找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2262|回复: 0

记一次某医院渗透(近源)

[复制链接]
发表于 2024-3-1 20:15:03 | 显示全部楼层 |阅读模式

* u3 H- k& Z0 U, I4 K: p 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 ) _7 }5 O9 c/ W! ~8 s2 }' k

6 _/ U) F0 f$ ~+ _) d, [' y! |% I3 k7 w9 @

, x0 J. K( v/ w& s, ? 众亦信安,中意你啊!
$ G# D3 ?) v9 \3 N3 ~/ e
7 _9 N! S0 F# D2 |) y ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
* S; L2 C6 c0 q3 Z0 R, v9 _) P

( i+ l0 E" X/ q1 n( i

: k' v- g( W5 s- |' t. K7 Q! @( o ingFang SC,serif;"> . Z; P& d2 `6 N+ E- ~0 Z- J

* ?) a1 H! d' i- R% N
$ h$ B, o% {. b+ B3 J+ z

. m' g" K- v$ v9 @ 众亦信安 4 n, o9 t; R" r; i4 G4 s" ^

* w9 m+ i' z0 F F" P) }, K7 d0 i

7 B" @- Z7 z1 `. F3 W- ^ 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 7 e3 r; g }( b7 M {) X, s

8 b" H( `9 C1 [$ V7 u g

; L# [' T' a. H7 M+ U5 X ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 4 n5 C* [; ]4 |

# J9 z9 q' R4 c* L

4 g: e: z" Z% p 公众号ingFang SC,serif;"> 2 E+ E, V# L, G

$ H, [8 e6 J, D

! `) v. {1 H2 j5 t
4 p ~; \ x1 ?, c; L# K5 `( y
/ d0 ~: t; D) P0 [% O
) a, a" _. K; M2 I

|% K& a# C, \* q4 y* ~) N
点不了吃亏,点不了上当,设置星标,方能无恙! $ [1 Z/ X/ i9 r( G

* W0 L" H3 X( D( \1 g ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  " y4 S( @5 o& a# i

3 I* X( [3 o! ^% ^( R

, }) q6 b% s2 p' T- ?: I 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 + f* p* @7 i& R' \' ~& V

) h4 X( Y) P0 u: u

6 ~" m$ }6 T. J$ N( i6 E   / m7 t* M5 C/ X3 D

9 u1 w: ~% r( B1 C E K
# P W) U$ J$ {8 V+ ?/ D& z ! [! M- y7 s' a) ^6 |, d) c

( ^" t; Z) S0 o/ `$ ?% d6 W( L5 N; c! z 无线or有线+ p2 u. N6 q+ J$ D7 O/ y. Q

6 h: C5 E" j. H
+ W) T( B) {9 D
/ E: E! k, r" _9 E" \# m + |! D$ e5 p- p0 J

3 j* L0 l9 A& M" O. h! i9 ` 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 - B3 U2 ? o7 O5 y( |

" P' l; o7 u1 E6 ^2 U% r3 f8 n

- R7 ?' ~- ~; p" ~( A+ B 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 * G! v- z' U, i1 C# \

2 T; e- } ^4 ?7 C* X' X

) s$ D6 O0 L# {8 P' L vshapes= / A3 U, k! D4 `) a3 V: C

: |( ]4 K" H, w& |

9 F/ x0 W* w; V A6 F vshapes= - m# H/ X" P3 n$ [( u/ Y F

+ m3 r/ Y% \' U9 }. \& M) F; T7 B

! W8 R. M, @. J1 z: }! |) ` 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 % E: `3 X, _! R4 d; v9 g7 U

p& n: x8 n( J, E1 `. ?

' Y: C3 q, e# y) T3 c- o vshapes= : d; }) b3 r1 p9 v* V

7 m/ I m8 x4 J2 o( d- X# P2 d+ K

) p5 o& C" w2 J- } 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 . c7 Z# f" p! H2 R7 u- A( Q/ R

+ r5 e1 {- B/ x+ ]

8 R0 D; i# h6 x. Z6 R* { vshapes= 6 N* ?8 n( M' a+ s! i& y3 V

G5 G* P7 B: C

; p% _3 W# _" g3 s# |' E) ` m 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 B; u( D& E. E( q0 B

& c$ K1 I/ @" w

+ J1 Z7 l; r. o 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= ! k: ?# |) n& O, _! w/ j M

" d2 y4 ?, x$ H

- y4 e# o5 B8 R( V 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) , h* L. f* c9 k* {

; B+ _; k/ h5 {& u+ I5 A' j% l/ H
$ Q/ h4 O. I) H. o: O) j : f: ]' F C _ L

3 N2 v3 l& }. i% j# K. m 内网渗透 " a% y0 U: ]" b, d, P9 J. f& a2 d

7 D" }& ^; U' t
( G9 o& K( U6 j
( N$ ^) ?6 J9 K5 T; \5 t 0 A' z; v" n1 D- J/ i6 i

: l$ @: _3 k/ n& y- O win下搭建cslinux类似。 9 j- h1 k* ?& u+ T8 @/ G

u( k1 L3 {' ^; d( m& u' _
2 W! k& H/ L* N7 Q3 [# v3 b: p2 i, p* G
teamserver.bat + ip + 密码
- e+ X- D8 J% T! W: F
1 W% n# G/ K' b1 N6 s

" U {% @) O) a; Y! O vshapes= & B. I% h4 O2 x9 [- x' C9 U# P6 a

$ b, f6 l: M( o# ^& T$ [

# u8 l$ u8 e! x* X fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) # m N% \/ {9 M9 Q

* l9 @9 D+ o2 Z( U4 H9 e2 i3 v

+ C2 |1 y* e* F C- t vshapes= ! ?4 ]7 M/ h5 B! u) h; W

8 S; n# y- O# A2 d

e; W. ^7 h4 ?2 l8 n3 X+ D+ y9 y vshapes= 0 q4 {0 k% O% D0 g5 Y7 w- f

0 M" V$ X: W9 t# Y9 B* H7 }

8 s" H- ^, i7 f8 q8 E6 w* X: ^ 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
5 {1 y" b7 w+ i6 v+ \
- H6 F% z g- G/ E% `# E
9 f7 l+ }# l, p+ s

% x$ i8 A! ?! ]' A8 ~

5 j+ E4 }3 t; F" Q& ] vshapes= * B0 `0 c% Y2 ^$ a

- H$ f; K$ X& t) C

: ]* a. I1 `$ c, a" W fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 - x% y# Z/ z9 U; S- ]& m$ n

: V- T1 D* N. _$ J5 q* F m& E

" N9 M& B" h: f* q! x$ t PACS系统 7 ?2 U* w' j# {

$ d- {) u9 H' y2 L& _2 L# g+ |

f- E/ m3 E2 @( A vshapes= . j# V4 G0 ~5 i/ t& e

8 z: m( ^$ @0 M) e1 T+ s* Y k' ^

) N8 P/ C# a! e$ p* ]5 u5 d( e vshapes=
! n& ]6 G8 G0 L9 q; I
# l. q8 h2 v$ ?, r t6 V
0 r. N8 i; D1 z! P' t1 G9 z* e8 r$ E: h

4 ~ ~* p( T) N

2 k% x3 @) ~. }. U& V* O! ] HIS系统 / }7 E6 A- v5 r! A" `1 c- ]

+ I6 V. J3 y- K9 n9 D" Q/ \, ]

- L/ ?* j5 y @( \) Z' z vshapes= ( S3 _( \1 s: U, u! \

4 D# @* x1 P9 `- F$ q* k0 `

, m: {* X8 I8 B& U, Y" D. Q& ^   - F v+ c8 D. A+ _" T4 X

1 j# ~. Q( ~. }8 L

9 H+ U( d! h1 P! `6 C vshapes= 4 `* R `' k& Z: X

2 ?& O- |& N. g! p& [3 o: w

- e: _ ~2 d9 D 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 - U0 n9 N3 P* R I( @, }

! v5 w/ U* X+ w P/ b- B

; ~/ Z0 e& W! ?* F2 `1 q
4 x" H/ P ]1 O! J$ V3 {4 n
" K f! p V3 H& J
8 L7 k% I7 W; A D$ t* f! C4 n7 ~# x

2 q" `- [ O3 B& {$ ~8 H: Q) s* L' j

3 H1 v( k" h8 x5 t: E8 q+ [3 Y 后话 M/ r1 Y/ D% q0 m

0 D8 i x- S. Y4 w% O% ~/ H9 S$ a! S6 P7 x

3 X" |; E, f- n" t# b) G& R |1 b 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 - u" h1 P. x6 M1 _

0 p7 J5 q c9 B. m' e, I
5 N# s/ y, S' I F, o' i9 k # ]5 c9 g$ F9 T f
& @( J+ D& Y1 F0 f# R0 j# q1 P1 X
h9 {! j" n h1 u3 c& s% f2 c W
+ _& c& z0 E6 _ s 6 B) L7 m- J G/ N

9 R+ {6 g+ O1 y" z; L6 ?+ p 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 3 B% x; j6 q* a/ w/ \! W

, t. }4 v5 E8 [5 m7 r$ o1 R

+ K: O' a+ O7 G0 T7 j   , l9 z' G p+ i8 }

- _% A6 g( I% p3 [. F& O
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表