记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

* k. ~ M- X3 N4 ^ 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 " z; Y! \/ L( j1 l! _

! w% M$ ~/ x4 J1 e0 P- P8 u 众亦信安，中意你啊！
+ }3 S: _$ e1 \2 W
$ ~3 E$ O+ {" OingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 0 D# x: n2 H8 N, l3 Z) q

+ S. L1 E# t; A3 h- x8 n2 | ingFang SC,serif;"> 6 T3 v6 V9 H v

6 G" H* ^0 b' R0 Y
; u5 Q0 Q6 M/ _$ g 众亦信安 1 w- U5 M3 C' q: i
: u1 R% k2 z2 |2 I$ I
) B5 d$ \* i4 {: Z, y8 \ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ' y$ w# }, T7 H+ I. P9 w- Z
' C( o ?0 j$ B# r0 y& `5 p
& |+ O7 N( ?; d6 e ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 0 W5 X7 @) Y4 `! R. {" F- ~
* h* S3 T7 c k
; f3 F) w: x6 V8 v' [5 v, C 公众号ingFang SC,serif;"> : q& t& `9 O0 W0 {" F+ @
. s. T0 e2 e* D* e
; A( W2 E( V0 k0 G1 ~; [
! T% O! m6 V* L2 P( q
8 y9 O7 p( b- c D8 v2 i - C2 p$ i+ ]) F% \
; B. N0 V3 J! s% f' x; h2 d) o
点不了吃亏，点不了上当，设置星标，方能无恙！ * P9 e% h# T+ s, {' D) x
' a$ v* j% h( F9 O, U ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ) H |. W8 Y/ V$ E7 X3 S
4 j* y# }# J' @! F
) n% A1 o/ N$ [6 e9 f: L2 _ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ; P4 _7 f, A. m: v7 j* E0 x& f$ j
q$ X- o9 p0 v5 j; I" P( `
5 j* y/ [, H% c- }" a 3 s6 ?* z3 Y" A1 j6 o" S( P5 P
* \, F7 @& x7 x; `8 `! k) V
1 T) P/ v, e {8 [& z7 a4 K1 ? $ r: N6 |9 M& u9 k- P0 t
0 P+ i# _' _; H% ^ | 无线or有线 # W8 g' b8 j0 H |+ \2 P
6 U! b- l4 q5 ]- B" p& w. h0 Q w* k# `' [ T. e ^* O
! x/ N1 `- q7 ^. |3 q2 @ 6 m) E1 R. c. `
% P/ R' A$ o6 k% o& N/ O: |& z; v 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ( C( R6 |9 u9 b" f+ a, {0 h
' D+ s6 M- q. ?# {- y- w& D
2 o; |3 u- m# v/ g; _9 k4 W 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 - ~0 z( ~, U" T
$ |: a! D0 Y$ Y' B0 g
G9 x" G5 U. B8 w7 a9 W 8 M1 k# T6 o. C9 p. Y4 y P
/ r, ~* ^7 g/ Y& y
7 w5 n" H# D7 D( U% | 1 J8 c/ S: B' b6 V1 w: c2 F
8 d& J7 z% D3 h# a$ h
; {1 F2 s1 q+ S! d4 g, i$ I) k 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 # v" X+ h4 F4 A1 [5 ~" Y
% p1 X* M. [) q" Q
0 Y7 x. ]! Z7 _ ; d& b9 P9 @8 q! Y$ c
1 m- G8 H: J0 k
% [' n7 N/ s. ~8 s, [* F1 [+ R- q7 P 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） / a+ B9 Q7 y! u% Q3 \' @2 C
& G% n/ x8 r I6 a3 O
! @' G( V3 d2 v! f6 ] 0 d8 h4 d7 M4 C$ f/ `
- U3 L0 }- Y }
7 Z+ M* W5 ?8 {- E# w 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 + l: s: j a2 c u5 n
' E# ~2 X0 k2 H) ~
$ L$ J0 @, f# G4 c 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 9 z4 L2 J3 G& d/ x* l* [9 T
( ^( n& M0 S( R+ z5 o: m
9 i6 ^- j9 U; a: M7 T. C' A) c9 [ 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 " }* s; V, o5 A$ A3 r* ^! K% Y
5 C) ^- ~! P/ R4 \. S8 [3 T% P' j6 m
2 K, I, v/ A. P5 \3 O6 n' W 8 |) ?1 `1 s, [+ n
, O. X& D/ n a 内网渗透. b1 U% l: v- H' |0 c
4 r7 }/ Z3 x) Q% `1 l8 t' T8 M / q! J" U& Z) k4 W
+ k2 u) n; q5 V: m" O- z6 J. q 4 q& j+ Z7 B" J! m/ i- c( U/ H5 j
8 Y, Q. H8 S9 d7 k3 s win下搭建cs和linux类似。 # R( H! p- S+ T) S' i
4 j* U& w8 X8 o" U
5 c5 j% _; V2 L+ J
teamserver.bat + ip + 密码
2 @5 g* y4 O) V% ^6 e+ v
& Q4 D, q9 v1 m) ?, l# g
! |3 ]+ v" H; W5 s" Q- E5 m3 F1 w7 w " A7 ^4 x! ~7 c
5 k! ~+ ?! t1 ]6 q3 v
3 Z$ @2 P1 T5 ]' N fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） # \: {! D, J# V. N4 O" Z b& F7 o' J
1 j# L0 \3 h* e" z4 k4 M
$ z+ ~1 D4 ?7 y" R9 @ { 5 K- }! \( X* E, P" j: l# r
7 r* L4 U' E3 r
% S4 j$ c$ C! r+ @; x" P6 E2 F & k# {( K, ]; ]# w0 s
1 N+ w( j8 w7 |. ?1 @& G
+ f" ]# b# [5 M 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
0 n( I' e& h3 L1 U
8 m: t% E5 e4 C% y P! U5 r" _ 5 I# o: \; y! V3 E, W
: ?3 U4 }, n) H- r8 S
- c) o" H5 t" J2 z# Z1 k U 2 R8 Y# K8 W( ^% o' N* n. h. B
; q% c* c* E$ U
% Q7 t7 d6 y) A7 P% b fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 : x H4 W3 n0 r: U8 N3 H# o% I
% b& k4 C2 F' F* \
& k6 W. M6 o% i7 R$ W PACS系统 - C( n, h/ B, c0 q' Q
1 {( _, C1 P4 Q1 D3 U
r: }' M' P1 S" i& w9 e3 a$ A3 M+ [ : y0 T3 M& A$ j+ k$ |) S
4 Q$ m' Q3 {1 ~) O7 }5 d2 I8 c
8 v, w1 K6 V5 u$ W
2 e4 A/ r. G# U
6 R3 m: C5 e9 p% C' m: h! ` . v3 O$ n P R" l% @
: z$ q8 N4 A( p2 J$ V4 C0 b7 z
( R- G; A2 a# S6 V HIS系统 1 r; C0 f B& ?% [) N
2 m4 L' Y' W3 w* @1 I% Q
9 _7 s1 \ ~5 H) c4 f) ~, S 8 w5 }0 u6 t/ t" I% B9 j4 W
' m% ^/ Z2 S* R( F6 M
2 k1 I4 g3 E1 Y7 d/ B 5 _, t1 j, Z' r- r" `
% h! g$ e* ?& f- I ]2 }
" m- n# W9 |3 k( m ?4 d' R+ n 9 j$ P) m1 I5 q$ j8 l
$ t( ~5 ]4 g& w
: E6 |, ]8 T9 @6 { 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ) O" ?7 }$ |- ~' D# [ f
8 P9 @6 v: \% l
4 P1 L; S8 Q, O8 m
) g; s }& r9 f6 [5 A
9 L3 j" r1 {5 p2 x0 t' c 1 F7 f- H j" z7 T, j( W: z0 I
: u. g4 T3 ?' V O+ q0 I
8 k% p6 M- d! D! B 后话 ( ?+ g. m, e1 q) d0 J: Y
4 }' U. s7 f4 \6 C% s, k! I
' e! ^3 g. X8 s9 e 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 1 }5 P% v5 L! M+ r1 y" [6 X
- [) \9 z* Z1 j6 E- U, y3 E
. D! e) H8 I0 @9 {: k$ w 0 @8 L# ^' D0 j3 ^$ ^0 z& L- `
1 G$ h% \( L* H+ p% K6 [ # t& ]2 C# x5 G p0 F
( Y N" U. t' ~) o7 o+ C ) x( Y9 \& U% U& t! ~, ?
) N% K! _. @& t, C 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 : j# |$ {* T* `: a0 @& f: ~8 G% \
( w/ D0 }% D/ x
. \+ N6 ^) u3 z8 s9 o( [5 \& [1 V& Q ' ~7 S/ O3 d( i1 p4 Y
4 Y# P6 B, w6 P' N, {: ~* W

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

0 P+ i# _' _; H% ^ | 无线or有线 # W8 g' b8 j0 H |+ \2 P

, O. X& D/ n a 内网渗透. b1 U% l: v- H' |0 c