记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

1 P& O( u4 s0 C! Y3 u, f 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 5 ?4 B6 A& ^. E' m% R

1 \6 G, o( w: W# V; l- ~) a 众亦信安，中意你啊！
) v/ O5 Q& ~1 \- `& \) C" |
^1 X; ?" D8 m/ K( t7 } ]1 \8 WingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> - J$ O+ x1 M! j2 X9 u

3 r" `, I2 _) ^: K- V2 n) h ingFang SC,serif;"> ; S9 F5 ^' _7 [9 T/ I1 }0 j

+ h+ i6 A! x/ x8 P! {, u
u# ~* R" X5 ?! f1 E4 f1 V+ Y 众亦信安 ( J1 F" I5 @& ]9 i8 o
9 L3 u- L8 p8 i# @ X) w9 C; v( J
2 u( \5 O; ]4 |6 }& P3 q1 M 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> % q; i+ }6 o% A7 y1 S# W: ~0 s# P3 m
z. W. U' V5 Y% r$ i/ B B
+ [2 r8 L- F+ l6 i ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ! {5 B0 X/ l7 P' B0 S6 i" o
; | }8 |- W T0 q. d5 R
. y* \' o8 | J4 }6 Z 公众号ingFang SC,serif;"> : k: F v U2 J6 i6 G4 `, ]9 I
" P+ _& n8 N- A& w! x: [
% |' m% M' v1 h- `# d
! x- R6 d/ B+ K8 @
; m' J# b% L6 Y7 J* H& E ( R; i% H* C9 F6 B
2 V& g5 ^+ E. E" \
点不了吃亏，点不了上当，设置星标，方能无恙！ . ^ p' l5 {% R% _
) d+ y h9 Z+ g$ u/ X6 P" ?- _ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> # d7 L0 f. m) A) \' }- z9 v, _
$ ~, b0 V; Z! J
* r: F0 s* s. o8 F( k 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 * {6 V" m' c7 F O$ p4 U9 S
: x, v1 f; A& V- }
; [% [. N0 \4 a2 @( H; S# \! f1 Z' S * |) }5 x, p$ h( Z3 [ _/ S l9 ^
^( j" Z P5 y; @# V+ w/ y% S
m% c3 H( _9 f9 c3 W , c9 b1 y) L: A" h( {& G+ n
- Y* p7 n: Y/ @* \ V4 v6 } 无线or有线2 O2 x$ J1 r0 v4 c' ^& u+ ?
/ J. X: H: q; K$ Z " D( |. Z4 g6 `
( N! h0 i/ O; j: H 9 x0 L+ J5 Q2 d8 R# A; g9 j9 s
3 \7 O. k" t* G! B8 w 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ; ~9 U a {$ b4 e$ ^6 W! p s0 @
9 I2 p& U Q: A: j- Q$ T
# v% Y) J) A1 u K; Q2 G( W* C8 R+ T 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 0 P8 U2 K8 J' L) W7 v( m' R( U' e
2 @7 S6 K" w" p$ G
. Z: Z: {3 N& Z. J " L! j* c" Y; e7 ^0 F
3 h4 [% S* `' `; [; s) r* K
7 z" Y" v3 T# K% o3 }9 a. x* t a & A7 b9 z, i9 D" F+ N
7 X3 _6 B$ [, N- u7 c8 J j
% V# E( n/ d* d! @! t 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 - y) F5 u6 b6 a% z% z4 Z4 N+ ~
$ y/ J: b w# d" }: [ t5 ^4 z, B
$ h5 |5 ~! T9 W7 i 2 a' ~5 e1 p4 y% t# r! [
. H5 ^# ~: i, ^& g M: ?
, o. b8 ]: m+ L/ ` 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ; B% k: n/ C' T* w/ b S- P
) G4 e- ?/ k7 `# z9 j5 X/ W
( B( Z/ A; B7 t( k - D' u# [2 Y4 a% r6 Q! {& M
; O0 V6 ?* @" `* |# S- H6 I* j
4 m; ~- ?" R- i" L: W 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 : G" _+ s- ~. \8 J, D
2 C2 ]0 J4 ~6 u8 l0 d
% c: \7 J; c' C# t/ Y+ u 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ' P" r$ H# h! h4 H g, ~0 [
! P$ U" y3 `& a: d
) I4 M3 w, j. b 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 + R) h& X+ @3 a t* d. A8 u3 R( q
) F7 M8 M/ ? ~
# V# s$ ~; k: I+ h7 A, E - \5 i( v7 Y/ D. @
1 c+ `4 h9 K$ @- W# b 内网渗透# h( y- p' P4 c* c( r
( G! P% _$ T+ j' R7 U ~ c ) \; I% [$ s8 p' E
/ D. x1 g3 A# e/ r0 L% X A5 T, _" i# D9 }% l
" ?( N$ V) P4 t% U- w( u win下搭建cs和linux类似。 4 @0 c" b! ]* j" _4 {7 F; [1 q9 g/ P2 P
, n9 w% W- O( g2 r
+ K& q$ O8 I! M8 ~* \" `/ e! [% k
teamserver.bat + ip + 密码
- m% W, F; ^: d; j
( h% s8 B+ D0 Y4 J$ n
3 l a! |3 l- P/ l+ T5 D2 Z ) @8 n" ~! h+ i' H
9 {/ f4 J' R/ |
5 R4 x6 D9 [% w0 O fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 2 ^! r n& E" b) K3 W; j
+ @; i& d; P) q o
- ]5 D& @2 m7 ^* R' p+ J " u( O, L# v) D0 ]5 Q4 u
" I' X3 H" v2 U* q7 N
9 r% }# q4 D7 L5 D: \ 0 X) }4 p I) i- s
/ Z/ d, o/ I: g* m
7 e$ e. z) O7 E( j0 ~% B9 i 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
2 V7 M* S. f/ p2 A
, r, w3 Y* |! {8 ~6 P5 L& v : g: U3 L9 W7 P4 @! N% y' P
* k! o) V. N! ~! i
1 _1 f4 J! l* _% s5 M( t6 R+ t 1 t p: s3 h. J8 Y4 N. T4 @
6 d* [& { A8 d- P. x
( I3 H3 M& I, z4 P3 \! w$ A fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 3 ^, G- C- N4 L" p0 L% w
' ~1 u. _( q- ^& N' J
& M" \( t4 w9 Y% @4 z$ v/ H PACS系统 6 e4 Q. H& I9 |8 o7 g; I
V3 s$ `' V* I9 G& q8 f
* L6 A V |; A3 `% D . }! c! D4 I, Q! q$ C1 k' Q/ m
: b B% e! K4 U9 N- o M! Z- c& ~
. ]; o3 m k4 [$ L [5 d- f
8 ]' v' [% N5 _* `: K$ @
0 {9 q+ M: k2 E5 P1 y/ x* ] , A+ U- @# L" c/ y& p
6 a7 i+ m' |4 s* Z3 _% ?
& g: t0 y& y+ Q HIS系统 : J- v5 I# E0 I( K
0 \4 t E* B* j
/ U( o$ D; T' V3 f) a: R8 A - s; _, \; C( L/ n) ]0 ?" F
* M# `$ g9 Y; y U
Y9 {# y) b7 ]/ f$ { ' N0 S% H8 c2 Y0 p/ {, N
& Q9 p. }9 N' x& e. H' _1 p+ R
/ m" r8 q$ V2 x 9 q) Y' O* V) u3 a
% R3 H; H& t: j- u8 G
, m3 ^9 t; Z% {! H 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ( ^) d" U/ l, N" t' B+ k
! l* }' ?, d7 U: H8 b/ O- @
" d3 l: r. q$ O# s( D7 w
3 _! E: ^) D4 F) ~* d
: U& E6 W$ [- [3 s3 o8 { ` + `' z5 w+ A5 W; C
% [' O9 Y+ ?% k) _( Q! e
# v0 H3 X1 z3 K. Y! C 后话 9 ]8 u$ G! R" D0 z4 G
, v" S) P H/ }' Y/ A2 U
. ?; b- O+ D6 s) u j 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 & U" |, c$ J! a5 r1 t
2 C- w b! K2 \5 b: p+ e
1 W, h9 @* ?( a6 j4 m3 J5 I4 O + v+ @. s6 R% }0 B) ~2 h$ }
|4 L/ F2 ^: T- Z$ v; _ # x7 M7 _7 U, n
+ W# v9 V& x$ Z* _# o" O: z9 y 5 A& Z7 X, J: O4 T" @+ R) |5 ]
4 s" H! I' I. l! n& \ 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 4 R8 s0 {- \) Q
2 h/ d, \8 U1 m! H
/ [9 Y3 }) ~; W9 J" \ ( ^% p) }0 s, M4 @( P0 Q1 K
" ^$ R3 p; Z _* I, [' R9 `8 _; e

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

- Y* p7 n: Y/ @* \ V4 v6 } 无线or有线2 O2 x$ J1 r0 v4 c' ^& u+ ?

1 c+ `4 h9 K$ @- W# b 内网渗透# h( y- p' P4 c* c( r