找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2350|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

% t2 f1 `$ T$ N4 K! P% ]+ a 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 $ M# o7 V3 w, E# k3 t" y- ?

/ [/ E0 o5 K X$ L* c* [) a6 r

! n) n) l8 ~# d3 O O" l 众亦信安,中意你啊!
1 N( S: f R0 e* G! B8 ?
5 f4 f5 w0 A8 s& ]# UingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
# b w* d8 S! X) A

4 v& j0 {5 r2 A0 _5 X) N5 q

# ~3 V$ y" D3 F ingFang SC,serif;"> R( K6 ^) D1 c# |" A

- [7 E4 u# h$ d% u7 ]
( r0 N% L6 I" v

9 t* G# t! T0 C: f& y! @+ R 众亦信安 2 o( B& }: z- \7 w! U/ V

! a2 U5 @2 E0 `$ y7 c9 x f

7 d: p, a" c% J: Y0 ~# I A% v 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ' {% j4 j8 v( ~/ ~

6 ]# E& f5 Q( C1 g4 x( ^2 L- `6 r

$ J, Y. I6 l8 V% N' [ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 9 J! K# J% L; m6 x+ ^

# [% x% ]( R, X/ c8 i. C h: E

0 V2 `" t$ D$ j% P$ I9 U 公众号ingFang SC,serif;"> ) w: y% K3 S, A" p, @/ k" A

K- g, b8 ^8 |2 T- V

+ x. v! _* }6 n4 M! h6 d& Y7 ^
; }# Q6 e% Y* n( I X/ F" Y
7 H+ D b1 I" P# W4 {- N3 b7 p e
$ j, T" o6 N6 b N* M5 ?

+ S" ~& i& g7 U& o9 y4 A5 K' |. h
点不了吃亏,点不了上当,设置星标,方能无恙! / r. d! v" ^9 u7 d3 t9 X

7 w, ^- H& V- N3 ?1 e/ a ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  & t1 d2 V2 z; p! n

" t( Y8 T. G- `* q; v% F3 U# \

' [/ D' z# y& p, Q5 t4 S% E% | 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 4 X7 U- ~8 V) ^; f# M, Q

4 a2 \; O& f0 X+ I$ o* b* e

* Y, B4 k0 n2 R3 E+ V/ m   : `# Z8 K* g% f7 v; f, d

& Y' i* {, X* O) y) d, I
$ X0 B4 T" }; L2 r3 q& X3 J " ]* Z+ o S$ W& r0 S2 C

- @3 i. P% @! w2 a4 C* b5 ] 无线or有线 % C1 N* q1 I: B

( G" D( q! `8 E3 ^4 i
! L9 ]2 L- h# _# k
' X5 U* N! a* D, I 4 o3 h6 _: P- V/ y9 S

7 J. B5 e5 h+ U; p9 Y9 m 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ' @1 Z+ H- ^0 i/ {5 ?

1 j. r* Q* _% @ c( k$ t

% h' }* _# s& b3 P/ H: ]6 s0 a 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 8 O& Q; s3 I/ ^: P

; O" Q8 Z( K3 ` X4 ~8 C

6 M9 G! ?; j6 _ N' V0 v% h vshapes= / q; R8 H. Y4 ^3 x2 n; d$ a

1 I5 m9 @% A8 f6 U4 q

, z4 G- n& y- {5 B% w' { vshapes= ' d# h3 W. v1 M7 u8 M) e3 ^; ^' @

7 G: @# z% D- m! @9 U3 R6 B

; g) @- s7 c1 m5 \6 ~ 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 5 |5 H# s7 x, C0 f* h$ k7 q+ ^

" R: g0 H5 ?* |. ^

) a; `0 r- w& D' F0 ?3 M- {7 l vshapes= $ {: v$ j5 y! {

6 V6 {" R$ y% w" ]

$ x/ V! r5 ^5 y- a! y- C 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 . ~) Z( l+ q2 H/ X

4 v! |0 u4 O% V: Z' \6 Y/ Y* U

/ y' a) ?' t3 S/ U3 F vshapes= 7 |5 e" G5 \9 w& s1 l

; |2 ]! g `7 |$ E, i Z

8 X9 ~% l2 O' j) D3 p8 _ 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ; L* ~2 u2 x. c$ X

, f/ Q9 [5 H' J4 I

4 T9 ^& j6 q; w+ v/ O 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 8 w) |: q# S' T1 U0 e) c* R; [' Y* S

3 Q: r: A& _3 D3 H+ V) z

- x6 B O, ~' _4 l& d. l' o 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) - h2 X* F; @0 K7 S

, Z, W7 |- p. [( H7 |% W, @
3 {% X( A/ k5 [! _0 X* X 0 d: f$ O; t, \% _( o0 P

! `" o9 {6 H! Y+ W 内网渗透# e6 Z E5 J* \; w! ~! V0 q

% G8 N) G g5 ~ E
; [/ r# P$ f1 g! N5 p; l
+ O/ L2 @6 r4 [! t8 G. } 7 { N( n" d* P% @

/ z+ d# g1 q4 K' q' Z& Q" K9 v win下搭建cslinux类似。 5 U6 X( A+ c& @( d

- `% L% r* r1 X, v/ V
7 Z8 }- h$ J" @2 c% z
teamserver.bat + ip + 密码
' s$ h8 p3 S I# e& c
* |0 ?' q$ w* U

Y3 H H' Y- |. ]: q9 ? vshapes= . Y' U, }( a. n0 r* f, q0 h2 }+ V

$ s) O4 L3 @' j7 p0 S2 i

6 J s* Q6 _8 j0 m fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) - \% o& R: y* u* G* e

4 u* P- |$ J, w% J

# L9 {: R; U7 m$ X$ o vshapes= 8 D) o( T) _9 U; C

' E) |0 n h& ~# ^ l2 K

8 |# Q6 `% g) Y/ U vshapes= 7 L( R* c2 r( Q. U0 C

8 A" [. K+ g. V6 K0 N* _

3 ~4 `# N. x" w 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
' [, @6 W; K) Q& m# A$ D
+ Q- `! ?: x1 Q. w7 t- ^( ]$ ~! e/ V
4 v' U+ U4 Q- z) q+ |3 x4 l4 A

0 Y$ J% M0 c+ x3 }$ L

7 `4 h% M8 e$ u) h! @# N; z/ y vshapes= 1 [& |4 L+ e0 r3 e( D: i+ Z. Z

+ ^2 W' ~1 R9 i$ e8 F

# ?3 a# o/ u* N$ M/ |) ^: @ fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 ' R3 L8 W3 N3 r" K

: F; m3 H! P; |& z/ y* Q) n% j

2 @4 s% {' `2 I PACS系统 % E, h. @6 e3 n8 ~+ V* ~

' ]: ^0 K6 ^9 |7 X4 u, k

% ], D% Y/ }2 o vshapes= / p" }6 s# z: z5 ?/ z* j/ j/ ^

4 x; S4 {4 ^2 D% x) O3 ], Z

9 d. O7 i/ D+ J vshapes=
: k( r) s( N" h! A8 [9 v
% z+ E# N0 Z4 `# N& k" E' g0 y
7 t' ?: k. G3 }

4 b- b! C' j3 E: v6 E. C% L, ]2 B

0 W" l4 ]- i: B) T HIS系统 / U% ]# c* U0 W& i

P: P* C, B. i9 H7 i- Q

+ ~: h+ t Z1 a vshapes= ! D2 B5 k t1 l/ x7 Z6 _

( g0 p, h8 w# K+ G" c) S! j

: M, r8 D5 E9 E% U   - W# X; |5 i2 o6 }0 g1 W8 O

6 d; J x% @9 T2 c5 L" V

; W8 x5 L. Z z3 B+ N0 e* f vshapes= $ n+ P. H8 k* `) ^* O

% f* K% c; o# w* {, _% |

) z* E% g$ D X% |$ y8 l) F" e0 n9 ~ 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 ) |: l6 s% w7 g4 n, `) n$ |2 ~* e

, \7 n% F$ g' b" `

, p4 m! i6 _9 {, \- A* b' G
: O8 @# B* k0 X: O3 C2 B
6 }- a7 x8 U- K" W6 I
4 a x, n3 l3 z" V

& W- T0 T( K0 U

' ~/ y. G5 z" B$ r+ J. p: W: Z 后话 ! {7 [1 \3 h. W( {

% I" ]1 R- Q9 U+ Q

0 T" i6 }' o) S6 P' X n$ E2 T 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 % \! u% K l9 d+ R

x+ i: V* S2 U6 x6 O
" l9 U; ]9 `+ U' \* L ; z$ B7 m3 K, R9 O
+ [3 h+ S" x- }; ]& f4 n
! V# @, k1 Q' P: P- b- O: V
. w0 {2 B8 z* T4 n& T ( u* U$ z1 d% ~8 R" p# w

4 J' \* m5 |; v- W# E) [7 d& [: m 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 / x6 E. h* b# w6 B# {5 {) P

. g/ L& [1 t5 }4 G: R! P8 |% p9 E% |

' v5 ^" ^! O" j: Y5 c! d   , X4 V \- Z& Z3 R8 s. ?

- M2 {+ H/ D2 M1 I, E- e0 g, X) O" U
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表