记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

/ `2 v" }/ S& _, T 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ) f3 k3 Q. L2 q2 ]2 @

' F8 n& ~9 ?' a ] 众亦信安，中意你啊！
, I6 N2 q5 [' \
. D2 h& q3 @0 X" ]ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 k9 C- ~/ R5 X: p; p0 g2 }

; l1 C3 C; l1 Z1 k6 w; Y2 E ingFang SC,serif;">9 g& T: I7 `) }) \3 y& F' G) J

: f L4 R: J9 Y, f# n- o
* `1 Q9 J$ Y' @- w. X+ Y9 e 众亦信安 8 K& F/ G! a/ m. h% l8 ]7 l
) q. x8 x1 [$ O; B0 { s
% p* @/ K) q' S- L& _ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 0 Z8 | c, g; l7 _3 y/ h! r9 W0 D
* h9 c; Y6 j, k8 E8 W. r$ l
. C6 ]: H j" t- a ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> " H1 X" V7 l$ S) C' Z F/ R: K0 F
) [4 @8 z# Q6 n$ Z: d
4 g3 Y2 `: n9 ~: K4 \ 公众号ingFang SC,serif;"> . t! H+ d/ @7 x5 |; _
% Y! j3 e; x/ r# b! E9 x3 f+ A
$ @6 v: ]8 e( d, G+ o9 K
0 ^8 i0 o; K) v3 d9 e- C
* B7 E7 U3 B' |0 s ) K# t a% d: o, E
0 F$ R- J* a! y
点不了吃亏，点不了上当，设置星标，方能无恙！ + R/ D( r' X. l, r) k1 n
4 h; h# E% Y6 L) K ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> y- f* Z% J* h$ O |7 |
6 J6 J8 F" |" ]% c9 z8 ~
4 b' {3 _9 c" u# S% _ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 7 {) T/ t4 p. V/ s& U
1 w1 ~; l- U1 B2 v m/ y
1 R7 O- m7 [1 {& @" ^ 1 ]4 l/ c8 A( l. N( j; E
* o, R( C/ M/ f. e% b
5 C6 m& r4 X+ d& n( D; s9 X 9 a; ~1 f% ^" j" f |; T( Q' T5 @
) {6 M0 A5 Y7 h! F T3 D: G 无线or有线 0 k/ L1 K, Y, E8 S
- c/ \; s7 m8 _" L " i4 B% p4 x3 J8 y9 s
' D: I0 E! w' v C @ ( a- I- B8 J Q% X
& B/ F1 S E) [: \# E 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 7 A: r5 Z' j$ Q1 x
C+ f; c5 E- ?$ p$ H
. v/ {1 F/ F: u 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 . s, s) ^6 L$ A6 Q0 r
* ?) S! i3 B2 h% F1 i$ C
6 C6 l+ I F! b* p W1 D# T 8 i- M& y( u% H
6 y' ~* O; [6 I: B# k* B5 o
" S5 R: i3 P% O+ y0 T" v: D! o + t8 o8 p( m: R, c1 V% \6 c
0 r, J( Q) R& v0 F, y% ^3 r
9 F+ [/ Y# Z7 m 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 2 H! g* M# `5 s3 {" _
/ X7 j6 ^1 a; c6 h* G2 W
|! x0 S$ S9 f# ~/ W- a' |) y / u, E, D3 H( P# p
+ L2 w! @! F6 o, R7 L. t7 {
7 k9 f( A/ a; m! W; h: y5 Q. x$ b 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） . _5 }% e# k9 T% W5 n
* K/ k- V" R6 V/ w/ g) }, H
5 z+ ^4 O( P; {9 e; v% h/ k/ M - _: m* ?( Q3 V: h3 I9 z
$ ~) J- O7 S1 G3 w+ x
: _/ k1 R3 p4 @) E, z' _5 ]/ B% `1 a! j 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ! s, P) P% f$ M! T4 O
! A# x- S+ ]2 ~6 _$ R8 D, Y; `
- C5 g @0 U, R* ^! A, j8 ^ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 " M2 c& `9 Z4 M4 n* m* s+ X
/ @1 I* W9 V# h, }' t* h9 F
5 i ^' j0 {! \: b) L 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 6 j% O/ L3 \+ F0 J2 |8 x
* y) C/ d" b1 o6 `, A! e$ T
7 @8 C% _ \) t1 V" p5 x2 L ; N( T- ]" M! }. V
$ x7 f% M4 h( n( W+ ]( m- N. Q 内网渗透; {+ Y3 k4 R6 R; K" ? z$ c
; R2 `+ X1 y3 l7 v. l , Y( w1 U: i+ z" S) i
1 w. w% M2 |4 U$ g 9 J, T# f" t; d; D1 ]
3 r D1 _' Y/ y4 v$ F# k2 t' k win下搭建cs和linux类似。 7 y! k$ Q/ l" Y" _' U; @
- }3 N3 L( r- [) d% V$ ~( j% v# o
i7 c9 J4 c" J( O, {6 z3 I
teamserver.bat + ip + 密码
4 T7 e3 j9 B* o$ B
" V1 H% ^& J! _0 B
+ q- {% d) ^! I: e& s! t # h. `6 ?+ x5 ]% Z
6 T8 }# @' G* X. _1 w' P/ ?
* a/ z; T" {' m5 i; X2 [ fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 9 D9 _9 q! V. {8 O9 E; f
- j6 J& }- C1 F2 u( w6 [% J n
- S% f! D9 d1 c; d E2 E ! R& J0 I5 n1 z: D1 p
: n% @! f: I4 O6 c* ^# K
( a8 @4 ^( S6 }) T# m9 y) W ! b7 J5 K/ c& q; F$ Z+ A+ q( z1 T
+ m6 @. A* T& i2 d; ]( Q# u4 B& E
- H, i6 O% i# F/ x5 ~ 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
# U2 }* l4 g# k! G* ?3 ~" R
2 d' e; x& P( _9 ? d; u+ h) C. V3 S# I! r+ g, J3 d( u' \
0 } K1 {9 k5 r# B. E
& N' a0 Y2 t0 x& w1 b# Y( r $ i1 h y% S8 @
7 |. x9 g6 g5 Q1 W2 R) w
9 y( e2 y; F$ R/ f& o" L* Y fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ( {. d6 W: j. W6 q" K3 v3 \9 E
: e' j: [# L$ ]0 L. }
0 u3 [ B( O. U% ^/ }, a4 Z PACS系统 # \+ _' y5 P& T& ^6 b
v+ D# p1 T b& B7 ~5 P
" n3 K1 _$ z; _( R Q5 ` 5 y! z' \ Q! @( `( E4 x
% r, E9 o* f$ ]: |% _
" w! U0 x6 T% d1 `
; u* c6 K; t% I2 H9 {% F
, y' T& l, q& Z! }% H8 R + g6 Q7 m7 ~8 X7 M) |0 W- }4 d
9 G/ i, a3 f- o1 o2 d/ D' F
2 P9 f+ J3 r& b" [6 E8 d7 i HIS系统 5 S4 Q4 g) A, m* p+ f1 G
/ W, Y. p8 z2 R" |/ {
9 m# E# o) U/ n2 D2 \$ k 4 @) B4 {# \2 h" M) Q( F
3 o6 A: B; g- Y
! |4 y/ u' g5 O( z& J0 }( C / b+ j( e, |- a( Q. _+ z9 ^
8 [# x" E3 {6 y2 i6 U
) N% \3 d3 {+ \* w: I # z) r, Z6 P% x3 K' P. B( H1 a" P
8 |$ E5 o2 H8 o; @$ H) \, D2 \
) ~. |( d5 L2 z5 j 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 9 H7 B- } ~, t
! E% u& z9 L( X+ e( t
( y: ]& O9 p) v3 d1 n$ R
1 o+ z* n" E$ I+ _, Q
4 }4 k8 b" e1 a , K* U9 x0 c( Z/ _& I# ?5 p
+ M4 u( k/ L7 t' S" }' L
! }4 ?) G/ H# ~$ H% Q 后话 1 F) l0 [% Y) i5 R6 d7 @* Y, n- r9 |9 y
/ [5 ~: ?1 M! Q& _
' b, q6 b$ k5 X5 |7 f; e 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 7 R- W# c; ]: a$ Z# G, k- U3 e1 S. D. Z4 Z
4 h' L) w" Z( N
/ k8 v d0 M$ `% y + \! V$ j& Q0 H1 e; R# H0 x8 U
9 m8 V; }, K' J, E$ x$ c6 }7 B* ~ % g2 l c9 y% m
( f4 Y( s) Q+ S2 i( I- T ( z; S g; z. R( g
. G! f) u. |) [5 A- [( Z7 \, L/ C) o8 ^ 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 : c4 n Q+ x, R; E5 w% `7 Z# s
; o" P' b8 w6 c6 t. ?; i: D
$ f4 N/ t; ]2 L! {1 Q) I/ y0 O 0 t: M2 p" t" `5 w; W0 s
7 J- }, `* P6 O

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

) {6 M0 A5 Y7 h! F T3 D: G 无线or有线 0 k/ L1 K, Y, E8 S

$ x7 f% M4 h( n( W+ ]( m- N. Q 内网渗透; {+ Y3 k4 R6 R; K" ? z$ c