记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

$ x+ C) n& I% u) \ k j 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 * S: i$ b5 ?3 C* ~% v

9 Z. ]+ B1 W+ n# o3 X+ k, t 众亦信安，中意你啊！
" X% `* b" `3 |- v! z2 M3 `+ |1 L
3 _0 V1 @3 F N+ O9 j ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> + {! Z, p+ T; K5 F1 l. f$ K

) I0 r5 G7 c+ T. p; H9 o ingFang SC,serif;">5 o# H: q ^: B r3 p$ v

Y( ?. R) O1 C& k; s- c0 q
) M" s, k5 O# V5 [% A4 ` 众亦信安 * R. z" U; u( ]! j3 b6 ?5 s) v% |! B
, _% G% j, J: A1 n9 K# ?# w* w
/ q! a+ ~# a# b% ^( d. }) I. U, W. v 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> z) U% q. i& B" C7 @$ o& {
! p0 t' ^% C$ k, _2 W
: T3 z8 A/ ?8 K; d: T* L ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 8 Q( k% H) {& x9 G- S! z
: r" h/ _' }( }
" I& c# K; h; j p 公众号ingFang SC,serif;"> * A% g+ G4 o0 L, X# v/ m( H- Y
5 d' ]. ?7 I2 B$ T" f
2 b! S( X( b* T* F/ `
h$ Y P9 J+ c8 w* z" y
2 ?# f; ~" G5 b) X- ^: e 5 V+ _) G6 g9 ^6 o
i8 s, b% M3 V* x
点不了吃亏，点不了上当，设置星标，方能无恙！ 3 |: y3 w- _9 ^# j" g& a
, K8 e4 Q* j% r2 |0 w# t& ]1 H ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> % m3 e9 ?9 u! Y. S
/ d+ {9 x; v; |0 [ x0 D+ b
' n% I2 q9 S- S2 K( K 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 7 x0 G! i- u4 V4 f
, q ^) ^. P# S3 B* Z( p* ]! ]( B4 O
( {4 M9 _2 \: y( M + z% U& S) I/ h) \! v
( ~0 K" y5 L u9 E+ F. O
6 ~9 z. q( N7 l$ H 1 Y' Z% {0 t: L R
; E3 c7 k* Y* k; ^) K) I' C 无线or有线 4 E# p p% N& D& L& ^$ M7 T
- L. o; H/ m% R; j1 p* c3 { / [3 ^. k9 \0 p: R
: H! G+ i% d% X. b L% `6 e * p/ n, @& h* B7 }( t
& ]9 ^* P: D$ i) ^ 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 - M3 P0 S$ }" m! c* ~" a! b
# d# l# c( ^- @, m7 D6 i# w
@3 x7 x) l k4 O- o. r 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 - ?. s0 ]: s$ ]( z1 J
% }* S5 p7 l- `) l6 p2 y. K
/ a8 L1 O4 E9 @( M2 I3 G2 W & `( n2 r# K' q s5 q
- h* ^( p/ I" q- N6 h Y, U3 d
; V: i/ w) B6 ]+ Z6 T6 ^* d- @6 H4 P( H # H0 c6 M h3 G1 I2 K
; f) n5 A U" n- n' K* k
, V M- A1 Q: [' O 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 $ E7 L ]' A" S
3 Q/ {) f t4 Z: v+ N* V
9 m8 y T. Q: P0 L ]- _ M. g8 L% |% c: s+ v2 h6 h
" y( [# Z* `9 b
* J% Z( I [) H( \) U* E 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 8 o6 M \" s! I3 t9 U8 |
3 L) c6 m# N6 t# }0 P' ?5 ^9 U
6 O5 u& X0 J3 e( ~3 y 7 i+ b, w/ U- ?) e$ `/ i S: F( j( D
: i9 L$ Q v9 S) }
( |/ n4 O8 l2 j p 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 3 a( @$ s+ e1 l. V) t- ~/ B
# W8 p4 d2 V$ f& i
9 H+ D1 f" O d' A 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 9 q9 U k9 H. m# b1 s
' G# f4 z, i# M( b1 |
. Q ?; l0 Q+ i" D+ f j' @5 A! [ 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 6 w9 e. B2 i3 Y% S& W0 g
& O, T3 X0 E1 R$ C2 Z
, d: T( f2 O! `- |2 S! @ 8 `, o, K! M% T1 s) H( k6 F
! b) s) e/ D9 M9 D9 P9 a [. L 内网渗透6 O Q) [5 d0 Z8 x ~. m! X
6 {1 F8 l6 T4 j- @% B: p % P. g1 X4 C* E
8 k. k1 ~3 W6 T. p" G ' K" J, M2 }: d$ h) ] f
+ X: ?) ~3 ] q8 ] win下搭建cs和linux类似。 2 k' ~5 `+ x" {7 l1 m ~! f
1 y, M9 T3 m# v+ G2 G
, U# }) W; }2 ] I
teamserver.bat + ip + 密码
2 j" ^9 K F- Q( p8 a
" [% K d! X& x
- n9 ]7 |% j1 c# F0 p . V! P& X0 Q& W4 Q7 j8 J# D: Z' B
3 f2 F0 C" m/ n' y' n8 t( E
: B# J6 V8 s" E6 P( z2 f fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） + `6 L7 O, b" B- G
9 K/ c% _6 @6 W9 ]+ {
$ I) A& y M. d 8 Q' _- z+ c" R2 V# c- ]
5 y; k- V: V3 ]6 l5 s5 b+ `
6 b: R% }! D: ~& d% c' ~ $ z& z, M/ W1 ^' Y2 \* U3 @
, j! X* I/ D3 Y6 [# Z
/ J7 J% y& }9 U6 N6 J7 V9 k 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
f b2 n3 K. g! v% r
' H# K1 h% [9 g$ J! s/ c . e" ^) a' T: W3 g. F' c" |
" j+ `- O( y4 @$ ^" g8 o: I9 @+ }
2 [' k- F! h- x8 X9 N 9 {0 N8 f5 n/ [* W
. x/ v* E. j) i
; y: A; s( L) [9 N fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 * F/ G& s) l. u0 A$ N
; I: l+ f, ?$ F) s# ?( d7 b
+ {: G" G `( Y9 O- {9 ` PACS系统 $ g s5 F9 d/ [5 S% I
: N- c5 F" W/ b1 K( x
' E- M5 l2 P5 B( ^& I, S$ F+ D 5 e- r! [0 Y; I, w2 a$ D2 C
F7 H( O: Y! p3 W. Q& \
( s- H7 \. W" J0 l6 a
4 m; n& @% t% H5 n9 p. n
# o7 R3 @: ?) f7 ^" {+ Q $ {6 ^. D: c8 T# [
& u4 m2 g \. k9 g2 K5 N# K+ `9 [
0 Z$ [7 f/ D3 {( w7 |1 @4 [ HIS系统 % T) h) D& ?3 I) A4 N9 ~- d
2 B/ U! B1 c, t9 b `0 h+ p: ]8 ~
( g" f1 ]2 @6 l7 Z, b C* J5 w( u& r# o! M
, g& b$ v; i0 W5 m' S
! b* w9 M: E/ [5 x; v: ~" T 4 n6 i$ H) p; G5 j2 G) n
3 ]3 U3 v- f( Y6 t- p% ~
/ Y+ i, {; a% a* J- n( X' J 5 g( e+ R! K' T: h
; I8 P. G8 `( a" t' V- {% |" B* M
5 Z1 B) I/ ^6 i% o/ S4 w 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 1 ]* a8 x9 b: y( k+ I
3 h5 Z# B% B" F2 u& u3 z# \
) F2 _2 J- h9 ?7 i' H7 t$ y( ?' F
/ H1 I) x& Y( T4 ~9 M( v( s
! e( V+ |, z p) m* }7 X$ Q0 N. {& A5 F2 z) M, `
' h9 V: P( Y* U* W. h# J
, {1 {& [9 ?2 n 后话 3 l. {! N, J. Y9 u X7 Z8 y
: T7 E+ P% R$ O5 ]& Y; q% \2 D
' p8 M9 S$ H4 K 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 0 s% \* E3 V. r6 w: X. |
( ]" \4 I9 t8 d! J
2 v) Q$ ?8 T& C* L, O ' C8 ~: h* B F ^4 c8 x! f
+ T+ J+ X, l+ c+ W" X " Y" P% ?- n( c1 `! [
3 r! S" E Y( v5 Q7 c ( ]( ^% `' E5 V$ B3 W/ s
. i% o9 N( u( Q4 ?6 d. \; W 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ' q/ m6 o$ |7 Y; ?: a
b% W; C' N! r, z1 @! N( Y L/ U
# |$ y, ~% b) T+ B% m( K ( e: f- V. s# F. n" ?4 X! ?
6 l* I i" n, r4 J- ~- `/ w! Y

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

; E3 c7 k* Y* k; ^) K) I' C 无线or有线 4 E# p p% N& D& L& ^$ M7 T

! b) s) e/ D9 M9 D9 P9 a [. L 内网渗透6 O Q) [5 d0 Z8 x ~. m! X