9 }+ q+ f3 r* p fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) - t8 [2 Z W* i! ?0 b( C

/ y( m, v& b1 A" R; K9 A

. D1 \8 g% k: [" U6 z# h8 U vshapes= ) E; P; q. y S& }% o

0 m/ T2 G' Z# [ ]

% }6 D$ [8 T( u8 A' A vshapes= & ^$ `) r" f, U% Y

" c s& P, }6 l( t

$ B! t; i+ R6 \) a9 ` 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
8 N2 B' p o# D% k# [' I
" x2 X: Z# ~7 p( y6 g5 p ) B' r# P. `$ }: @

) n4 Y/ i' a: k0 m& l9 q, g, z c7 h) d

. o, k+ G1 e" p* A. f vshapes= & f4 e4 {: _7 }: U' H/ Z( h

2 [6 C0 S: _) q$ ~

' I( ~) `& a9 S! J7 \ fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 $ _ t( W. q, T6 i1 g0 L

* ?' |4 x" P% {4 a: c

% d ]$ ^4 R! k% h- F; a4 Z! s PACS系统 ; [! H: w) b; k' f

# c/ z1 y/ q$ N [" Y, L h5 _/ K

; G1 f: Z5 C+ r3 E, n vshapes= 7 O0 a) E* R( L8 z

+ e- Y3 I2 ]# K4 h- C

. x& Q( b2 \. h$ Z( c) i( S vshapes=
6 A( D& y; b! N: b F
# v* {& D# g: A# `& r! k3 j% D) Z8 F : n+ T3 J# M8 d4 Q, q( \

- N1 N. @+ L4 R* s2 M: K# c e

4 E. \9 E2 h& C6 b$ M( Z p( F HIS系统 6 w" O1 B9 y2 I% N. j

8 N0 G! z7 ]8 o2 e6 ?+ i

8 @ t/ N# x- E' e/ d. s9 ?4 e- P vshapes= ) Z/ b7 A9 p" z7 M) ^4 o

+ |9 z$ F; @6 q# g/ b% w

( |9 w5 K" x) V5 Y   6 q. d9 ^% X" ]4 U+ P# ?$ D

+ {6 _0 o5 V2 |9 }* d

; }2 ^( z3 ]6 n/ @ vshapes= ' Z; A+ L) H. c* h3 G

+ E. K4 A; G) `& e

4 H! K; W' b$ g1 k 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 $ j% m$ ~9 `" X) y

+ ]$ J0 w3 I4 \& X5 j7 v% i

/ m, Y5 e; E% }
# ?2 Y$ n% \! `+ ^8 w9 i2 t
5 o7 u; P7 g: f; Y8 S/ [. x# M* ?' p9 P. C$ J5 {- G& |2 I6 d

/ L+ c# K3 o; q( z

( ^2 x/ {% J! x: I- E; ^3 b 后话 , v% W- e. Q/ ]7 F6 J

% T! n: _( ?( H2 C8 t7 O8 X

+ s* i% r8 d5 T 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 6 Q8 H4 f2 |5 q+ a) M

( x( r( J: D- }% `( z
1 z) o" |/ [ i% J$ b 0 P& w# K* L0 ]2 ]
( X% F- R% i, V7 p r( c % t) }5 P4 P* j& F
) l8 r. w; G! C; ~ 3 z+ E; l( t7 Q

3 E- w3 a5 c4 s7 o- ^8 A& \7 \ 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 - J7 F0 T4 O7 ~: W' X" G

/ r/ \8 h6 O: p. B4 |: a

( u7 `5 B% r% b, V   7 T8 {) W/ q/ K

- t8 u! p8 E. v, |7 U* A
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表