记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

; `( d3 j3 q$ @5 ?! w, f 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 % R# \# w1 z! N2 G. a" k l

3 F8 P" y7 G1 t 众亦信安，中意你啊！
* j: S3 l1 d6 v2 S& k
" _# G0 i0 D* Z1 X+ ~5 ~ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> & R; x! v- ~% p0 f

* C5 H8 n8 Z0 c* _! v& y ingFang SC,serif;"> a" L# \$ P1 Z! H' m0 L

( y7 G" Z% W$ p' d0 a
6 Q) S/ f' a' K- [' d, k6 U5 |3 \ 众亦信安 , A+ ]) z2 @- d, C/ G
0 }- u- H# _+ U" R3 ]( F) l
3 j; l) K- O$ S$ l, B1 y! _7 N 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ) L* U8 X S; j3 O
! T5 ~/ S# L& B" H5 Z
* k* o( o/ F% e9 d' Q( M' f ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> Y( F* k3 g9 `# {4 c8 v$ ^6 o/ ?
5 a' ^: G& q8 U6 }9 l8 c, U& T
" } j" \5 x' [8 | 公众号ingFang SC,serif;"> $ v. ?3 A& P; S$ c( A
3 M- L+ c% N8 [6 T( X9 r9 B
$ k4 F) z) Z7 [3 t, I
; v/ B3 @5 V, ?1 I8 f8 D
. r& `6 @2 p4 T( }& y* R+ c9 N( {$ o, ^7 t/ y7 y# _
, n, P2 m' b, R3 V- v3 G
点不了吃亏，点不了上当，设置星标，方能无恙！ 0 _$ V1 h# A2 E) N: `
9 Y, u9 K) W0 A4 K; Z/ N6 e ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ' _ _ m. a6 Y. h% `+ x
- I7 h5 R' U6 @
! j# i9 K, F7 `/ f2 j9 B0 h 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 6 T0 r5 q7 O* v; _5 ~ W9 U8 s
8 M* D3 u7 m$ w# R
! ]2 W0 `3 H. y" U 3 K' p, S+ T1 D8 k6 Y, `
5 k, J3 \# a- X" M1 I
& r5 G/ K, l. B / N5 s! z* K ]7 K( Q
5 C+ m) Q$ ~, n* F8 }, J 无线or有线3 }: ?. e! o; Q1 a8 l
l9 h4 _6 [( F3 o9 v0 f + p6 L# e. I* j: Z
# s6 d( p l1 z" G( { 1 g; f/ W% H7 X# h
+ ?4 _5 G7 ?: C9 Q# R, E# B 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 + q. _: a' ]0 K: ~. r) M+ s
6 c* Z) d8 l* T! v9 _- l L8 k
2 A. I+ f$ j5 X; f" a0 D 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ( [8 A7 ^& A. l& e) `
W7 P6 m0 E; w' r; I
8 @; Q2 C$ g/ v: t' i7 e* k ( L; M& w. b# M- H `
! i: @: V8 t D- B
5 `2 G: e. A4 m, g, `- c1 g 5 J9 x* l; [3 f0 a
+ m! R" Q3 ?: @5 t/ R! M
; \3 J7 H9 M# h' J$ g9 v& o 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 . a+ t; W; \, O- ?
2 T( c" x, e; q- |' d
' Q+ _# J) J9 l, {' ? / I' S6 x: ^0 X1 |
0 C5 }2 r! d2 k5 A) M: T
9 ?9 {% Y) f' ^ 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） . j! D; }" ~% l0 x4 g
* s% N- B3 A1 D, Y
) _- N$ j v9 M+ c/ s 6 X2 ? }* x9 Z. t$ [* X2 o% N
! y% V/ {4 o$ A4 S$ \$ K
# r L) J/ K6 z% @# R' z1 D ^+ h 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 7 M4 U. T) ^/ C3 I- h4 C2 N* {
/ _5 ~6 T1 p3 f; Y1 v
P1 v/ N- u* _% F9 [ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 0 d$ h) M6 K5 ~+ M' e$ U% ~
# `& K; u) e! W& Z' I/ {
3 A# k' [# T$ m- n- ` 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 6 F3 P& ~: W5 E+ ~. h- X
) g& D+ b0 E' f0 m
* y8 |6 O6 G2 W; ^9 N 7 ~3 _) X" v* y' X. ?" A# h" R8 B4 w
2 o M; d' b4 k" q% S$ r5 I 内网渗透3 |( O0 v7 ?3 f! |9 j
) ^* v0 r+ e" s 8 U% h/ b. i( T2 y( O
+ j9 F9 u c: c+ h, ^* d G 3 q* C& S( Y- c2 V! F" H" o
$ d0 N+ t' F# O win下搭建cs和linux类似。 & _/ q0 W8 ^( N7 w* q
2 }5 B6 F" ~6 C4 |
% j+ C5 o. f( M W1 s8 K& ?
teamserver.bat + ip + 密码
8 ~* M, X$ d U u0 h3 y( _
: \; T9 |( i1 V: X7 [
o# f2 N* d# ?0 l 3 L/ V5 s3 G+ X4 b% n& z
8 o7 s3 Z N, E6 j9 X
8 D8 N ~& U$ j5 E* X fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） " V' C- Y5 W$ f" c( `
! K. _1 E; v! m
1 ?2 W, L8 S' `, O9 A3 d' S , h$ J- N& u! y4 U% Y$ c' Q: v6 y
5 v& @! C& ^& _( D% j# f
$ S3 W1 m7 P5 O4 b & l! m/ O5 L9 r5 K6 y
+ d0 P: p/ ?; Q; X
/ @9 N$ m! V+ V; u 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
3 r" Q) Z$ E: ~" a, K c
; o6 c/ W) y/ h9 A - E0 M, B" a/ o! q! n, w4 Q. f' G
: ~* m# d) `0 G# C% w" q) N
* a# A. I2 b$ S+ Q$ f. } - E/ z& A) C* j5 |( C
0 g1 R$ D3 |: _' U8 l3 X
; h6 |2 ?) {* X3 w fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ; s8 k5 f0 E/ S% h7 w
1 Q! J2 b$ a! b5 `! _
# T7 l9 d( p% t* @ PACS系统 * a8 @6 L# q# y f
) y: }9 u( p6 |" y* L8 H1 k6 }
J9 D. B8 u! S: ` M, Q: y/ o2 U : k, s1 |7 J4 x0 p: t- z
; | C& I; [0 h9 X1 E& x% Z& H
3 \! S5 @& c6 ]/ R6 k6 |
/ `4 v2 t7 X: w
- M, S- U! Q$ D% h" D' m L: R* ?7 u3 x2 _) J. W
' C* A% x a* N3 }$ a( [
7 @2 B0 X4 r/ v; d HIS系统 + b8 h' }* b* H
1 v6 E6 ~" J$ _0 B. R. s- Q% k
/ R! c n/ J( H* P" \7 Y 5 {* s% h7 d+ B: N8 A
' {; R- K) K) H- f3 T
' c. L/ o2 b7 U. p% | * M+ |" ]8 p" g2 [+ s1 s3 D8 o
' R) A/ T: U: k5 D& L
$ l, a; M! A3 b# }8 | * I0 e0 f( S1 @; v! n/ I
0 ?: c; G8 J' q; o/ g$ x
1 y+ p" w* I; l' i& B; o 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ) e, _- m9 e$ N& I/ K
- Y* L7 B9 b3 Q( \, E2 q
) m J' ~" v# x: @( Q7 z
% x" `5 F" ~; Q6 Z3 f" r
, _; O/ t0 s: E7 X( f! v' Y1 i- i9 m4 i$ T/ x2 p
# D/ ^$ D6 v9 X0 x; T* g8 i
1 `% X# B* n/ a8 c& l& ^$ ], b& O 后话 , o- z9 E, _8 u. d6 E9 G
( v. q0 S9 X8 w
2 E( A( f `7 P2 W 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 " ~' o7 x! p' c
Z- ]7 C" H* G) }
' z4 `3 t2 t6 B; e8 f" W4 e' u9 R % a! R( v8 R& _4 S
7 S2 J4 E4 |+ m. J( [0 V+ M ; w( X/ g" u6 D1 g
' z6 j x" o- @/ B/ _. D2 V _& _ 0 E4 C" c5 Q$ v5 l
, ]* x h% L: S( |0 j 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 . D2 M2 z% U I+ |/ Z: i/ N% L( A' F6 o
7 M' T' ^4 t6 f! |1 ~
/ y# [" K) g0 [: X . }( v3 U1 L5 T2 r
( o" D" C8 p# G+ K3 S i! C