记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

7 u' v$ C; W+ X/ |! u 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ) ]0 D9 m2 D3 U0 k9 j& r [

% [9 N& f3 q2 l" B 众亦信安，中意你啊！
7 Z" X* }% ]* u! ]- P+ k
- P2 c( f3 q- J3 Z7 R" }0 O1 Y2 f/ N" @. i3 L ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 8 V2 i- m5 ]* `% H2 H) t" I' F0 L

6 C* `9 L' V, @" E) _( L, b ingFang SC,serif;"> % d- ~. v4 U5 ] h& ^9 q

8 \: C# s, C p9 e% k8 H
& e( I" \3 l6 c/ O: T3 ~0 ~ 众亦信安 # E( X9 `( n) i7 u9 e) J0 Z' `
. c; [& S4 m1 T
9 Y- g( J- S# ?* I. v' e 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> c, d2 n) _$ b& L
, O8 c8 M: G4 Z" f2 L4 q" }' _
' \9 I% b( J5 N$ g" O ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 9 a8 ^0 X; ^, w$ A# w4 l
; O) y4 O" ~# f# Y; ?. ^
* s1 u3 E! c: z* Y# k( ]& p 公众号ingFang SC,serif;"> % G! F8 Y0 n3 ?; s6 X5 ?2 V5 Y
$ T* u9 l8 |" |8 i5 v2 u3 h) z
1 }9 B$ e+ ^5 l' Y
- e2 _- h1 \2 ]: ~+ S
" F5 C I- x( e* p # O$ ~9 E5 A+ F( ~% w' H
; u( x* Q2 a/ F- N% P& j
点不了吃亏，点不了上当，设置星标，方能无恙！ 8 y1 q% D0 d* n# Y/ ~1 ?" |. v4 U+ k# R
+ l# S8 W k, d; I+ F8 ~+ q. d ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 0 P- J/ G* r3 `0 I4 y5 @
6 v x. Q3 T/ a# o/ D- i7 [
1 o+ v% R: r- [2 X 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 7 c7 P1 U6 X7 a" B
& y, b6 c# d# m" J
/ p. b Q" J- v: u ' G# @4 A' z9 _7 R- [1 ?8 C
: O6 o# u% m q2 ^ v! U+ Z% \# w$ p
; x, W/ c2 I) r3 ]/ a% A + d+ Q6 }/ w; L" i
* `2 w. {. S; l/ A* X 无线or有线 7 m3 _' i) {9 o4 E* U
3 v6 t# @2 l. C U3 ^4 j4 Q ) ^% I/ {4 P1 D% x# e
4 `' M$ y: b- v1 g2 F: R% B" f c) r4 A5 M4 |/ m8 S# y2 I2 m# `
8 Q1 n! X5 H7 e9 l( t& | 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 9 g e" u9 Y5 a( w
9 e% u6 Y( f% e5 j! E; n+ B
. [% z3 W% ^. \4 {' C+ } 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 7 f" X) N( H) t# s7 z) m( ^
: x+ h7 X+ L9 m! v( g# z
! S* |6 ]9 {+ ]( ?, Q 7 g t$ o8 x& h0 z# L
: s) t2 \2 o3 }+ j6 I
4 A8 F- K* |2 S+ u * }, A7 {5 b1 H. N
: K. I& q* s5 J
/ m: p1 I; u! ~ 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 9 z0 D7 a3 H2 H. M j; ]
% u1 e3 _) t1 k5 M- t* r. `
; Z& S1 c$ y- F6 C; E2 S . Y7 r3 c# i, G+ L/ C9 d6 b
* A3 t5 Z7 c: Q, O
$ L* S* \% w" S Z9 O 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） % b1 l$ P: T) S# P4 t4 P2 M' b
1 i4 J+ r$ ~; d4 [; l) v
, ~3 O k1 i: q, E1 v* {. u4 q # U( h0 M& h8 M/ D+ y7 r
) i, ` J0 o7 s. E
8 H/ P( _; f3 p% u 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 , v8 H5 W" T! V; I! A' ~; C) s1 g
6 S& @; Q1 ?8 w; I$ V5 ?% b& _
$ Q4 V& J2 k3 W6 O' w4 }( c7 { u* } 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ' F+ x3 V; U% a2 b' }/ C, R
1 H {, h5 y% I; E/ {, t1 g+ }
' l; j) B0 v3 Z* W- j 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 3 M* |) { Z4 ]( x. B
5 U3 w& D) D8 W
& A2 e" {* L* F- w" a : c/ D. G; ~+ w/ H- d: ?
. a/ h$ E. m: L7 c2 X 内网渗透) z) N5 u; U, F; [& U. N
9 { @. U- n5 s2 {# E * F% ]2 l" R7 i( o4 u& k6 U
l) n/ o5 y4 |5 z) s% u$ U / W |3 r F+ s4 O( E% u* y
! Z, j) C$ ^6 C9 c win下搭建cs和linux类似。 6 k$ R5 w. I, _5 D5 Q5 K
! o7 b* K' o0 v R0 B* r7 o9 j& B1 ?
4 V; j; v0 A5 J2 b) n; c! ?! ?
teamserver.bat + ip + 密码
, ~. i' k/ j4 e6 i
7 _9 w- |% y+ b0 i9 `$ h
0 Q E/ T' B+ b7 X0 k8 A9 j) ^0 g 2 i( m& a) [1 q
' X1 T. x7 T# x
/ i5 {5 G4 `0 }- L7 ] fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 3 d+ l$ r& N4 p8 t
3 T4 l% `- s/ ^: q) \ F
( q" ~- {6 u( A7 ^ - A- ?- v9 Y4 n# B3 {3 U
1 b6 Q: \' p. u( f
- R: n9 T E" ? y# r5 @ ; I1 E& U: x% M) F0 O+ A: y* D
# W# A P: l2 m+ b, s2 y
2 S5 O" Z# `2 N. | 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
- Y) s* ~: \* U; p
$ q& g: S; ^4 \, U* u0 `6 k / D- T5 M6 i# Q+ r
# K7 s" B8 v# d& r! s2 Y2 W
4 `1 u, f; E$ [' W3 l" c0 C6 Z 7 O- l; Z0 g! _( ~( J l! K
) Y7 T5 [1 M2 V+ {, h
! T+ F) m p4 I) J fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 7 d9 @, `: W: v" L7 v
) ^; Z" V5 ~* q# W, l, m8 y9 I# l
4 J# ?5 v$ k y! n: o2 s* o PACS系统 8 H2 m# j& F! g* ?% Y/ `" w: o, D
; Q" q1 c+ V) P* t( z
0 \% ^5 G0 s6 b- m6 I5 o3 f! }: i 3 w9 W6 T- W, k
4 M; E$ a" T1 h
5 o8 ?' q# T# j- m; @$ c2 m
' W+ @ p2 M5 V7 o4 W/ R3 {
. O+ Q. z& C8 }3 Z$ _6 K# P 7 z* Y, }+ B- O0 z2 Q: T
R- H- y& D9 `0 a1 h: P2 U
6 W6 d1 e3 k" S8 d5 b6 w( o HIS系统 " Z& n; n0 ?1 g, s
8 r8 O4 O! h1 G# I. ^
9 w2 p3 X0 _! ?' { * s6 I0 Y0 E6 H0 A9 Y+ @8 a
% Z5 l. W! q9 r; K; q9 Z
; h$ s; s5 x& G4 ?3 P1 D' |3 M + _7 M. x# l; F! o$ Y
8 L. b( M3 q* [7 u2 e3 T% v3 e8 W
- c0 u1 {( U3 ? 5 o' A9 G3 v; y( i" n6 A
( s& s. {& z% h2 r8 K2 l$ \" M/ t
9 t7 f3 ^9 A n J4 s% A( c 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 9 F2 s m5 I7 @. F- k
8 j% g2 y, I+ W' N; j% i" o4 z
3 C: m; b( f: i
$ g1 q# [3 M6 f+ h# F
, N0 ~2 W: H! C. O0 F7 E * g9 E5 {* E; i0 k& F
7 }; h) A* x* W# S. d: n
* {* b1 r3 B6 t, ?' z2 s 后话 ( m7 l7 H0 M }. ^! D
$ L5 H/ ` s; n8 N
5 _1 s0 J+ p$ `; Z2 D+ _# V1 R 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 . x, A% i# v( Y! a7 }, x
& d1 t8 v; e) \4 F8 N4 c
+ O' N3 a0 U$ h6 A " j' N) t) ?9 v
" ]. \9 R( |6 T' x $ M+ D- m+ C, P# i$ @% j$ {
A+ Q- k9 ]8 c3 Q3 \6 W/ n8 {1 e ' F q3 U: g. H$ r8 l" w2 o% H+ Q- H
) y% F0 z6 k2 p" u9 { 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 0 N$ M, l2 y( J4 m: g3 q& B& u3 h5 N# Z
8 ~6 I( ?6 Y/ i; ^6 I6 b: w. h
% i6 f% C* z7 E* d& J / V+ E' n% n3 \6 ] X. o1 A" \! C
A+ t# |- \2 {9 \" m! E! o