记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

, ]" m2 J, D/ ]) x8 w 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 % v A s3 J, @

6 s7 @3 i$ L) @% E. ?- ` 众亦信安，中意你啊！
- _% [& G3 N: ]
8 ^) O5 h; f7 `. ?$ QingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 5 W- q5 b2 j( T* j! ?/ U

/ m7 @( s' U; n7 o% Y ingFang SC,serif;"> 8 Y) A' l6 X# y) C) x; V4 z7 |7 i

. `1 o# g* O7 V& z1 U5 {
2 X" s. m) d2 J v" `7 p4 l 众亦信安 & v! z; {- ~+ [' L
& L: ]" g6 f" d1 o
9 C7 k5 J/ E! I' O6 [1 P" ^ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 9 \: S* f+ L% E- M. a! U
i5 I* o, G. M* n
4 n; A5 }. \0 o$ e' z8 O ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 6 s- m" D) ^2 ]8 V; ]8 z
3 ]3 F' `. H& Y: R( Q
0 d3 q; F M3 H. C3 r$ |% x 公众号ingFang SC,serif;"> : T% E6 J7 X J% a; b
0 l2 B) V. F( o- W# r2 e0 E& w+ c2 a
/ }9 k" L$ f7 o' k
& x2 W- _9 v, h6 ^ n
0 f/ |- b+ j: g/ M! a , A+ R) x7 u/ B+ W: i6 A
! E* V) D- _7 T5 Z1 `$ G8 L& z
点不了吃亏，点不了上当，设置星标，方能无恙！ 5 D4 ]8 g, G t* T: V! \
5 T) k8 D0 {5 R2 I ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> " v5 E: I% \ w/ Q; _
# x# [: ^* R& |1 P# M+ r6 s
! ^, C) x# h0 B" d4 D; d7 a4 g 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 . I0 @8 [5 ]: ^: \0 v/ z! B
. l0 \9 r& J* G& @5 A* l" ~
: y6 {3 U! \, }& }6 Z& y9 l& k 9 {2 @" |8 [: }4 b
; b% K0 s g0 S# t
* X0 K Q' v! a- _/ [ , p' o5 s$ F5 m( R8 S
+ ~' y3 R6 N2 u$ W; w' Q1 R 无线or有线7 z2 H) D' U+ b* B
" ?8 L* S7 t2 ? M 7 i1 A/ f; `' H$ o% s, Q
' J5 P1 _5 x7 r. v( H8 h$ j6 X, i ( m* Y) m& a( d, \1 q" g
0 h+ h1 E1 K2 U3 e- T) d 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 $ c* P7 E- l; ]
8 A5 l' e& I2 {: O- v: u9 C
. d: V3 R" s4 u/ X 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 : y2 t3 ~! N! `
5 @, U# G+ R- I6 {
8 T3 ]! k! `4 l; w9 U . k0 A5 C+ o( ^/ a
* g7 I8 Z6 V, B. j( u0 x
* B; r) O( m" J) {& h( i 4 z+ F0 d0 Z0 M8 I, U3 F
. @2 O( k8 Q4 L1 Q/ O
% {/ d: h4 S+ e3 I+ c- L {4 C6 t 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ) ?! ]2 j& V. I5 Y
# [4 h G# X6 w: i" g
# G1 n! f; K8 F# i! H8 W3 I2 t8 f 0 N1 t8 r& f7 g& H8 k* Q
z3 \" m7 ?. n" @
* Y/ c" b; e2 w. V7 m! S: N 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 0 m, \( ]: U* b) p/ J$ ]
1 o( |, c. n9 l) @ m
( d/ i" ?8 h; Q( r. K. o* F * p& g" P0 ^0 w. ?) d
+ G0 A& J& C/ Q' D j2 Q
' O. _: O E8 N' p 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 7 L8 k, J K- \+ q5 q& w5 V/ g
8 A' i9 e* a) ]( w5 a4 q% ]
; a& h; Z8 X N7 b5 S4 M* H, u9 \7 d 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 0 O/ A! g' V' ~, {: j
$ a8 E+ k2 y1 ]# U: l7 Q
! V7 P8 n6 z: S7 Z$ W8 o 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ) ~. s! E% `- Q, B$ g7 O
: v# l$ P" f$ ?( t/ q
1 P, T+ r( T- G# e : x( r) U( h: e9 E1 N
6 u5 d0 m# `, p 内网渗透$ E0 ~9 |( B) ` e/ O, i0 A
# G" Z1 s. R' ]) C( n * Y, s* }, j( K; l1 a' ^- ~
3 G0 ~' h, a4 n + c# h& y5 c- ]2 X# G" O
* N+ W8 I1 z+ I' j( b/ d+ U win下搭建cs和linux类似。 3 d) m# F6 b3 U, R! J0 B: u
4 v6 x" c6 V6 d3 l0 f+ V, v5 F
$ o: I! a4 E- i4 N/ H
teamserver.bat + ip + 密码
c; O8 w. ^$ \
! B4 W' R# Y+ |# T0 U* I! d" A
/ z& W; g2 x" S- x$ v 6 ~+ o* @. W) n" E% j9 I+ E
6 E, s' M' j2 A+ R- \4 {9 k3 U
8 x0 f9 C( I' z k fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） . i6 E& z+ D" J% [$ N
' X3 i; v- F. q% i
+ k$ @6 b1 _1 q ; C0 C- u/ `# Q3 c, \. v/ ?
9 E6 C* d0 |# v1 L
( o9 A5 B% d! @0 Q ) `, B) Z/ f9 s0 {4 X8 q1 U
# V7 Y0 r" O4 T* h" m3 g: j) B6 w; |( _
. K& ~. v/ u8 U) v/ J2 G 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
9 V+ l" x1 A3 J. ]6 m1 \7 j
8 s+ l. J- W F, Y9 {" M9 w" o, ?1 S- o3 g) Y+ ~
4 ?% |6 h# m0 ~
L' H. I9 r/ t2 f 7 e+ L' ~7 {5 H0 p. @# Q
! L: e+ u1 w3 I3 O2 v; n1 u U
g; e4 j. q2 p/ H6 S* i1 d fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 - }: y @* y0 ? |! l- c8 h1 o. P" J
6 ? `. g" ?1 W
0 m1 a4 N" k1 V- v PACS系统 3 T$ O# g! U/ b$ f3 K% x) g
* q( ^% ?" q; W- N- c" X- `
m8 ?' ]( O% P: j8 c0 D $ J. k6 S& z: T. {: G1 q, l9 @
6 Z8 {5 l9 A$ W& z. x
; g4 j; m5 O6 b( |
$ t& |$ n9 $ T+ i5 }
9 K+ E v2 _( t 9 ?1 B+ N/ y% v* f0 H4 G/ H+ [
- Y7 b* @. s6 H; W
3 \' n( T- B3 f HIS系统 " k( \. f, t6 T
6 E+ v4 D( }* e
% i, \3 d' g$ E! x* f f* i) | 1 l5 l% { [) { o. K/ v6 E
4 k/ m: ]& B* U/ C$ Z M% o
/ W; d0 N* B1 v, G6 M: V4 R' y# p! u 6 i' u! F0 o+ b" _% r3 v3 \
0 p0 W6 I, c4 G& _7 v3 r- B3 }; c
8 b8 J# D% t% $ E \. q+ ~ 1 o( Q% X% u' }+ L3 Q; P
! O: k, u/ K" U
: W) Z/ R* f( w6 `/ { 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ! y3 H/ F; Q! N' w* b0 l
3 ~$ x# V6 a/ P7 T4 C3 C. K* C
( O% o$ @5 h7 w: @; B& @5 `, P: v$ T
$ |6 ?3 S1 y1 L& h% \4 t
+ O2 C2 S, @6 B1 h* h7 P 4 H @2 H0 G4 K, C- s% X& \( ], M
3 v3 y9 d; E# F: c. t& l$ d1 ?
/ c/ E$ N% N0 K6 e7 e 后话 % ~+ u, g/ T$ j6 C
4 A; b# z& o, f5 u5 G; h
" G; _. c1 C# E- b+ D, f 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ! k- ^4 W" z4 a: E
9 S5 R. p3 P) p$ \+ j# n
. N+ z0 C2 S2 u& J, E' ?5 {& u - I# I# P/ Z, C+ T* S( Y" K
* N3 j: ^1 X3 ? h ! @: O3 @+ @( W( [4 p# n l
( I; c) e6 S, s9 [$ I 1 @4 A3 t- K5 t% n$ e
6 w/ @+ H/ ~$ e0 J( P$ U4 [ 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 " ]- V1 @& ]2 l1 }8 H! R
$ e2 r3 H9 a, r: X( ?
8 O+ _' l7 h$ d* w6 V 5 q' m1 k) H$ O% l
4 U5 p3 S+ Z5 m3 H