3 q( w3 R4 L& N' d9 n 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 - h9 a2 `. I# J3 J' c3 b$ q
& b9 l9 l1 v6 x+ c( ~
( j2 F" w, p7 y8 M! O7 I! V, ]) t 众亦信安,中意你啊!
6 |5 b, ?/ t, ~ 5 F( Q! i: f* O' N) z
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 4 f* G, j. Q! m. b& r
- v$ k$ l( I8 |' e, `- t: s" W/ n6 Z# F
ingFang SC,serif;">
( U3 L5 N, c8 \. K- K: b/ V % c$ L/ F/ ?" C, p9 f
3 q6 O! O) U% n: E X9 D! h5 x" I1 V2 F5 V1 y5 A) ]* F- ?- v
众亦信安
3 R+ x7 Y1 C. Y8 P8 I + q! u* {" k: O' b
1 x# X9 k3 z& g! g" X3 M5 E; Q2 q 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;">
. z( L3 c& d) P+ X4 R% Y; D
1 K2 H x' J* N" u* o% [, u- l; P) {/ m- {% b3 `! P9 o0 V/ L/ G
ingFang SC,serif;">26篇原创内容ingFang SC,serif;">
" D9 [/ J w) E* u8 G5 a
/ @ p$ F U' f2 W+ X
* b" ] C/ o# C7 i1 b9 A1 I& N5 n2 U 公众号ingFang SC,serif;"> ! T9 O6 [5 ^+ \! M. |
* e( R6 Y( Y- h% s5 l5 x
6 O) P, w6 Q7 k. a. h* y* E & ^9 ^4 L- [: L/ p. m2 S0 [
7 p! A7 S3 h3 a; s. Q
4 w2 k, E& C/ B: K' J( g
' A& L7 P! o' r点不了吃亏,点不了上当,设置星标,方能无恙!
/ P# S9 B/ } ]7 Y6 h! r% B7 f% q$ ~8 V) N9 i: l/ U/ N
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
9 G& k1 D& G2 i* p: O4 B1 }: e5 G$ d* V
6 p i# m: y/ P: u& @6 p
背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。
% r: `+ x8 A' P2 {
% z1 @3 z' Q& _- g# y
{- R# y7 W4 n. }9 Y. g - v: {% |6 j* b9 [
; d" n8 W) `& T& y! [$ r/ N8 _& C' R& ?# H6 `/ H
0 T+ T) O3 |( Q) X- f3 X
+ V9 G1 x! i( l8 i: ] 无线or有线
! h. H B' O6 p& X* t ) J1 v! d6 d' |7 U, w- s* X
& T) B$ p: u, X5 ^" f" R
0 X0 k. `" @2 L/ J
" ^" r+ G; P1 {" q" L1 l
7 ?7 X. U) J R7 f' g# E+ u 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。
7 N% n0 p, _5 r% D o $ K- r, h3 d7 {# Y$ V0 ]
! A) J. ^: I$ E
一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 8 D8 s N# y) q: n" X# H
8 z/ e; [2 D9 ?# C% _9 c c8 x) M4 Y; W3 |% a$ P
$ p/ i! a; C) P5 Y) x8 ?. E ) |, l/ r9 u, X( {8 a# A- D
- ?# m. B+ m' u0 w/ W5 ]7 _- |
3 Y- x; H5 Z9 a, ]
9 o* L, d, W# G# c% ?2 D2 \& R( X1 |1 g$ x
这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。
4 K/ U9 U0 ?6 U6 S- `1 _* Z1 j+ @ 4 A7 M0 Q! Z" W1 W- d
; n" a. L( K' \3 p9 z% Y9 m/ g 8 K" E( g8 x) S8 U. ^
% _5 F# i; k/ I: ~/ j+ y& ^, S& x( i; i1 ?% y
很快啊,美团下个单,没得网线啥也不能干啊。(血亏21)
* x* H3 t B# x$ k4 t, f& v 5 A/ z6 @1 j' w9 l) d3 Z$ ]
{5 M# m0 e( U" f; b0 a
! h; N1 U, ]% f' L! }3 Z
6 V( n; I+ @' R. d9 D. x
% R5 v/ g1 J, ~8 i" z+ e3 c 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。
) n2 A3 y5 Y( G: A Y
. N4 h# ~0 p; T% W4 j/ E+ q# G, k- z7 T4 k3 N
这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 5 ?4 ]8 u; z Q2 ~7 f' Y/ n
+ P3 t; z% O" g' Y& ^& f
& H$ `0 o1 O7 y* d 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。
$ P0 n& _6 t4 ]! }, q. q
% @( E) w( b+ D. b: [ e
2 y; ?# ~# Q2 c$ F
' \ ^4 P- ~+ b$ V! o+ T3 u. w0 K
9 G5 `) Z. v6 a3 R# G1 W( G 内网渗透
, Q4 \6 W2 |+ O8 v; D
; _+ E c5 M! i: k9 z0 t ( K+ e/ Z, h% }
( o" J4 [9 E+ F4 p9 w5 z
1 ]/ L1 | ?- b/ ^/ G$ @
: {9 f) X# n) q4 V' S win下搭建cs和linux类似。
o" M5 p; M) _+ j4 n# ~ # y2 _7 z& u) X1 E# J
) E/ z) P! G1 E ]7 F X" mteamserver.bat + ip + 密码
4 |$ j) n; v/ Z( ^; h# _ + ^# O9 d% J* n& |& x5 g
5 h; T% k- W$ F) h0 B
; C. D. f8 A; M# }) i6 d
- K! d9 ]$ C9 u5 @0 e: x
4 ]) n e# w8 h- @3 ^7 F/ q8 k fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的)
3 Q5 o6 ^' |5 M# M* ^ 3 I6 g( x* P% C& n1 B& s
! Q( v% m9 d9 a9 t0 `. K8 Y
i# h- I: c f4 ~4 D7 S
2 k1 c) J& ~+ Y8 v
+ M7 }7 D3 k0 c/ |1 j8 ^2 ^) V& {0 F
7 U. Q7 c8 O4 c; U# p, i) Y4 O A
; R8 p: B) X/ S4 z! i, `# a$ N9 n6 N% T. c* p7 W, w
通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
, d) a+ x( |4 Q% w. q' v
) }! {! V9 z' n/ E" g/ ] a
1 D e( _/ ]1 n$ d3 c6 m9 r0 e
& ?! V, [' j- D$ z3 ]' }. m$ }' J# s9 w. g% \
1 x9 ]: A B D
" E$ z3 o# H2 |8 z Q, u, S( Q, S9 b* E2 Y1 i
fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。
0 S' y6 n& }5 V+ n 9 Y1 C2 u2 Q& J1 C
/ l+ t% a& j' W
PACS系统
6 ]; b# ~( E+ U3 F' l+ t
" \- {8 ~/ ] |, b! G, }% f9 x# S/ t& U- e
5 O- G# ~ @8 ~" M+ B% S6 I# K * h; ?5 t+ ^, U9 w! o
- T M+ x, G* \3 |% ]5 L) d0 s
 ; b+ S3 r5 p- l$ N# _8 b7 n
0 w' b1 e8 U+ c. d" q* k
$ L* w$ r4 ?( z$ Z4 S& P# r) f& b 7 G- m: E3 E+ y" m' ^
; t8 }% C( O: V HIS系统
& A7 V4 l- y; g 9 V1 E" N6 [/ i! Q
2 [2 G7 [: l \# ~: K# a @% d/ V1 a7 H# [9 H& d1 }
7 u3 z6 G# Z9 @6 H
, m$ ?6 K+ x$ c) r+ p+ D 3 V; ^& Q6 i( D" }
, y8 |# h( W4 Y; D7 t x9 {! U' }( C# E7 w( i
" h) j6 y( r8 A+ M [( R
2 t- ~9 J. ?. L9 | r
! ^) \5 }& \4 K: g 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 8 e$ k+ {7 _' c; f4 o' s
% ~0 Q& u& n: H: M- K
# T1 G& z$ h+ p: J; ]4 Z1 p
: ] e- \" |9 j( N- T ) i5 f @% q/ B/ o1 M. D0 T
2 [" Q& h- Y0 I
+ ]7 O7 R9 J/ N. t/ w
% d/ \; R; h( L/ n7 _" \, c" T 后话 5 E( b/ l* X, h! U& \; l: U
" X4 U5 I; H( H h2 |7 M' t2 o
5 s1 ]! C* S1 x% e+ u/ p. e* \ 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 7 ?) }) f$ W* C: \% v$ ^
' r4 \ d+ T6 B, z5 L, q, W" @
8 u/ P+ I* L1 Y [2 s7 U3 E" S- K ^
" n: N. y& g) a+ `" J: @" t
1 m) r7 _0 n1 v8 x$ _; X
4 y; P& r5 }4 {7 t
" ?; {2 q, U5 }/ H( w. d # ~ R1 u! z% u7 ~$ i& {8 g' V
( p o; g. T) r( z 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 3 l) `; {8 p3 n$ v; {- U! m- ~
' V. x. H D( q: A3 b3 i. z
' a0 d3 l& S) A! N- o# [( b
/ v3 _% C8 g* J7 l! [7 r. J( ` 9 z% _9 T% X' Y# l' }$ U# L) F7 ~
|