记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

' f/ ?0 w. n9 v, ~. x/ Z3 j 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ! K" y) F9 }8 ]% E R, W7 `/ k+ |' E

' j4 Z5 o+ L" S 众亦信安，中意你啊！
( g5 {5 Q: b$ ^7 A
- I. X {% G' p" p5 S% {7 TingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ; v; y* l" h6 r9 M

( x: d) }; j1 o8 T5 o ingFang SC,serif;">/ f0 O3 ?; e2 C* Q

& j9 F' v$ ^ @7 L
7 B+ d9 A, b0 a, _& C 众亦信安 v! g* y( q- c$ ]
0 w7 w& O* j2 v+ @
# Q1 ?% b6 I% C5 B2 R3 |" O) U% o: D 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ' A+ R' ?- y' d9 X3 A
. _$ U& j( I6 ]- Y" s6 p# f
0 {6 n" }& R7 [ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 9 H& s" ?9 w( f! X% y e" Z
7 I5 l+ A# ~9 F8 [
. J, ^! Q& k3 H D 公众号ingFang SC,serif;"> 8 ]. X! H0 ~* u* P
1 F+ D" z) _& f* t
\ L) W" f& m2 p/ S
7 {- P' C m f; q# }( y/ M
( `3 ~/ w6 O$ h I; ` 0 N3 X( F( m& \+ e
" u9 ^" F" E' g& s$ x
点不了吃亏，点不了上当，设置星标，方能无恙！ " H9 @+ k8 z3 c$ O" J! f
5 A7 G A! ^' Z6 _9 W ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> * ?0 L h9 Y( K: G( @ X
& e, e* s8 n6 b. F
$ v& V1 l1 Q( m0 t+ m( T2 H5 H& Z5 H 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 $ u( j& k0 z# C6 x
: c3 x7 z5 ~4 x+ Z. z7 K% K/ A
; o1 C" g9 g8 R; P. a0 P8 m7 ^ 0 W8 _! B: _2 j" e
; G' b8 {2 Z4 \ ~4 c8 O
+ x: I* [$ [" M2 x- h- x" l0 R & Q ~* p3 v2 d8 ]( B
5 B0 a5 F {- v8 E3 p9 r. P 无线or有线6 G( r0 }: l! P* }* J
* h/ f4 i- l- O# Y8 ?' T: P! s # v1 y6 @6 {# C2 f# g, Z
0 ~5 ?8 ^# G4 H8 N; U4 N2 H 9 l" o- D. v# u; X+ z5 e
1 X: M1 Z! M/ N0 i2 z" i 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 8 h. d$ G- F8 D% H) F" ]
# [* w) o# K z0 c: o
! {! N' f; f# g2 x9 p2 U6 C, h 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 # b1 L. G) I' q+ `
+ m% d: u/ ?/ W% _/ |
% z7 b1 u( L" B" c + ~/ O; }6 Z3 V T2 S
V! V5 Z" G1 ~2 Y
" {5 E! D2 E0 b8 I& A/ z, ^ 5 M ?9 V; b. V: t. v
& C5 P" h1 p. u
2 g1 a8 s7 \$ U% A 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 - ^* d9 @" v( u* q# Q" j. F% R
: A7 v9 T: O$ f2 Q# m
" [/ J' Q& V2 e7 ~9 ~8 }, n( l9 y ; J- w! C B2 i9 z' s
3 Z4 `; \6 h' } ^8 {5 l" h( Y
% V" n; _! D3 m& m, Z' d' X 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ' t% N! d& e; w: c& {# o2 j0 S! N& k
- u: f% ]) s3 y- L" v( |& U4 D
! U; L8 ~2 w% v2 B ) a2 Z) u# d9 L
8 {& W$ ~6 \6 a, x% Y
* @+ O$ D/ [5 |/ F0 Y/ ?) ~4 q5 q 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 0 ?8 w# A1 `* b% R
2 K, M$ W/ {) ~
& g& o! h- s( c0 D9 g8 r 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 7 U( h/ |1 C$ D9 h
" R: b* ^9 w! @2 I* Y: K9 G5 K
+ e! w$ M1 Z! p1 s; s+ n 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 9 n3 q" f; F+ o) G2 s
5 R4 }: c) ^! V
0 T2 W6 y5 }% q/ k" `! @$ K 1 B4 G/ Y. ?. f: P) p- |+ z' F$ `- m
1 [ f: }& m1 Q' y% `6 J 内网渗透* c& X. Z* Y5 x3 B8 E' ^- k
/ h& {: r4 ]! J! N: x& v! D & j$ E: L+ H- x, k! V/ W* l
& Q5 D/ Y2 `: g& s! ~ 1 O5 y2 [8 M$ c5 g! Z- O+ }, [7 _
2 {2 p# D" n F5 G win下搭建cs和linux类似。 * `% q/ W! d$ i
5 F# R" u. A5 l" x3 R
( ^( _# [/ Z$ Z, j+ G1 X/ I
teamserver.bat + ip + 密码
4 o- G/ ]2 x+ b% v- h4 \
4 l) u; z# a/ T/ S, ] J
, g) ~5 u- K! R% n% d # $ G* \9 g; C9 @/ D5 t. a
8 _# K" G4 O( c9 f5 V, S. q ?6 h7 G3 R
- `* w1 N4 c6 e1 @: q6 _# W5 D fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 6 F3 S6 w( J5 ~* E
* m) O# K8 a7 \5 g# T, M
- F0 C4 s7 h4 L$ u* S5 x & p( N" W& _% Z$ g0 B$ s
$ i% G5 ^+ }' z9 n# p) O& i
, S7 Z1 l# l% H2 { 9 @6 L ?6 Z. K
# y7 z- v0 ?( {
; N z0 G. W& I( l* i3 _ 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
' X6 N9 v6 @6 G4 V0 j
4 S2 i$ E" q9 H# c3 S* R , ]" w, r" s. D- Z# m3 H
. $ t/ g# N9 b$ z! X' s+ c/ k
3 c1 T. A0 d0 \" @/ ] % v4 q" ~" l; q$ l/ a
8 `! z' w* H/ p+ `% z1 h3 m
1 x2 O* B: d% w V/ K* K fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 5 Z% m) z! @; B2 {0 V5 W
# c5 A! l/ L/ s* F/ U
# w7 ^& Z3 C+ v- e8 ? PACS系统 6 R5 F* [1 d: u- T1 ^% {* X
1 Y6 L1 N; g H
- ^( m7 C% Y) F' `9 n5 I : y' d' a5 f: l, Y. V
0 K" d; u/ o. [: J
M2 L4 ?! p5 P2 z0 t- \
8 u: k8 v. c0 K: ~ ~
' N& p0 i& D8 g" y+ v- _1 L $ u7 i- F) E* |% X( A
3 F# Y4 k: @8 I9 k6 w" P' X+ l% n( t
T( f, J. { C/ p& k HIS系统 1 ?& V2 V$ F- L' @. r1 l% J* k
3 v* ~! T2 y, Y( O2 q8 H8 @$ P
9 q6 }5 r6 n! {* e ' u& V) C/ W$ B. C
4 c# a, \4 b& I5 \" }
. C. N0 n+ K: s7 E9 t/ M $ W0 R& c/ F* H6 T+ p0 D) k/ c' X
1 F4 Z/ o7 X* R1 N/ g: i$ w
. B3 ^* e' S( Z( Z ( H7 N' P5 W4 d# |& z& |
! w. u( [3 E# O# x, m
% X+ o- A8 S0 d0 E+ M+ d8 s 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 h/ b% j1 p3 @* g
8 M$ p* E' y' @6 f
7 O$ |( p" {/ o3 Z, t+ X
+ w6 \4 U) Q4 h- z1 w; W* M
$ [, u" |; }1 G' |0 N / |* a2 b% `$ L0 J
s! t% ^5 n. `2 V9 s+ d4 n
4 M& l+ M* c! K$ Q5 t$ C4 ]7 w 后话 0 m- G* i+ n. L; J
4 B) F+ q0 c+ _5 x2 I" H% l
: o* l W3 \! Y" o 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ! B5 K3 x* Z! i: X
2 E+ c4 q' h1 L! V S. `
7 ]8 s0 G5 M8 Q ( w! @' X+ q6 d! j+ v, @
, J: H# C0 r: \- {# c: v* @3 I - m8 l, F- I w* X9 _) P
+ z& u. Y' e/ z& p/ a8 Z" f " Y7 K9 @( _3 p3 d
6 d- _2 T- e. P; q! q' ^ 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 , f$ u- [0 T# g5 z8 e9 ]
k! Q7 s8 o" l& A$ S3 y& f
2 n/ ]5 C3 ^/ m* L ! _$ ^* Q" B' p* u- y" V
8 [. V- x. N3 q: @

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

5 B0 a5 F {- v8 E3 p9 r. P 无线or有线6 G( r0 }: l! P* }* J

1 [ f: }& m1 Q' y% `6 J 内网渗透* c& X. Z* Y5 x3 B8 E' ^- k