记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

+ n' J1 ]/ a' [9 U8 l& B! E 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 0 @5 S/ ^5 n) { u" J* w

9 t4 T3 b1 y5 B 众亦信安，中意你啊！
; D+ x& ^% ^( q- u' k' \
6 i& n3 R, O. N" E6 l& ringFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ' i# s9 X* t# m/ b4 j5 o

4 E$ M5 L9 h2 j+ ^: G+ s/ J2 V2 n ingFang SC,serif;"># z1 u, X3 h; J( Y3 ?

" ?: W8 u! Q9 y) G7 O
. R+ ]1 \$ d$ [' x, d 众亦信安 ' k) u. v) e& Z: @
# d; ~6 z1 n% H/ G
; R* v: o( u) H( A 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 6 x, R y; t' @3 j3 n
5 ?# c7 m: S) {, j
3 _# Y3 W+ H' x* R$ m% E ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> $ Q4 z) N+ ]7 X! Z; b) L$ ?7 I
% o4 h$ z' W6 F7 I. O" I
! \" j r0 b; F. J 公众号ingFang SC,serif;"> 9 c2 W8 m+ w! p+ a& ^* {0 M6 r$ j
/ [# ?+ {$ B; ]* p1 S% S: ]: T' K A8 U
- t, x7 P i% {( S7 P, o
+ s. U9 `2 @7 F( P- I
* ?$ ~( b2 R, q0 _$ n " q+ h) d3 s8 n/ Z- X0 w9 j
$ D1 H1 u( x X* @* X
点不了吃亏，点不了上当，设置星标，方能无恙！ & ]! Y# `+ D9 x @3 H3 l
1 K8 r3 E3 l$ s6 C v2 u ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> # Q0 Q5 C$ d. }# ]* B2 x
3 x4 X7 S/ Y k
" @) `; N: o/ Y$ ]0 [( O 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 + y# v: p6 k0 K/ h/ O
/ R7 V+ @2 G; j; l
( o+ T" S0 Q3 f$ @ ; d6 d" W/ J$ f' w6 v2 ]9 S
/ t* F; f8 \8 K, k4 f/ D
0 T1 e K/ w4 d0 k6 @) f 3 k$ m2 a$ v- ?' I9 Q! p* Q
$ [7 W' p- G- u8 `1 Y1 l1 k' x: X 无线or有线 + D9 Y$ H- F0 U4 H+ G& G
. Z5 g- O+ T; H 7 t: N2 W( }* S; z. k- w- r
4 c$ m" v2 C. l5 k1 l4 g, [4 R : K; L9 H9 S1 h4 I: x
; @1 N' k$ R( Z; U. \0 v) H: a 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 6 ]& i6 g( P h# m" R! K: e
o! y& v l8 J0 V. m# f: \- x5 Q' x
" U7 ~% e. I& Q& z+ @) k+ c0 X 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 . D; P7 |* t! {; T5 K1 d& T
- D4 g- S+ a; q7 T# Z, c
v ?7 t% o' g% f% Y# \ 3 l4 `& L" E' a! ?7 F4 i$ i* R
& w* y1 g& U! }' g4 l
! z, \7 E, M0 o! F8 s( Y , w. e9 _& {5 d4 I0 y4 k" \& H5 e
; T( I) F8 }# {; [1 ~: \) \
0 H- J8 ~) k Q( N 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 : E! y* }* O1 f; X5 d% |
% H6 E" h3 Y% E, M% h
, M6 M4 L' B6 } 5 ~4 {% B5 ?% b+ t
, }8 f2 w, I2 o& ~: M* J- @. s
$ N. B- I9 o* x. j' K+ ` 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 0 a' H0 e: J6 ]
) j5 H: ]4 V4 E* ^* }
1 T- I4 f0 _3 K 5 Q t- A8 X$ j+ O1 u* f! L
& e- G; H3 Z: K( ^
1 f Y9 Z6 {- E2 W! Y1 Q 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 q# O8 U& @* K- b& H! O& L
2 f, |. L: g; q; S& `5 Z
1 d' U# J3 S( M# k' F 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ( ~. z6 R0 W3 A" K
4 M2 x. D7 D+ ]( G) S/ B4 d
, G& k& n$ K& K+ F) Q8 M$ P1 w 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ' ^3 l3 K3 b* p8 }% |5 l
. R" C0 i$ f/ }8 t, n8 c
4 C5 a a& I3 |2 K , o( p" t( s. d
' X, }' S' w' N! \; R% q# T 内网渗透 9 [+ T+ {0 H2 w" q
- h3 e4 j1 D& E1 [" s ; [; `' e% j5 i3 G7 z
& [; Q# [& \: B/ a' S/ h ! N% K! }7 E- d- i7 O
6 Z* H0 R5 k" x) ?( e win下搭建cs和linux类似。 - q( V6 ]- J- Z1 O8 Z6 m% s$ K
) H6 z+ w8 l/ I. R% y6 X
* \* l9 ]6 p$ y* K1 d. [
teamserver.bat + ip + 密码
: }9 y9 e4 H |, u
- U. L) E& D B
1 T/ v4 f0 q& n$ o8 d 8 Z3 s% V2 q; Q* _( k' S j
! s1 j1 C6 a, N6 r; o0 e
9 y# n: a" U' i& U# b5 ^" u fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） " e% s5 l7 p# x% @% w/ c" r
& \0 l: y0 B6 w( `& X" v
$ f& g# Z8 E) ?( X ) J* j1 Q* A* U& ?- D- P% j3 c p1 Q
8 M) Q; k" N T7 b# I
& M# F4 ~1 u( T8 V Z- W " A) M" W2 `- z& h' ^4 A" D
) B) u v2 M6 r$ l/ M* L6 p
& Q4 d3 r! N/ ?! L: o9 F 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
- r& d. P, s& d0 W+ b
$ N+ k' r* H2 I2 p9 R3 {7 [8 e2 c( q, t
. T4 H: ?* t* d' K+ ~2 [- g
5 N, h0 M$ N7 @( w; t! o5 j+ Q , S$ M4 P, }, c( H& ^2 }* c
% f- s" {/ v, ], M O$ l
9 D3 I/ u/ W& ]+ }! q) h+ M fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 + `! q. n6 h z' b: L0 @
$ N! G4 ]- v9 ^* ?- |: H
8 ]; t( x; q3 |. W1 ]: ~ PACS系统 - O" Q5 e( b; {
0 X2 r5 z4 n% d# \
- q8 F& k& j, p: Q1 m/ B 3 Y0 a" n+ V: I9 R+ Z/ e
+ H1 l" s8 |/ J: L( o
' P( }& d* l, u, d& M G0 U
+ ]# u( B# z5 W' s
; C/ f2 Y4 b. \+ i 7 M- j. H, o2 `3 D
& M' P$ w& Z" L6 N/ }. J
! A0 _+ X4 B$ W! G9 b: S HIS系统 9 M w+ M8 m: ]4 y
& _5 z2 X# K1 G) o" ]! T9 G
) B3 g0 x, h0 K/ Y5 q + K. B' { i% L2 @# L+ {' h
% ?$ i) l# y) X% k
! y/ ~6 l( C% B' s, b 2 t+ b0 V3 y$ I1 g f
+ X" H# @6 |4 m- `9 O
( a! R y( l, i3 Q' Z ; k- R) D8 D: Y% x7 [& J# n. ^
* K5 S! h1 ^+ G3 N0 P% @2 \/ P; Y
6 }: r& y' F& K2 y 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 G" W/ n# ]" E4 L, b/ G, K
8 K% N( |/ b2 P$ i4 m! Z
# b3 n+ |$ y' J# F3 S1 |8 d$ W# r
; x+ V! s/ M b+ t! s% K+ p1 _ O
( b. \6 O( P' y) h: V& b# E3 o+ M+ e8 c k4 _
: m9 u5 t/ a4 U, E/ W$ o
5 ^9 B, A$ A D, y+ N2 }# i 后话 8 w: p: W- V/ Q! d- A
7 E; {# b0 n# `$ `7 t: H
; A4 b& s) U l( h4 e% x% X 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 : r+ c8 R. ~0 }
- P( t" |! X7 L$ L
& b4 I1 p, Y `% I4 Y- j $ Z8 F% B* H5 B, w# L# k
6 p& c+ ~4 \# T6 g; B' J' D . w9 c4 J' h2 x1 q
4 C' ^6 C- h0 \ x0 H0 \ # A2 @8 U- M: m- g0 p7 X& u
. K) g2 n6 T M; R. U 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 7 @ M7 q+ {& A2 l$ L; [/ G# _
$ g; c3 o4 _: D6 \$ d' ?! j) F8 ^7 h, x
9 c" x) N4 g- t ! r) H5 Y" j6 ]4 l. r
& A1 V4 }7 _! u; b5 \