记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

! _! U3 {' P: W$ ?: o 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 . q' r/ p6 p3 W! Y6 `

9 }3 u$ o+ h& B/ k6 I7 J 众亦信安，中意你啊！
2 N: {8 h( V4 M1 N J. v# k7 u$ C) f6 ^
. _1 i d0 U8 m4 [. E) j% [8 `! pingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 4 g i0 i* h0 s7 }3 v5 m8 j7 A

. ?; C M9 m7 I0 R: F5 _ ingFang SC,serif;">( w8 o$ N/ G3 t% E+ N- l) _

: Y: ]1 `0 T9 o% E9 y+ k$ b
( K* w/ k4 g* P' H 众亦信安 8 R0 A3 }) F! h; H+ }: J
- G+ d/ \2 }3 K, l2 j4 o' @
& [3 N- g* C3 G3 A9 v 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> & \6 k2 K$ j& j
6 R9 {8 c) ^* ]# |% Z0 V/ X
3 }9 d6 v7 ]7 t0 P9 _ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 8 W) n# T; M. f2 u2 S4 e9 Y
% B7 K# `; [8 a0 T: I ?* B% h- H
& J- `! ^; l* f) O+ x ~ 公众号ingFang SC,serif;"> " y9 O1 B; k: H, D9 X: K
1 c- ~9 I, I1 R
) C' V" g! c9 T- V" U, v2 r) ^
0 f( K7 O* H. O" x5 Q: A
; O8 ]; y0 t, S1 w& K) g2 z' e* Q
* d( j! P& D( i
点不了吃亏，点不了上当，设置星标，方能无恙！ X: Z& U8 I! H! l- |2 U5 b
4 y% e$ s I H ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> * m1 H6 u* t Z& |. e% ?& ]- r
! T; d) z& o/ d$ }1 `( i
9 D) v' G# v, T( R 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 6 {9 Z: V, F D

B& C" S+ i. S/ a/ A3 u( I ; {% \& L7 e# \
) `9 w `9 w S6 Z# w
7 J" A) z* R( y6 f% j g7 ~: R ( q1 l4 U) {3 R
* o8 q" {- b" D" Y1 g 无线or有线 6 p, Z2 F% e8 x* L5 T0 q
$ e8 Z' q+ p" F1 W; H4 V* ? 7 c8 z/ P" b" [" e
- b5 ^/ ]( `4 S & k/ c* U) R' j' l, n
6 }. M- S8 \; t7 @* C6 D# A: d 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 / ^, H2 \+ v) [7 _* i7 ?' P
( u2 W- P! x; r5 d( g
8 ^1 ]& m s8 h 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ) H: H; O [3 i5 F
0 G8 c7 @# q' _; u
0 H' Z# A" p, f+ Y7 m. k) ~! E6 a ) Q& X1 H! n7 v3 W$ r: Y
' J* w2 X/ ?; ~/ z" b7 g) @& d
9 u8 i" ~$ l& E5 x; f# }2 J* L6 [ 0 h, G4 x4 C: `. u1 ]+ a
8 O( F4 {* X% k+ ~0 E; ^" D% h/ v
% y- b+ i' Z5 f5 n6 L& a% u8 t; o 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 % B5 o3 K7 K" B( C5 _( ^( i
, {# k- R! {9 R j! x% t% s3 Q
, B8 a2 W9 ^6 z& j. m. f- ^ " P. h. L# q; b7 a
+ a8 K4 \6 r# i4 W9 P7 J7 f5 F
/ T& D- Q, [) c# h3 Q0 R* w 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 0 [8 d- ^) `2 |6 D w0 x, `; B
) ?2 v0 v& l/ X' |3 g0 h+ E
+ Q/ R3 t O M& s, s $ {5 I: U/ q8 n( k T
. K+ Q0 Q+ v* ~7 q' U
& ~ r# u* ^) Z+ e4 U 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ! A4 ^8 _3 C1 [2 r! Y) o. O: S
: q( m, e: W M* [2 U3 g
8 G8 | Y8 f+ o0 p5 y1 m 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ( K% h0 H2 B2 ^/ L H* }, `0 d6 h& P
. E& y, {3 f7 _. L. b+ E& _9 W
4 ^0 Q3 v, e H8 f8 Z6 X* k 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 - w" m! ]# y# K8 m) G
: R" ~& d. I7 M& X- M. t* J8 f
: T3 V9 y5 l0 u6 x+ R. n, k* c 0 A, a. ^+ X8 ~4 s
: F# l9 w# i1 R7 Z1 C4 P 内网渗透$ w" A0 U; ^1 _) ^4 u9 Q
* @/ T h" E! [, p7 f ) I- F, i- ?, p% [# R$ d5 ?
; c4 A* g/ m1 d+ c3 \% C 5 Z! z, {. j, o1 {3 W7 q L
9 N/ i' y" r* |5 ]. B! ] win下搭建cs和linux类似。 9 u* v; P( ~" g5 q5 X& n# y4 T: F
8 G. I& j0 _/ ?" S, r* k ?/ T
% Q. @7 L7 m* q. ]6 Q$ [
teamserver.bat + ip + 密码
& m( T$ R, g$ J6 v7 ^
: B6 J; y8 f* O0 B
# E, J4 k. O. J" Y% W5 `& u " _% D, H* Z* p' x% g
! w7 J# I& { n/ I
: s9 ~+ u$ p% u+ }/ u! X fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） . N& b3 c, F, A7 }
. {" f; O! D& ?% @8 k
0 d2 j$ f' w, N$ V2 M: Y ) L6 A5 o( Q5 C
. u( G: D" g. _) s: n/ ?
, K1 z+ G& D4 E+ O/ S * F) A3 K; h+ e0 I. A9 M( N$ F B
3 G1 H1 q- L2 m9 M
' r+ |6 s3 E, [( ^! K5 o) j 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
* z6 i6 \8 M; Y. S7 \+ k9 `; s
, v u4 B7 a+ ?! i6 A S P2 M; j5 V& B$ l i
8 a8 c/ c, \( ~) v" ^! H, H* W
. m; y7 v6 ?+ u: P, D2 L' ` ' m8 N+ ?8 f& d. I8 R0 g5 G M
) R: M/ W m' \% S% I6 E; w& i! ]. m
, T5 ~- s* f, U! T* k( H# B( C fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 : P, @ Z- [* W2 U) N) m' U
$ K: y& k% q; U# E
M7 ^ L* x0 F6 g& m3 U( ~' j PACS系统 3 n+ _) G3 a) D8 w7 N0 M; I
7 ^( S( i! D2 ^, f5 C
8 L- E2 T8 j& r. R( W/ l ; V1 K/ P% j g% N5 W
2 E! A" F& T" L( ]$ m' z
: j- m# e6 D" I3 A* o$ C
) T& E# `1 K+ A: L- G! @/ n
* a& S D7 r( }! E- {" p + E- S7 l5 k2 M* m. J& w
: U( a# }' j: a
9 p" E# d, H7 T) `2 K7 Z HIS系统 0 z8 p1 v Q5 N
9 V- ~7 H/ s9 T9 l: K! B7 U2 b+ Z: [
p; L+ Q1 y5 `1 K% _: s 1 {# C( B4 _$ r# [& W4 E6 r C9 Z
5 W8 r) Y3 I* ]) V5 A( }; y. V; i
; D- U: W8 n/ E `: V0 p% u 8 z9 G+ M- _3 n* t- o
) D$ X' }! o" y+ `0 m* g+ k8 ]
8 L6 ?7 L a3 m# ^$ y2 i6 ~ % V1 U+ j% y. D) o- T, D
, b; G6 m6 c, K( g1 S, C0 {( _. y
! f5 I3 S5 y. f+ h% }7 W0 _ 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ( y3 r( Z/ ~6 z( v
+ l! F6 _" i+ P8 z1 G0 s
0 _5 z8 r6 C: K: m- W
2 n: ^; E v- i0 V3 T# D' [6 i
9 s7 ? g- u8 Y2 b/ L ) p& S$ \) i! r( ?
; Y x. S# [; a
7 ~6 d3 n" X @- A- [* O% j 后话 ' E; l2 Q& B/ K$ K0 w- c& Q
0 ?4 |+ `8 v) \
4 F- z/ J8 y4 [1 Z( W- m! W 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ) T S6 v1 [2 G& _9 m) Y7 {
! S* J1 S# M. k/ H$ d2 q, S
% W; |* H1 Q( \+ m ) J5 C+ \0 j4 E7 b
& n7 I* j8 _( o, c, w - c- @% a) n# ?- e
+ P( n* X/ U/ t8 O0 x 4 {5 [3 A$ T$ e/ L
' n" c5 v: e) `! A' b/ n 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 8 {) O- r7 t! d% w; w. x
% W+ o* R# d( z
/ p5 _8 [! o+ n. A " n1 G- Q! D; `0 z$ \" R
: Z: S/ ^! c. q5 V1 d9 p8 A* T