找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 记一次某医院渗透(近源)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2358|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

( u: D1 {1 \* ]: w9 c 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 / a" l0 L- T, |2 `

G5 B) I8 H: d1 ]) s

4 e. p, `8 p# { 众亦信安,中意你啊!
4 M4 ^0 e: [. h- w
% f, f2 Q" N; S9 E5 IingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ' J0 h- q' l4 v: j' W

4 H: t- y1 y8 x5 t% I8 X; \# Q3 W

3 m( m$ Q4 C9 t9 y ingFang SC,serif;">0 b, m1 L- H* @: b

0 E& \5 C2 p6 ~5 m" ~5 h
) p8 i4 C( F, a3 W/ X3 [

! o0 F3 d: I4 e' N7 r: M) m 众亦信安 / v3 Q' h. Z! h4 I! e D! M0 I

* ?5 m( g" ?% r- H3 D

7 ^5 }( ?3 b( E8 v 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> & s* B# I' Y8 h5 j! d/ ? ~' c

* V9 p: T4 L/ x$ R# y# j: a

2 t7 x* j0 m- Y- D3 q2 t ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 2 J, a w& _# H4 b

6 u6 U6 p+ y& I; Y7 q

: d8 \2 k1 N( Y3 t6 q 公众号ingFang SC,serif;"> * \7 p2 [& K1 v# D {# [' O

! K6 }2 J; Q+ {* l" C' {% ^

. Z, g6 f/ E4 z8 I4 @
+ b- D2 y: m. x( A8 ^+ R+ P
1 G- [, L6 @, u* O: f ( R2 J1 R) B { G% M# j: x

/ p1 D K' G6 j
点不了吃亏,点不了上当,设置星标,方能无恙! + m1 g/ h- _& Z- C4 ^! X9 h, I1 v

: ~3 M/ F z" a. a' K9 d% t ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  1 {, n m. K, D( n' J7 B

% f' T3 O( _, o2 K" Z

1 b9 @4 E. H0 C( E2 Z 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 : `$ N" j( N0 C H2 Y

% s% `1 {4 A( ^& D2 [. b

6 {! `$ T1 m x& u1 F3 j& E   2 D2 b1 C1 F& E; f- @& ~) ]/ d) C

9 W0 N: `8 s, N9 n/ Z( Q3 f
! p9 m' X! U& D9 v6 j. v! r / U/ t( A0 e+ _0 r9 a

/ u5 z* c$ }8 M% U2 V. } 无线or有线) o- ~4 X& ?3 Q9 G) ~/ @8 r: b

5 x- X9 D1 _; I8 o" L; t; f 8 h- [ ^1 G6 Q; J' `3 }
: I" D1 O% r# ^; _: x* w7 f J' X 8 v; v1 a; I" J0 G( I8 B

h& t2 a; o) @4 @, n 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ; i; F. d U9 ] `, `: }6 @

5 r/ |8 Z- j) m8 n) \% ?

2 I! g( l& s" a* S7 P) u# A& u 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 + i" U& p- Z/ u6 i# F# T! N P

3 o' c0 d7 V4 K( c+ a+ {

( Y8 Q5 d( ^8 u, D4 i/ @ vshapes= - R, g1 [& i% k

4 q; H( K- H% D7 S( Q

/ V! P$ x! `6 X$ C1 \1 ], a; [; E. a vshapes= " b3 c0 D! I" j# M4 K- f0 D5 C$ Z6 i

! b+ _/ a5 S$ |8 b

% R$ h& D7 \6 v! G& d 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 5 O% N3 K Y. ^4 ~

; b0 s4 P$ m+ G3 @4 e8 ~* J' H

- I# P3 _; j/ P9 M: n! W vshapes= ) G, m7 q5 b9 y8 F5 R8 F U( t( {

2 P4 ?. q( | r* V# ?; J8 P; K0 \

1 R! w! W# t' C" K 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 3 A( B5 J# E% A) P1 B

) a. x) ^; J% |) d& B% \: w: g

5 H' ~4 S* e2 ?+ o6 l2 ?5 b vshapes= . W2 H/ N2 m ~4 ~

2 @0 q2 ]2 I: y

; U' h* k9 J0 d 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 3 }- a3 I6 M' Q. {9 x, {

2 P$ x0 \3 R5 t) T+ f

* W! d% y. c* J+ k+ J" p 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= / ^' _; W0 y* B8 m8 ?

$ `/ V/ j! v2 K* K# J* G

3 |9 Y6 r \! o$ N 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) & U4 U+ g1 N _& [5 X

2 ~( t v& |2 F G0 q+ z
8 q$ q3 g; W6 x1 p9 b) s$ G8 i' f6 g ' ?% x9 m6 ^% z# H' `/ Y3 x

. w* i/ Z0 R: B# D3 P: F$ b 内网渗透3 k/ B, w# {* C+ C

7 u6 t" I0 ?2 X* W0 f, R5 a( w 7 |( ?9 T; [& h( O6 O
8 \/ N- Q, b! w $ s2 k% Y X( p( x) I5 V

& ~3 v3 O9 U! G/ W, l) d win下搭建cslinux类似。 5 D$ C5 q8 @* ]7 b' Q4 e+ z7 |

3 X: g; p3 M4 f+ n
: P+ D, k6 J% _" f 
teamserver.bat + ip + 密码
8 W C8 X5 T/ x3 [* S( A3 L) L0 l6 }
* X( J. `8 P) |) T) g

. E4 e) ?, o3 i4 A vshapes= 8 @8 `6 n, Y- |1 {7 D$ @

X! c1 i D \( B; ]8 v+ n6 z

. Z' s6 h0 H+ }- a7 h/ E fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) }; I2 Q {7 m9 H% b

/ r' a) d* X! J3 J/ h

* ]( M1 U) A2 F7 D! Y w( v vshapes= " W+ v1 ^$ O( f4 V

+ o1 r, l3 |4 i8 Q% c7 T& ^0 v+ Z9 Y

! @! W5 j# o4 U3 g4 d vshapes= 9 Y# o; {( W& }) u( T

0 O$ Y4 o* m: Z' n. I* i6 c% J) _0 i

3 B7 Z9 `1 a" J. Z- ~ 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
7 N3 f; z7 J$ o% w" \; n$ F, {% J
- g# X4 E' d) f1 H7 D" l1 b& g+ s) i: Q

! \: n% o2 J) a& M1 A& R5 ?2 l( ~) _

6 N3 U2 j% X& a5 N! k vshapes= ( y' Z9 R- f1 |* g

; R$ q0 D" t9 j8 v# z# z

' a8 Z! P5 e. s. B8 G; |0 D fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 8 W) n+ q& Y0 j4 h5 _+ v" M

" @& q6 f e# }; q

& d& G) H4 f c$ f( F PACS系统 ! ?; Y2 j, r* K0 ]( t* V

% N" O# u# S R9 X' I

! Q! u% d1 s/ l1 ~# t vshapes= $ i$ d8 Y) F* G: T4 ^# x

/ s! @& v4 w2 Z/ A& g4 E

+ d, s( w4 Q1 g. F6 G9 n vshapes=
W1 k$ W+ ?# ^+ y4 |
# V2 \1 K4 u! h8 T4 R% Q6 ^ ' F5 s$ B( M# Z7 F; L* v9 k

+ \: g6 S2 F2 c' t

* `6 @3 v9 c1 [- q9 L& k HIS系统 9 ]0 S" e/ y7 o3 `

+ a: i* `# m8 b. g; S

$ m+ N0 v9 S4 b, D8 Z/ U3 S0 y vshapes= # R: L. W7 V4 d) d7 S

4 K( `- n3 A3 c( q

- }$ s) g3 }/ @+ P2 C, |   4 m" Z, A! W; p: [4 |; r

: K0 S" U& I# e4 a' G4 D

5 u) r* ^, T: i; ? vshapes= / K3 ]$ v. P) |

: e! X- I. ~: E8 h' {

* U3 z i; a$ v; _ 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 * ] x4 W6 L% ?$ P

@; Z6 H2 a+ o! k T8 O- `; d4 |

( q5 y! f7 s4 g# Q6 T
! ~2 R: f l( Q7 O0 g4 g5 c: ~
7 b1 c; k1 t! L s4 ]0 x- l . w1 ?- i9 y+ w v( u

( I3 F3 ]2 A; E) o! Z

5 D/ j6 L; S$ c6 c- M. V 后话 " Z/ A. c; v- t& N, U% y4 I

2 ]( \) R2 U& Z; x1 Z3 f4 N6 m# T

; i" Q3 j4 I. z% l6 }8 _ 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 2 x" @8 I9 n/ ^0 ^1 \

/ K! F% {" _6 C6 }: z8 \; \
; ]# e" Z' M, Q6 k6 ]! P* a # J" X3 {% }+ m j, x
/ [+ A$ A; k, B: I/ B : d, {8 U! G6 r: P- K
8 S0 g7 ^, L! ?# \6 h1 M. M 8 n" C1 P0 d5 X' j: I6 P

/ }, {+ {$ e# m6 J- t% t 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 ' Y2 L4 M8 \6 r% N* \

# j# d4 _- j+ D0 |! W

7 X* {# Y5 F+ {% I   + P& T, z& ^7 r7 J* t2 V

$ m4 a6 o+ ^, a7 N( R
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表