记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

% Z7 s8 K5 s/ ^) K* w: } 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 7 f' _+ u% o0 e

6 @6 P5 k" ^3 _& p; a# ~ 众亦信安，中意你啊！
1 A% I% {8 T' w8 V( E5 D e
4 u0 L% ^' f# \6 I. m: t RingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ! Z+ H0 T+ c2 Y3 _9 S5 Y

2 K. ?, |/ ?0 _/ r% |0 D; a ingFang SC,serif;">' V+ {! V b6 l: s

$ Q) k8 [, ]% l$ k1 n- s
$ }8 T* \5 ^8 J 众亦信安 v) J* k. o; m4 K2 {! g( l8 P
' i; |% `9 U6 C4 j
+ Q- F9 B) s/ v% B {( @+ r9 y 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> * d0 f( @' T) V' y4 o4 |( y9 c( c
* x: R+ c- A+ q8 D; D) S! M
( A3 i) A8 B" ^2 S% K( P \ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 5 x! p8 o+ q- }4 r0 M
4 k5 D+ W6 Z4 X$ x
7 E, X& h% g$ K9 ^$ K 公众号ingFang SC,serif;"> - O" T5 R! l' Z. D- ?
6 @2 x9 R6 y! F5 T
9 A" z2 D( X' n& I
; e" ?8 }& T. t6 y7 G
+ p$ _1 S$ Q/ d3 n3 b0 x; g 1 u3 Y" H* S7 T7 r
# l, |& N) f) }
点不了吃亏，点不了上当，设置星标，方能无恙！ ) d! Y; R' P" G, O5 E2 E
' q5 K5 F# _2 J2 M r& M3 f ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 9 N3 V3 j# W1 d5 s- c& @, R( O
1 p0 M6 P0 I# r' t
) [& W) |& L. Z8 [ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 * ~ F2 c V2 q" w' L
# E% o, t2 o. U$ {5 ] h$ B4 g
" R; d5 l5 O) m: t% `( r0 |6 E& V$ _ & _& ?8 Y6 ]# }, R4 N3 E
* O7 D& S8 E( |. Y- I0 \0 S& o+ K
. m4 D" M5 k: v4 J % y( X# ^( j6 @" {
: b: i/ |+ r" C4 h 无线or有线 ; v( U5 ~. A' s
7 O( {7 [$ G% x5 g6 @$ Y & B3 N0 A( ~# p. m5 Z
4 c- N0 t: r7 c; w* U4 G2 { 8 a( A( T' C+ w2 Y* E/ P
; u9 t( W& x5 J6 ?, B 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 7 F) j' K4 N+ _% B% v, i: y
+ ?0 o; N G( v/ N! v+ F a
& t6 I2 J/ r' Y 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 1 K4 R; e) k! [4 F1 W1 d
) J$ r# j$ M4 u/ z1 t: L
' A; R% L4 ~: |1 u" t2 f% e $ U! R# k" |) l C
9 B$ G' n+ c4 d
3 p) A. F" ?, p% O2 P7 ^% E; u 1 ]( y0 R: B' q4 R" u
- |8 E* Z/ b/ p8 ?* e, M% `
/ J. H) f$ { x; k3 e ^ 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 * J& o. Z5 I2 D+ j: P! F( n" B, y
) G& C0 x4 i# J& Z4 w
5 l4 J J0 A; p9 B: @& d8 k! G " D0 ~8 b# q* p0 x
; q2 r4 }$ V) H; y
; _1 V! v1 S6 u* d 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） + i# y# N' u& W& R
5 n! N2 `8 C9 h& n
% N4 l4 ^9 t: a0 R3 c5 j" \ 7 W E9 c V" G* l* R
- W$ L0 M* J4 ^3 P1 q
- t/ d6 n8 s# F E2 c* ~ 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 1 n# c* |5 `) G' V& S
0 m( L3 J5 E" G/ q
. l6 Z6 B8 a, T' G3 [ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 + @6 H2 z& X! s+ Q* }) E& d% L! y" y
7 w7 T9 h# r% y6 {9 x/ O/ C) N4 r
, e' x1 P8 [$ `- u+ g 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 1 F% n, l1 u1 c4 T6 Y6 t& ]: h c
8 o) z; P8 S9 Q ]4 K2 G, W* e$ A
0 ~8 P P, O# u9 X, _ 2 d& a0 r6 ^ b2 Q" z9 t
+ e' T2 Y) O3 b6 _0 m 内网渗透 : S. n: Q# g1 X+ ]& g/ Q
% G0 ^) p2 m; b0 M' v; X/ i + {) ^8 \3 ?! w8 l% x
! [ W/ q5 f4 g" C& J) s . k1 w9 K. ?" g; [1 I6 ^
9 S6 @( b4 z$ E& O6 ]2 u, C win下搭建cs和linux类似。 ; w+ N7 u* I( b* u) p6 `
( J( c1 O: d8 p) K" {# d4 J
( M; ]: t/ S, y
teamserver.bat + ip + 密码
, F2 H/ y% X1 H; K4 N
; c3 d2 R, k& v O! ] Q
' x4 M2 G* I. R4 U2 g' z * w# m% p' a. W$ G
9 Q* z, Y& [/ V/ ^
9 G2 s% e9 j+ P# z7 n5 r' C fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） % T% I% I1 C" K7 p0 w
# z3 G9 w. V y8 u2 ?0 `/ l
+ t1 m: D& e0 d( V& O0 K- o 9 w/ s! f) d- [$ }$ ~) N
* ]4 m0 G/ T i7 ^/ |1 [
0 z8 t3 S2 M) i. C% D/ w! j ( o- a% X" G, X- b
# F! j6 h: L" X/ {4 y7 R
+ y* ~1 O2 R4 B F 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
( k3 t4 D; ?% T0 w4 X) t
2 p }$ B2 z/ K9 ?3 S" J5 N9 K2 F 7 Q% G4 I4 K, _, R6 R' z8 K
0 v" p6 L5 o9 ~- Y8 A, R
) u9 s) Y$ ^% `' \6 U8 u 2 _( g. V6 |- U. n. O
+ C$ {8 w2 S0 c
9 k$ r# G9 H5 z9 I, l fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ' m% {, I1 u: L7 h6 c4 B
0 Y, x) E( p4 S8 G2 L7 O3 p
; R& r F8 \9 K( h* G PACS系统 % A& g" {! H0 r, L3 q* e3 X" G
+ ^! n8 W; C" Q4 R' K
- u( `/ E2 \2 k( q! b2 B; N " x/ e6 \1 }- M# j
4 K$ {& T8 S9 j' E9 w
/ b4 L. T/ v) a9 f
4 v; |* N% Y# N
" \7 `( [/ I% H1 E ' Z5 e3 G0 `& W# M+ L
% |# _$ }, p, U
3 }, c2 g0 c% N; {' K0 X0 H HIS系统 : ]4 x, s% D' H" X
. C! E/ m) y2 t$ }7 q; a% g& N
$ C- }1 N" {- v4 n7 J( D; d$ R6 U & u+ \8 o9 p5 @8 {7 Z
( K4 y- I' s3 F
- d8 c9 k3 z3 m ( h0 I. U* b& T) X M
- D8 ]8 A8 K; J) n$ G
3 `/ L" X7 a/ g4 M$ f& F, f% B, t7 K $ j# I) N* J) i0 O$ M# {) f4 P
5 |) r# J* Z! N5 E( F/ j' a9 o
) q2 E( j# M4 U 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 2 M0 r5 W6 Q9 u: ?
8 f9 M5 }" Z9 ?4 Q3 v* C: J& X5 j
q: G; V4 b5 x; b( S3 p
5 [# d( s) _$ S3 }* {; Q. L7 m- g
' f! o1 \" |( q# Q0 F % q' E1 z9 ?: c$ I% o. Q
. O9 z' `7 M! C4 z0 O. Y
! Y0 W, D# T* Z) z1 ~* F' J 后话 , \/ H0 C0 [& k7 i% ~# o5 ?9 K
8 j8 f! A. C7 K
5 y" o f. _$ s 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 2 B3 K: O- ^- a$ D
) o5 j+ z$ S, N5 g$ K5 k
, \7 { n- Y: a. a& t n. l b( m * x. B: L0 t) n" p' t# u' o
% G; x% \. e" D4 S: n; G" y 6 f7 s. X2 b( A( n
# H! ]/ O& Q7 \ 2 n9 p0 ?7 G$ e' i+ t. ^
+ r8 b! m: N4 m5 G 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 . y, S( @' Y* E0 @
. d _' ?& A& I) }- h5 E9 I7 ^
+ i9 ?* s+ _3 ~ % ]/ d5 I- _, h0 [" _2 }: n
# t. B: f# R* z! M0 E5 v! m5 @

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

: b: i/ |+ r" C4 h 无线or有线 ; v( U5 ~. A' s

+ e' T2 Y) O3 b6 _0 m 内网渗透 : S. n: Q# g1 X+ ]& g/ Q