找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2790|回复: 0

记一次某医院渗透(近源)

[复制链接]
发表于 2024-3-1 20:15:03 | 显示全部楼层 |阅读模式

. T1 z6 k0 y% p; D* L 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 ! }9 J3 A1 [ M, d/ S

: I3 I: R. q, g4 W9 R

* v7 p4 `% }8 \5 c# Q 众亦信安,中意你啊!
: b- ~1 K. w9 L' s6 r5 I. _
1 ]4 b$ k( v3 ~2 l! C4 ]6 y* HingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
$ A$ L: p6 I2 s

2 T/ Q' r# x1 x! S

# Y$ I& {. U1 |! i9 K. H1 C/ f7 c ingFang SC,serif;">; T9 \* p8 C8 ?+ w9 S

+ i# E2 I/ s* B' x+ e5 c: m5 v
" u7 _9 X# j& ~! ?4 ^" f

9 `+ f$ Y! J: }% ^4 u 众亦信安 + l9 ]: \. a* G x! ^

: r( i4 d7 l1 F

$ a0 W; S# p: L* t 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> _2 F; C" p% G5 K; M; w! b

, B* Q& [* y6 D% w0 j2 C, ~

' v) O( i0 {% [; ?7 \0 b0 c ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> & J7 j9 R% c/ Z8 S$ m1 Z4 P- A9 }

9 h, w; i$ V' } c/ ]

2 A" t+ E8 g9 v3 N7 N+ } 公众号ingFang SC,serif;"> & q8 ^' k' f; q' O6 W* }0 n: m

! c- E) T" v0 c' r: v

0 m3 n- v* K/ v$ w6 Q/ q& X, J
/ P$ b& @2 f& ?" H: V2 G) H& s0 _9 C8 ^
; {1 q! v; X0 [: g
$ D2 Z3 M8 Q" I$ x2 d

$ A* _, |# X; ?5 h: @5 r+ Y4 M
点不了吃亏,点不了上当,设置星标,方能无恙! ) U) b2 a- R7 p1 @

N5 @( d2 u/ G" j9 R$ ] ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  $ [7 k+ C+ C" \* _9 T! ~4 ^

- W8 n* i; z' l/ F

: H x1 H! [6 T: ~! x9 V( x9 R 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 ! t9 l# w% y, w* m

1 ~ L7 H5 j0 F l8 ]9 H+ b

# W2 C0 E2 l2 ]: f   $ [' M& {9 W( |7 D8 _. U- W! z

7 g+ L. B# U! j7 }) u
) F" O+ Z1 O2 P# U # d8 Q9 C+ w" I; m3 X6 l; j: H, f# h

. d; W- j* }0 f$ S 无线or有线2 z' j7 B6 \3 g4 a& z- P+ n# K# K

8 l0 G2 z. W" Q. l0 u4 B E6 y
& e# }0 }( B: v7 t6 W$ r$ Y. g
# r! S! F5 ?0 T. `3 n4 u8 Z # d, c' j* c8 `4 I/ p- n

2 E8 F2 |7 a+ ?' I0 R1 U 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 : E: |; k* `- k8 ]# S5 ]

0 L8 Q Z% w) k" Z& X

1 v$ Y- R9 M( a* u1 p& q8 d 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 # e- E# u; i6 H

6 b( e/ M4 L) s! j) j& s3 T& T

4 G6 A" K2 s; ? vshapes= Q( \1 D1 h& W( K

6 ~$ k6 G' ?. I: z6 a

3 M' n4 R8 w3 H. n8 c vshapes= * n0 w/ Y J9 M9 q7 h

4 R" ~, M- e9 z E" G

Q+ P4 [4 q% @& {. G! T 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 6 r& Q9 z# b) R& n+ A' {

1 h" u _, H% {( k y

" M6 A6 j4 V; p* ]& B3 P5 U vshapes= " g1 D; L0 D6 U- P

1 ?) D: y) R' h2 j# @) Y8 @% y

4 G, `# t, Z" }$ Z9 i! k 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 # r6 m! k! J0 X4 Q3 g' Z

_. a+ U3 o6 e0 C5 l* ?

3 O7 `% k- G9 Y; X, m( Y# g vshapes= $ w- x" q" |4 M1 q, ?( y! s( X

* r9 Q/ r1 F z/ O

S6 Z: g' |# Z8 ^! ~$ Y 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ; a8 v2 o; M/ v. R- V! f1 S

' N% |$ o' O0 F/ `& q9 v

1 ^' w F+ U- v- X$ \3 @8 V' m 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= $ m. f! H# F; Q6 c1 G1 S$ \% g

9 H, Q3 ^# r0 J6 v" [

# F- r g" `/ u" l9 f4 Z 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) % u! _+ O6 r9 L! Z. a

& u& ^' C) ?# |. D( e# [
l9 l# [$ W0 ^* _' R- ~: L! o9 n ! o6 r1 B* D+ J. o

; k; G$ v2 P ~" g, l8 @# _ 内网渗透 ( n0 _0 M P7 s7 J

) |7 D- Q) h7 j, l/ j
5 Q; e# Y/ G8 U+ B
' ^/ D- s& R" H! Y7 c4 W J $ A; b% c" S) @* w

5 B5 |* C- g2 W2 _% C. ^+ K win下搭建cslinux类似。 ( T) D" j) s; C W+ o

. L+ F+ D8 b' M2 f
- a1 A$ k2 z: \) Z% i
teamserver.bat + ip + 密码
( t* W& W: ]* i! W4 D3 z% H
6 g4 m) q% l5 d

( D! C4 R7 `1 T' F: K7 W A- h vshapes= ) j) E$ ~1 `9 b1 Q1 C7 v, j

1 ]; @; X+ O _% s2 m! r

! G& D3 C5 D; A! S8 h& |+ I fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) ; X& X5 _& i# G9 r0 J# W

8 q+ B; o5 T! E% D

( j$ x0 M x! ]9 `6 g vshapes= " U I" O6 `. I) `

7 g5 r, J% ]0 C) c

& f0 L7 ~2 l# X; d vshapes= # H( N; `' }3 S) E. k' f# b

, k3 Z2 A$ {* b, D1 f

3 k1 G$ N2 I+ a5 r; Z: K 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
; {1 B* ] D" B" E, J8 p" _* g
1 y3 {$ I5 D, D0 _9 E! o
3 p+ X D# ?9 R6 _

( o; O$ s( h- _

( Y, e" [0 |1 D3 ^4 ` vshapes= 6 z# G+ f7 f E# M; e* G

6 y! @& G2 w/ O* f2 k) w% b

0 X* e3 L/ B! G( Q* V. B5 z fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 / ?; Y% D. g" s0 E, l1 Q

w6 N* G' }) x0 P- q

! ]0 e1 W# e4 G3 W2 [; T$ q% N PACS系统 D6 G1 l, z2 O' U

& G% E/ ?) ~0 t8 K( ]

; k3 O) v1 C2 Q$ R" `/ i" w( ~ vshapes= # k3 v) `; _/ d

0 n/ u, c; t+ a& b0 r0 g+ Z& |

4 A% V# `+ R+ s, }/ ? vshapes=
1 t) |6 ]9 l! Z6 P' [: l) J
5 l6 e% a& s& Z" i( T
/ L6 ^/ m6 t, Q) T: {$ Q3 L! F

3 u* g8 N5 |1 Z+ N

( w" e* R \# o6 a) k* Z HIS系统 # ~7 d9 K1 d8 k/ D' R u. h0 T" D# z

8 c9 @" ^: x# P

! Q# E+ M6 i* N w4 P( L' @ vshapes= ( A1 u( f# L! P1 H9 b

% Z8 ^1 E/ i9 I! h! Q

$ ~* b0 Q, A7 ]) l6 v) `% U* Z   / a" ` q+ y) Q; ~- N

5 T0 r! b* a3 D% }1 {

6 t0 F5 Z/ M' T1 I! Q4 u4 A vshapes= , e* x" ]; `# b

" F& {1 U' v- t, P9 q

& l- \9 p$ D1 x2 I9 [: ?! i6 \ 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 " C+ N/ R4 K3 L |& R, L

5 ~+ ^0 D. g' K1 E

& Q0 e1 y- h0 O5 h
M3 u' U* l( ?) U
$ G! q) E& a8 D( g" J2 z, |% e1 _
. x8 S# K5 L3 Q8 L. \! T

* S5 H, P" e8 {2 e0 d+ U! }! N

! u! x8 R1 t7 S3 N 后话 5 U; }7 s K5 f. o. T

: z( e# T9 X" d' K

* K `9 E; G b+ R% O# K 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 1 w8 t/ m9 t& e, ~1 Y" G; x

+ E6 a' c9 m% m: e) g/ G) r4 e
8 |0 q5 T% h8 U1 k: J . @6 p, y* c6 ^/ k4 Y6 d8 F, o' u
+ I4 E0 X+ L) f& H! a
; _0 [& r7 A1 c, m5 P0 U
# P4 o/ w8 f, \- W/ D 2 C2 K: T* M6 S3 l

4 p" V8 C: p# J) [, A& d 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 7 |6 p: B" J% a

" b- E$ e c. T# F# g/ f% T6 u

5 y: _4 s7 x5 i   ( |/ s% }; t# E" ?

/ @* E, D* B, z/ y) W: r
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表