找回密码
 立即注册
查看: 3382|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

$ x+ C) n& I% u) \ k j 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 * S: i$ b5 ?3 C* ~% v

. m8 W1 O# Z! N

9 Z. ]+ B1 W+ n# o3 X+ k, t 众亦信安,中意你啊!
" X% `* b" `3 |- v! z2 M3 `+ |1 L
3 _0 V1 @3 F N+ O9 j ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
+ {! Z, p+ T; K5 F1 l. f$ K

! `4 ] U* N" w1 J1 ^ i+ g* F

) I0 r5 G7 c+ T. p; H9 o ingFang SC,serif;">5 o# H: q ^: B r3 p$ v

. `' w9 e3 ~1 h1 |# d q+ C5 _
Y( ?. R) O1 C& k; s- c0 q

) M" s, k5 O# V5 [% A4 ` 众亦信安 * R. z" U; u( ]! j3 b6 ?5 s) v% |! B

, _% G% j, J: A1 n9 K# ?# w* w

/ q! a+ ~# a# b% ^( d. }) I. U, W. v 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> z) U% q. i& B" C7 @$ o& {

! p0 t' ^% C$ k, _2 W

: T3 z8 A/ ?8 K; d: T* L ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 8 Q( k% H) {& x9 G- S! z

: r" h/ _' }( }

" I& c# K; h; j p 公众号ingFang SC,serif;"> * A% g+ G4 o0 L, X# v/ m( H- Y

5 d' ]. ?7 I2 B$ T" f

2 b! S( X( b* T* F/ `
h$ Y P9 J+ c8 w* z" y
2 ?# f; ~" G5 b) X- ^: e
5 V+ _) G6 g9 ^6 o

i8 s, b% M3 V* x
点不了吃亏,点不了上当,设置星标,方能无恙! 3 |: y3 w- _9 ^# j" g& a

, K8 e4 Q* j% r2 |0 w# t& ]1 H ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  % m3 e9 ?9 u! Y. S

/ d+ {9 x; v; |0 [ x0 D+ b

' n% I2 q9 S- S2 K( K 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 7 x0 G! i- u4 V4 f

, q ^) ^. P# S3 B* Z( p* ]! ]( B4 O

( {4 M9 _2 \: y( M   + z% U& S) I/ h) \! v

( ~0 K" y5 L u9 E+ F. O
6 ~9 z. q( N7 l$ H 1 Y' Z% {0 t: L R

; E3 c7 k* Y* k; ^) K) I' C 无线or有线 4 E# p p% N& D& L& ^$ M7 T

- L. o; H/ m% R; j1 p* c3 {
/ [3 ^. k9 \0 p: R
: H! G+ i% d% X. b L% `6 e * p/ n, @& h* B7 }( t

& ]9 ^* P: D$ i) ^ 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 - M3 P0 S$ }" m! c* ~" a! b

# d# l# c( ^- @, m7 D6 i# w

@3 x7 x) l k4 O- o. r 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 - ?. s0 ]: s$ ]( z1 J

% }* S5 p7 l- `) l6 p2 y. K

/ a8 L1 O4 E9 @( M2 I3 G2 W vshapes= & `( n2 r# K' q s5 q

- h* ^( p/ I" q- N6 h Y, U3 d

; V: i/ w) B6 ]+ Z6 T6 ^* d- @6 H4 P( H vshapes= # H0 c6 M h3 G1 I2 K

; f) n5 A U" n- n' K* k

, V M- A1 Q: [' O 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 $ E7 L ]' A" S

3 Q/ {) f t4 Z: v+ N* V

9 m8 y T. Q: P0 L vshapes= ]- _ M. g8 L% |% c: s+ v2 h6 h

" y( [# Z* `9 b

* J% Z( I [) H( \) U* E 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 8 o6 M \" s! I3 t9 U8 |

3 L) c6 m# N6 t# }0 P' ?5 ^9 U

6 O5 u& X0 J3 e( ~3 y vshapes= 7 i+ b, w/ U- ?) e$ `/ i S: F( j( D

: i9 L$ Q v9 S) }

( |/ n4 O8 l2 j p 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 3 a( @$ s+ e1 l. V) t- ~/ B

# W8 p4 d2 V$ f& i

9 H+ D1 f" O d' A 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 9 q9 U k9 H. m# b1 s

' G# f4 z, i# M( b1 |

. Q ?; l0 Q+ i" D+ f j' @5 A! [ 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) 6 w9 e. B2 i3 Y% S& W0 g

& O, T3 X0 E1 R$ C2 Z
, d: T( f2 O! `- |2 S! @ 8 `, o, K! M% T1 s) H( k6 F

! b) s) e/ D9 M9 D9 P9 a [. L 内网渗透6 O Q) [5 d0 Z8 x ~. m! X

6 {1 F8 l6 T4 j- @% B: p
% P. g1 X4 C* E
8 k. k1 ~3 W6 T. p" G ' K" J, M2 }: d$ h) ] f

+ X: ?) ~3 ] q8 ] win下搭建cslinux类似。 2 k' ~5 `+ x" {7 l1 m ~! f

1 y, M9 T3 m# v+ G2 G
, U# }) W; }2 ] I
teamserver.bat + ip + 密码
2 j" ^9 K F- Q( p8 a
" [% K d! X& x

- n9 ]7 |% j1 c# F0 p vshapes= . V! P& X0 Q& W4 Q7 j8 J# D: Z' B

3 f2 F0 C" m/ n' y' n8 t( E

: B# J6 V8 s" E6 P( z2 f fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) + `6 L7 O, b" B- G

9 K/ c% _6 @6 W9 ]+ {

$ I) A& y M. d vshapes= 8 Q' _- z+ c" R2 V# c- ]

5 y; k- V: V3 ]6 l5 s5 b+ `

6 b: R% }! D: ~& d% c' ~ vshapes= $ z& z, M/ W1 ^' Y2 \* U3 @

, j! X* I/ D3 Y6 [# Z

/ J7 J% y& }9 U6 N6 J7 V9 k 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
f b2 n3 K. g! v% r
' H# K1 h% [9 g$ J! s/ c
. e" ^) a' T: W3 g. F' c" |

" j+ `- O( y4 @$ ^" g8 o: I9 @+ }

2 [' k- F! h- x8 X9 N vshapes= 9 {0 N8 f5 n/ [* W

. x/ v* E. j) i

; y: A; s( L) [9 N fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 * F/ G& s) l. u0 A$ N

; I: l+ f, ?$ F) s# ?( d7 b

+ {: G" G `( Y9 O- {9 ` PACS系统 $ g s5 F9 d/ [5 S% I

: N- c5 F" W/ b1 K( x

' E- M5 l2 P5 B( ^& I, S$ F+ D vshapes= 5 e- r! [0 Y; I, w2 a$ D2 C

F7 H( O: Y! p3 W. Q& \

( s- H7 \. W" J0 l6 a vshapes=
4 m; n& @% t% H5 n9 p. n
# o7 R3 @: ?) f7 ^" {+ Q
$ {6 ^. D: c8 T# [

& u4 m2 g \. k9 g2 K5 N# K+ `9 [

0 Z$ [7 f/ D3 {( w7 |1 @4 [ HIS系统 % T) h) D& ?3 I) A4 N9 ~- d

2 B/ U! B1 c, t9 b `0 h+ p: ]8 ~

( g" f1 ]2 @6 l7 Z, b vshapes= C* J5 w( u& r# o! M

, g& b$ v; i0 W5 m' S

! b* w9 M: E/ [5 x; v: ~" T   4 n6 i$ H) p; G5 j2 G) n

3 ]3 U3 v- f( Y6 t- p% ~

/ Y+ i, {; a% a* J- n( X' J vshapes= 5 g( e+ R! K' T: h

; I8 P. G8 `( a" t' V- {% |" B* M

5 Z1 B) I/ ^6 i% o/ S4 w 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 1 ]* a8 x9 b: y( k+ I

3 h5 Z# B% B" F2 u& u3 z# \

) F2 _2 J- h9 ?7 i' H7 t$ y( ?' F
/ H1 I) x& Y( T4 ~9 M( v( s
! e( V+ |, z p) m* }
7 X$ Q0 N. {& A5 F2 z) M, `

' h9 V: P( Y* U* W. h# J

, {1 {& [9 ?2 n 后话 3 l. {! N, J. Y9 u X7 Z8 y

: T7 E+ P% R$ O5 ]& Y; q% \2 D

' p8 M9 S$ H4 K 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 0 s% \* E3 V. r6 w: X. |

( ]" \4 I9 t8 d! J
2 v) Q$ ?8 T& C* L, O ' C8 ~: h* B F ^4 c8 x! f
+ T+ J+ X, l+ c+ W" X
" Y" P% ?- n( c1 `! [
3 r! S" E Y( v5 Q7 c ( ]( ^% `' E5 V$ B3 W/ s

. i% o9 N( u( Q4 ?6 d. \; W 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 ' q/ m6 o$ |7 Y; ?: a

b% W; C' N! r, z1 @! N( Y L/ U

# |$ y, ~% b) T+ B% m( K   ( e: f- V. s# F. n" ?4 X! ?

6 l* I i" n, r4 J- ~- `/ w! Y
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表