找回密码
 立即注册
查看: 3384|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

3 q( w3 R4 L& N' d9 n 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 - h9 a2 `. I# J3 J' c3 b$ q

& b9 l9 l1 v6 x+ c( ~

( j2 F" w, p7 y8 M! O7 I! V, ]) t 众亦信安,中意你啊!
6 |5 b, ?/ t, ~
5 F( Q! i: f* O' N) z ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
4 f* G, j. Q! m. b& r

- v$ k$ l( I8 |' e, `- t

: s" W/ n6 Z# F ingFang SC,serif;"> ( U3 L5 N, c8 \. K- K: b/ V

% c$ L/ F/ ?" C, p9 f
3 q6 O! O) U% n: E X9 D! h5 x

" I1 V2 F5 V1 y5 A) ]* F- ?- v 众亦信安 3 R+ x7 Y1 C. Y8 P8 I

+ q! u* {" k: O' b

1 x# X9 k3 z& g! g" X3 M5 E; Q2 q 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> . z( L3 c& d) P+ X4 R% Y; D

1 K2 H x' J* N" u* o% [, u- l; P) {

/ m- {% b3 `! P9 o0 V/ L/ G ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> " D9 [/ J w) E* u8 G5 a

/ @ p$ F U' f2 W+ X

* b" ] C/ o# C7 i1 b9 A1 I& N5 n2 U 公众号ingFang SC,serif;"> ! T9 O6 [5 ^+ \! M. |

* e( R6 Y( Y- h% s5 l5 x

6 O) P, w6 Q7 k. a. h* y* E
& ^9 ^4 L- [: L/ p. m2 S0 [
7 p! A7 S3 h3 a; s. Q
4 w2 k, E& C/ B: K' J( g

' A& L7 P! o' r
点不了吃亏,点不了上当,设置星标,方能无恙! / P# S9 B/ } ]7 Y6 h! r% B7 f

% q$ ~8 V) N9 i: l/ U/ N ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  9 G& k1 D& G2 i* p: O

4 B1 }: e5 G$ d* V

6 p i# m: y/ P: u& @6 p 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 % r: `+ x8 A' P2 {

% z1 @3 z' Q& _- g# y

{- R# y7 W4 n. }9 Y. g   - v: {% |6 j* b9 [

; d" n8 W) `& T& y! [$ r
/ N8 _& C' R& ?# H6 `/ H 0 T+ T) O3 |( Q) X- f3 X

+ V9 G1 x! i( l8 i: ] 无线or有线 ! h. H B' O6 p& X* t

) J1 v! d6 d' |7 U, w- s* X
& T) B$ p: u, X5 ^" f" R
0 X0 k. `" @2 L/ J " ^" r+ G; P1 {" q" L1 l

7 ?7 X. U) J R7 f' g# E+ u 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 7 N% n0 p, _5 r% D o

$ K- r, h3 d7 {# Y$ V0 ]

! A) J. ^: I$ E 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 8 D8 s N# y) q: n" X# H

8 z/ e; [2 D9 ?# C% _9 c c8 x

) M4 Y; W3 |% a$ P vshapes= $ p/ i! a; C) P5 Y) x8 ?. E

) |, l/ r9 u, X( {8 a# A- D

- ?# m. B+ m' u0 w/ W5 ]7 _- | vshapes= 3 Y- x; H5 Z9 a, ]

9 o* L, d, W# G# c

% ?2 D2 \& R( X1 |1 g$ x 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 4 K/ U9 U0 ?6 U6 S- `1 _* Z1 j+ @

4 A7 M0 Q! Z" W1 W- d

; n" a. L( K' \3 p9 z% Y9 m/ g vshapes= 8 K" E( g8 x) S8 U. ^

% _5 F# i; k/ I: ~/ j

+ y& ^, S& x( i; i1 ?% y 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 * x* H3 t B# x$ k4 t, f& v

5 A/ z6 @1 j' w9 l) d3 Z$ ]

{5 M# m0 e( U" f; b0 a vshapes= ! h; N1 U, ]% f' L! }3 Z

6 V( n; I+ @' R. d9 D. x

% R5 v/ g1 J, ~8 i" z+ e3 c 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ) n2 A3 y5 Y( G: A Y

. N4 h# ~0 p; T% W

4 j/ E+ q# G, k- z7 T4 k3 N 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 5 ?4 ]8 u; z Q2 ~7 f' Y/ n

+ P3 t; z% O" g' Y& ^& f

& H$ `0 o1 O7 y* d 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) $ P0 n& _6 t4 ]! }, q. q

% @( E) w( b+ D. b: [ e
2 y; ?# ~# Q2 c$ F ' \ ^4 P- ~+ b$ V! o+ T3 u. w0 K

9 G5 `) Z. v6 a3 R# G1 W( G 内网渗透 , Q4 \6 W2 |+ O8 v; D

; _+ E c5 M! i: k9 z0 t
( K+ e/ Z, h% }
( o" J4 [9 E+ F4 p9 w5 z 1 ]/ L1 | ?- b/ ^/ G$ @

: {9 f) X# n) q4 V' S win下搭建cslinux类似。 o" M5 p; M) _+ j4 n# ~

# y2 _7 z& u) X1 E# J
) E/ z) P! G1 E ]7 F X" m
teamserver.bat + ip + 密码
4 |$ j) n; v/ Z( ^; h# _
+ ^# O9 d% J* n& |& x5 g

5 h; T% k- W$ F) h0 B vshapes= ; C. D. f8 A; M# }) i6 d

- K! d9 ]$ C9 u5 @0 e: x

4 ]) n e# w8 h- @3 ^7 F/ q8 k fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) 3 Q5 o6 ^' |5 M# M* ^

3 I6 g( x* P% C& n1 B& s

! Q( v% m9 d9 a9 t0 `. K8 Y vshapes= i# h- I: c f4 ~4 D7 S

2 k1 c) J& ~+ Y8 v

+ M7 }7 D3 k0 c/ |1 j8 ^2 ^) V& {0 F vshapes= 7 U. Q7 c8 O4 c; U# p, i) Y4 O A

; R8 p: B) X/ S4 z! i, `# a$ N

9 n6 N% T. c* p7 W, w 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
, d) a+ x( |4 Q% w. q' v
) }! {! V9 z' n/ E" g/ ] a
1 D e( _/ ]1 n$ d3 c6 m9 r0 e

& ?! V, [' j- D$ z

3 ]' }. m$ }' J# s9 w. g% \ vshapes= 1 x9 ]: A B D

" E$ z3 o# H2 |8 z Q, u

, S( Q, S9 b* E2 Y1 i fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 0 S' y6 n& }5 V+ n

9 Y1 C2 u2 Q& J1 C

/ l+ t% a& j' W PACS系统 6 ]; b# ~( E+ U3 F' l+ t

" \- {8 ~/ ] |, b! G

, }% f9 x# S/ t& U- e vshapes= 5 O- G# ~ @8 ~" M+ B% S6 I# K

* h; ?5 t+ ^, U9 w! o

- T M+ x, G* \3 |% ]5 L) d0 s vshapes=
; b+ S3 r5 p- l$ N# _8 b7 n
0 w' b1 e8 U+ c. d" q* k
$ L* w$ r4 ?( z$ Z4 S& P# r) f& b

7 G- m: E3 E+ y" m' ^

; t8 }% C( O: V HIS系统 & A7 V4 l- y; g

9 V1 E" N6 [/ i! Q

2 [2 G7 [: l \# ~: K# a vshapes= @% d/ V1 a7 H# [9 H& d1 }

7 u3 z6 G# Z9 @6 H

, m$ ?6 K+ x$ c) r+ p+ D   3 V; ^& Q6 i( D" }

, y8 |# h( W4 Y

; D7 t x9 {! U' }( C# E7 w( i vshapes= " h) j6 y( r8 A+ M [( R

2 t- ~9 J. ?. L9 | r

! ^) \5 }& \4 K: g 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 8 e$ k+ {7 _' c; f4 o' s

% ~0 Q& u& n: H: M- K

# T1 G& z$ h+ p: J; ]4 Z1 p
: ] e- \" |9 j( N- T
) i5 f @% q/ B/ o1 M. D0 T
2 [" Q& h- Y0 I

+ ]7 O7 R9 J/ N. t/ w

% d/ \; R; h( L/ n7 _" \, c" T 后话 5 E( b/ l* X, h! U& \; l: U

" X4 U5 I; H( H h2 |7 M' t2 o

5 s1 ]! C* S1 x% e+ u/ p. e* \ 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 7 ?) }) f$ W* C: \% v$ ^

' r4 \ d+ T6 B, z5 L, q, W" @
8 u/ P+ I* L1 Y [2 s7 U3 E" S- K ^ " n: N. y& g) a+ `" J: @" t
1 m) r7 _0 n1 v8 x$ _; X
4 y; P& r5 }4 {7 t
" ?; {2 q, U5 }/ H( w. d # ~ R1 u! z% u7 ~$ i& {8 g' V

( p o; g. T) r( z 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 3 l) `; {8 p3 n$ v; {- U! m- ~

' V. x. H D( q: A3 b3 i. z

' a0 d3 l& S) A! N- o# [( b   / v3 _% C8 g* J7 l! [7 r. J( `

9 z% _9 T% X' Y# l' }$ U# L) F7 ~
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表