记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

" y7 B5 z7 [/ l; \+ _) v 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ( _' q8 v/ F1 v! A

6 O9 ^% u! A" I, g1 v/ m 众亦信安，中意你啊！
6 M( i$ Y( w6 @1 Z1 i
% o& y, Q( [( b( t) O. KingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ' g- F9 G! t- J

0 W, M$ A& K, j ingFang SC,serif;"> , l( m$ m" [0 C7 F+ a8 ?! ~

3 u3 N/ O8 F, @# C1 V
) M1 S- s# x9 A' b 众亦信安 # }) p1 Z: t5 S& N, K/ v8 A7 f
. V1 Q/ d" C; i: c4 g/ b! o1 Q8 U
. A6 _: v/ }/ P/ k1 U 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 2 r/ i: Q/ i$ G' I6 c! r" C( a
% _) `9 U7 P9 h! g. L
/ Y/ y6 g0 E1 R6 K$ p ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> " @$ @. c& ?; `, [" e6 i) v
8 Y" W8 r0 h2 \" n8 ~& ^
' `; Q( D# i q5 W5 {" w) J2 F! D 公众号ingFang SC,serif;"> 5 d' m! E6 Z9 g5 `7 S
2 Q( E; ^& e7 e( e
, H7 C5 K, \5 u: ^# y$ B* U
3 j# _- j1 M+ v+ @3 }2 A7 P
% f y" S3 A& e. u ; I; x8 A* q: K9 Y0 n) ^1 m
}( J7 p2 {8 O
点不了吃亏，点不了上当，设置星标，方能无恙！ ( D5 l' g6 E& M* M0 _7 x1 ]
0 t% ]6 \, L0 v) o, B# q ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 5 y) E( _8 M6 v
8 |1 L- ^0 L# u
5 p( | I, {0 K6 u 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 . _5 z8 Y; r8 w2 ?
: B& E! r$ y" k' }
, a+ J9 E9 |- ~3 @9 Q: s ; H/ E# N6 G, v9 D- ~: I1 m
6 f2 Q9 U. b4 Q+ A: g
0 ?: w9 }7 @0 M5 X, I $ q8 N& ?7 I. O: [; ~
: Q! ]8 ?- V3 b9 t1 ? 无线or有线8 U j8 t5 c2 ]4 C! B" P# a5 B& z
4 c& T' y5 B, R' z; N 0 t4 f' [# g, i0 m$ I
7 M2 w$ W3 V- o: J3 W9 H / M3 ]" X0 o- i5 X; Y/ R7 R/ Y
3 T* G0 L' Z! O/ X/ X 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 6 L# T! Q1 h7 p1 L0 R2 x/ ]
2 z! w/ _. }- t( o- I8 c1 h
6 R b2 i; Y- | r 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 o7 X5 s' f' {6 @3 K2 J
( t. ? i3 s7 q6 d8 v; w+ e
u6 |7 f7 B- Z1 c4 r, `! T- l $ k% J; I# g2 H5 r
( t$ ~% E( M( A- W. @) r+ r7 s* f
& a6 D5 Z! Y: X( U ! ^- {2 g. e8 F5 j8 {9 C
$ N# R2 n" `) N) V1 B: h
- U# [, k) ~+ I8 a& e+ `# f6 E 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 0 m9 w4 y# d5 q9 r6 r- z
E, t5 i- {' Q; g* ?' J( k) M% k
* @( G! { {* y7 a& ? / O' w! L& D9 g& ~
& X t2 j7 }8 i0 k
% [0 g! l. O. }+ o6 _5 Q! Z7 r 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） # Q5 {, D$ O: q% |' j
' q0 @" M# u4 X g: I8 n8 F
9 U9 I7 J9 n! y& N1 d0 \! R ' X' A- t1 f ^" n: p
+ I4 n7 r. Z; C; R
* h5 U2 `3 A) P. [3 { 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 - l/ Q6 O' \- e. q9 b) v& @1 o% F
. n8 g& J0 c& H
& `( G! N; w7 j) O 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 # s( o* j3 e! {& `( K+ m
* V3 ]& j2 D s
2 ]6 j* d% K/ q/ s' p 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ( @' A7 D' ]4 P9 Y8 G
) k6 ? V8 x$ }% t
! y- M2 T2 }8 B5 k9 n1 W6 f5 t * e9 h) @8 v1 p% u( N
- J$ E; i1 K' `8 J4 S 内网渗透! C: U2 K! L& h' B4 j
- a' s( \- Q- S - Z3 d! ^' K7 n2 v" `
+ Q/ ^/ ?3 U$ m! G% i ; _( {! c/ s: P
' Q# T5 g4 F& b# S2 T win下搭建cs和linux类似。 f9 D9 y1 J9 R4 h4 q
# i! C" n1 |# o. x5 w
* k3 j0 Q: z; J* \% Z" m+ h
teamserver.bat + ip + 密码
3 Z$ _" i! [# \, w' d5 W
7 N) l6 y' Q9 d! Y1 a
" p) U8 |- e4 z$ J* ~, E' { ! \* C5 y! [6 C( u8 u( x
: p C, w" H: a+ ?* B& T9 l
: s' Q& F4 ~ b/ o, R3 r3 B fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 0 C9 ]2 u) I9 y5 n/ c
9 o% h1 [, r" j) p) |
f o( z( C/ N" ~7 s2 U0 [! K - q2 i: _2 ^8 F$ D( E7 |8 O
5 M9 j! K& x9 x( l, l8 T
8 c; c8 q$ A# P0 C: q 9 y" m3 `, [9 ^ E& V7 f8 m. a
/ a; u$ f! \, u3 n, p$ Z9 W
, T5 ^9 m. t9 E5 a- t2 V3 E 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
3 F2 \! v0 D7 f! m7 J7 E
$ q6 G; M5 `6 @4 v) f: J+ f8 D$ y1 E: W) z, n4 c/ T4 c4 i# L
# n8 J" p; [( ^) {- x
* L. O* V5 D, F / s" \7 } G* o9 Q; s0 A) e
5 J+ c0 l+ H" f7 [1 j' D5 k; K9 S
. k5 K# T) R, g6 I6 b8 a fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 & r- s6 @6 j" w3 P
; g0 v: C* }; ^8 c5 q7 G
+ O8 s4 Y% S/ a5 s$ ~/ ^& i- e# x PACS系统 - i6 A$ e6 Q7 b8 b
2 L7 ^* \3 L2 T6 n+ n0 M
$ ]! i$ P0 o/ c) Q( D7 r l / H& {$ y$ P7 ]- k, }" o- r$ V
7 [7 f Q& g. s% @# O0 @9 J
- @. D+ R: J8 `/ s( Y! J+ a
& a. z" Q* g6 Y1 G; m: {
t4 @- H: A6 a 0 P7 Q" A$ M7 M1 F: D A2 p
2 i0 }4 I7 _; s. ?2 _$ F; b
, k! t0 o; A# a3 f6 P HIS系统 $ j* K# C5 h4 ]; Z' u) d- B
8 z# w: v, v/ z. i& C7 E' c
- A$ f3 k) ^$ l9 {9 e# o2 ~ 2 `$ ^# G+ d) W
, @1 Q5 L, g8 k
' g. G6 k- A% V) \' `! S$ H- W ) a' B; ?% Y# V( s
/ g6 X/ a& t) p( l: _
4 |! O8 D: u8 F7 }' L & C& r, p( l) Z! z& F
( ^+ V' l/ i" t1 {& H
6 L& _7 j+ A5 c9 t 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 9 Q; d, O) Z ^8 f& M
# Q' R1 s: v" r. v; ~
7 L# ]( p: K. I
- N5 J, p1 H- r x: m% A
0 s6 n$ |) L; d # `$ ~4 c1 ~2 Q) b8 s
0 _" m! ?& l" p$ [% r: G
% r p g5 J; K8 V+ H! I- S) X 后话 # `4 g0 U( {+ S4 a0 Q
$ o0 p, K5 C0 d
% t/ H. g1 X& W) n' r, I& \ 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 " C# q' @' t% [6 Z' W G
( t/ p7 N6 Y) [* r4 t
3 B% s+ @( S: u* G9 E4 q % \8 Z# q( J6 Z- ]/ p0 G
6 b. A' j, e3 Y2 b: F5 f# }4 S B. U $ } z J& K4 E
" \1 Y q# L# p- ` ( [$ Y5 N: C: v2 h' o& u- ~
6 \: W* N; {; {! h8 B 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 / ^' |/ @: E$ H7 a+ R% W7 Y
$ {4 [- F3 [6 [$ M2 g J
! V0 c1 |$ a; h. i+ X ; m2 Z! l* ^4 d
' F7 F) j+ q* x, ^+ H* \9 _; w