记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

2 w, @. i& [' |: y4 R* e 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 % B5 E' ]- y3 D$ m5 U/ m

; F9 _6 b9 i! t$ G 众亦信安，中意你啊！
9 t# m/ k! u. C6 P/ S
) o d* G/ ]$ L0 @ m) S% mingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 8 c! j# J; A4 T4 y

, v2 A( s5 X7 j* O ingFang SC,serif;"> 5 ~* w1 E8 R. |: _0 g* T7 w$ Z

6 ~: }9 T: o. |- E4 L% }9 t+ Q( R$ Y
$ t5 g2 {! Z2 k 众亦信安 ) p: e, `. A2 y, o O* h1 s
' W% i' d2 q! n( c, s1 T( w9 {0 t0 I
% v$ f& F f; M& D# Z3 ^8 @1 K 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> Z. {5 P. Q+ z! y8 p7 H# v8 X2 L' x
7 t+ u( R ]* Q) D% p5 F
1 I! X; K' Q& u ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ) u9 _/ L4 G# l0 }. }& z
) \! V# M! ^3 W& z. P2 U4 @
/ @8 e. e- T8 K+ ` 公众号ingFang SC,serif;"> 5 D$ e5 ~" Y9 q3 @3 u2 g
7 n( q) ^" H! Q
: f2 e) u" G6 [7 y
" X4 B" Q9 D, Q5 s" |( F$ f9 K
+ s3 ^8 E1 R1 J! k' M$ X: I- j! V$ Z. ]) ~8 H8 c. b! ]4 J" h, e
7 ~9 l6 M. g, Y; X3 P
点不了吃亏，点不了上当，设置星标，方能无恙！ 2 ~* g8 Y* }! J: j
8 A) ^# C2 g: g+ G ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 r0 q% s4 A- b9 [9 u4 Q& [
% U& a+ Z9 G0 h3 _, L; D3 z
, w6 q8 U. R) t' A7 A6 U 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 $ `% }' c* a+ h* J8 o( N+ l& H% p
. A( P" K) r7 t) Z- |2 I
L/ n( P& N1 a; {( C , A% Y& C0 k8 t1 m) j3 v0 R+ u
2 ]; z2 W9 j' Y6 l
; U, z- I+ J" ^- J0 f 3 M, `' [ k0 _+ e# S5 f: x
" k# D9 g" ^5 ]; z B 无线or有线0 X2 n! n. d' Z0 N
# U; Z% u7 \$ { b" {" M: h8 y0 s) m/ l+ N5 l
. ]6 k: }- j/ \/ l" N' @) x8 A , q1 g2 ]+ ` s, m. ], n7 O
2 O& u" Q! j$ j6 Q+ I: J 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 1 e, t4 N3 ?' B9 i
& r0 n2 j1 p7 [" ^" L
1 m1 G0 C# C. u8 B0 z 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 9 G% Z( n/ t6 G
7 b) O" X/ S* j+ c
0 s) `* m: Z6 a , a; J, f4 g9 e3 \! E
) Q; U! P7 J5 Z
4 @% W. c7 p9 d/ b 3 i4 x2 Y. ^ M1 N7 \" `, w6 ~
- |% B! W* R+ b2 L6 f: ]- z7 U5 A
$ N/ ^; U9 w% ?, G5 p 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 $ R1 V$ H i# @. g6 q
& }- Z% q. e; s2 ?
/ x. R g* K+ l# F3 y9 f - K# H% D; L: Z
9 b( y: n' W9 v2 E% o& t& Y$ w3 h& @
% K E5 o: }6 c* t/ V: Y 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 6 x" o2 U! ?" V6 I+ t
' H6 v( l5 _" s( \, l
4 s4 N& E, t& l+ f: v2 Z 8 [# R( q% _. N" N
+ ?/ Y0 N$ }& J, c1 o; ~
* h- B( T/ U. G) p3 U 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ( y6 ?5 V) I1 ]1 t* Z( s( j
/ V/ {9 A9 _7 u
; e! `' F1 A3 z o( h& _" X* E 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 2 O7 s! S8 s4 X# W2 `$ a* p
: {! }; }. Q |0 `! _
6 E$ y& Y8 w' R `4 i9 f 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 : \& _( U$ w- Z$ H
' k$ d& m9 n2 Z7 e
+ x5 c& i' c# D9 C) l 2 ^% g: u* F0 c* u
4 e( q; l1 p3 R# }6 [ 内网渗透 4 q+ E3 I# H2 S. r# }) a; C( o- o
$ H7 Z+ P9 \* C5 S% p0 k & T4 V+ B$ Y0 \' Y
& A* D g+ W* Q7 x " n9 \" k! g6 Q( y9 W# P
7 l' V8 \ _/ c5 ?, Z2 t+ c6 | win下搭建cs和linux类似。 6 Q; Q$ G0 V" W8 ?# d7 _3 F* c
& z3 F! B. C3 g# |' z @3 k* x( C' \1 y
7 t7 s. o. P. V6 P4 y
teamserver.bat + ip + 密码
F6 v/ x4 `9 l8 ?% {
6 S! S3 j1 t/ ?% ~
Z- @% |- H# [5 d1 l 2 q* ~8 X2 s+ L
5 G+ @7 X1 T7 z& W6 H
* ]) D% v0 f" |5 x% | fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ; s( S9 b. L6 m. h- w, n9 _
- l _6 x' u( W! U
% V* E/ d! M0 z4 D % p- [, r# m9 U! P2 H/ P# q5 L2 P
" Y" o7 X" ~6 ~4 Z8 F
, Y- t3 Q5 {6 ~/ |% r3 A! c - q4 z' i+ r+ [% A8 s
$ C7 Z( F! F4 b/ ~+ L! C% z) ]
6 U. O9 W" c }8 B 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
+ O$ g4 |7 N1 ?
& q- [4 q3 T9 ]5 a1 }; S% J: p " J3 n+ D1 X: e
% R3 F5 n4 p0 G
1 Y& x9 Y) ^1 Z! p 8 Y' c ?: F$ D4 f. V
( b# e3 A$ z- b+ k
5 ^# w1 y* W, V6 L4 s) K fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 * a" x0 q# J' I% G: g& b- h( ^! H, b
3 d) l* q0 V: E
) M( B& R+ p8 e, i PACS系统 $ M2 P& I2 ~$ l/ L- [6 u
$ o% k/ ?# \, q. Z# W( p- U3 Z
# }# Z2 l( M/ ?& I8 M* z 4 T, \" [! F# \# [6 v" D( H
. \9 e+ ?) G- w$ j8 L% o
$ @% |2 R$ P3 r
, o1 r$ O/ V, W$ H1 |1 X
" q1 u R" A& q2 j- y3 X5 `5 v + ^9 z3 `. t; j/ p9 m. @5 E
# `+ p. w; ` l
3 d. x# c, D* u5 D! C* [/ l* B HIS系统 2 e. A% ^ L% _, I- J
6 A# P B4 `: I/ o# w8 m# h9 X
0 N+ F: A% [9 n, G9 o! @0 k . u9 |+ F8 Z6 [+ v
: x1 ~, D& ~ F& U6 W+ g! {7 y
" ?. e/ S! K* }& o5 n) W' r; f3 x * B9 z( d$ q0 u7 Q
; [8 i7 m9 g1 G6 k P" R
9 W' V, _- p! I5 D5 m; R 4 ^+ {* v$ o3 w$ [2 [
: R6 J. p/ a# v
1 k" i6 p/ Q4 I9 J 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 2 @6 ]9 v5 U* f+ p- h0 \/ I$ o
4 ~9 W: R6 Q6 y4 \
) [+ a/ k) `( L/ c; p
# h3 W( \/ V% j
5 V$ _0 [* {7 M Q$ w, P: t0 W1 i' L+ G
0 w8 U! w. O1 `6 B. U
$ q Q& v' X/ ?& G6 Z. w J$ S 后话 3 d1 u* y# K7 C
9 x3 q6 ^- k4 d5 F
) l* r8 |8 N/ {; H6 B 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 p+ l4 [6 X; { u. L
0 R* s! E, C: i) e8 C: w* y+ M9 T
0 l4 h+ }" S- y1 R1 H 4 |* m0 o+ ~3 W* ~; q
3 q& z; m* n7 H. B6 ~ . l% i l; u7 N; j% P" y% i
& v* Z3 S$ Q+ J9 q" N9 I7 v0 X " i4 M6 z$ o5 _
4 h5 l. k* _5 q& T' ~0 b0 C" t 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 0 K4 _) R# w! G( a8 N+ \1 ?. ?- i
" W; B# Y- u0 b( y, n2 V
3 r/ s7 P& }0 O" |" ~& g - h+ j: R' T! b2 E" V- M
, a% `2 h$ [1 K2 A