找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2176|回复: 0

记一次某医院渗透(近源)

[复制链接]
发表于 2024-3-1 20:15:03 | 显示全部楼层 |阅读模式

8 W/ w* Q. ?/ x6 I 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 + u% d3 j6 A; S) P$ P# t1 o

% O2 Z+ g1 U7 b9 V7 B/ ?! \ r

( Q$ [) {. V b) C 众亦信安,中意你啊!
/ m+ B' L6 h% D- A& I. N
3 y) N, l, x; [) B, C ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
) L- }+ e* M* {8 W

. a8 V+ x, l% `. N

+ E& p! B& x& v- J& Q6 i ingFang SC,serif;">: m$ `, _" v3 C$ k, m! S

9 v" P# x5 s2 U; }4 A+ N7 d) W
' q. `9 O0 L1 x4 R k6 W( F/ ?

U! Z# | T4 ]( c/ a# v$ } 众亦信安 ' q# t. S5 `. r w$ C' ^% p7 P% D

: D% n6 Z- o2 ~4 k: ~

) z6 |8 \* _8 W' F 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ! U6 x/ N! m) e3 y D, X' F3 O1 Z

4 R( D( t h% F$ w" B- l3 s8 q

+ Z1 m o9 z0 B$ `% P d ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 4 b9 z7 }# w/ N: Q! a% E

3 l/ f" g& e) f4 }

/ t7 K+ f) Q+ I* O5 h/ _ 公众号ingFang SC,serif;"> 5 R: r2 q# `( q

& B. U. {! M8 F9 M/ K& W8 M

1 I2 C4 z$ L w
( C: Y- `) V6 c0 }1 i, _
Y3 e6 M( f5 d; r: b
+ { M& ^! t9 Z) u3 S

% J% V( V- }6 o3 f1 T5 J/ q
点不了吃亏,点不了上当,设置星标,方能无恙! % H6 X' L( b. n4 a

( C' \0 R# w' |! N( o1 R ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  . |$ n7 k8 ^. j

; I/ _: \1 W8 G& Z3 Q B* _ x

$ R( h( p/ \# `. R- a8 ^6 x 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 " y, h3 y+ @* n3 }

; h! R% T3 Q; H, q" g' ^

3 r3 Y( v1 o+ T$ p   $ s: N: u' H1 q- ]

* \' g$ G F! [5 G& i* x
( ]: H. C7 K g* h4 n ' e9 a) z1 t' f- I) W

5 J8 n' w/ f: Z* ], [9 M 无线or有线1 R3 x$ ]4 y& U8 l, m* `

7 f. H' \* @: j# K1 p: w& B
% o$ {0 j* X {7 K
7 H7 e' ^6 u' W1 q 0 n& T+ O7 \; R7 A4 e" J3 X

# S9 t9 _9 ]1 a8 u {2 u1 o6 B 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 % f! o! r# m; s/ I- c$ q

% c1 l4 |# z2 r# o+ I" \6 Z

- U1 A% z! t* x3 G- e" u 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 ' \! }* [6 ^5 M

8 o/ J, z2 J5 D( F5 i% b

: d2 I' I/ M8 o- i vshapes= * F" [+ m! ^6 d, a* Z, X

7 ~! K( r) ]; f

}+ k8 }2 @8 z. C7 [9 M vshapes= % h- R& g/ o- x6 y3 E; w9 I

5 x3 e4 V1 w; A- M. B

* D0 w9 r0 g( Z) ?5 w# p+ h 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 . }. u0 N$ K; [5 @, D

( b7 G6 j7 g( j% c4 v

4 d7 Q' X' V2 ]. E vshapes= ( y) {1 n4 n5 i

6 I# D* y3 P: g7 t, J8 O% [/ q

7 r+ r9 g6 L& ?4 [+ F4 A7 Y& x 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 7 Y) W0 R" M- q2 y: [# x4 \3 o9 c; Q; a. Y

! K& |. G5 V U0 x

9 ]- C) J+ O5 o: X& u& c% K vshapes= & g# ^- g! F/ s5 f* \

! J$ B4 ^9 P9 {" a+ F! E+ Y

) p8 f0 X, s) x% u 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 1 g9 s0 p8 K4 S. J, t

7 h; r3 `! p, p( n1 p( s# f' j

7 j3 m" ]6 r# I/ G( m! I 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= & J& x/ l: `. e [/ F- M

# C; [! s) [3 Y9 X5 n

; H; ^3 X9 q S 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) 6 W" O2 u; I2 |/ _6 H

9 x9 r5 B ~* P5 Y' B$ L5 D6 P) e
6 K$ f- n9 r0 A, a $ K% E. W) `$ f

+ z+ @0 q; u& ~6 j5 m. Y 内网渗透7 j) P) y6 I( d; D$ c* f% ^

) v3 Q* N0 {4 w0 o; F1 D3 _
, i( G* p8 m. `+ y
3 M- G* M3 X" S/ L8 c 3 c0 y, x2 N2 T" I- ^4 W4 m

" X7 C' [+ v R! o win下搭建cslinux类似。 ; ]# e, O2 G1 E3 }6 s a

8 {3 K0 Z; U* s4 r
. N4 y2 M$ T- I1 W: V
teamserver.bat + ip + 密码
& ~7 `' Z; ]# Y! f
" {0 H+ G$ \7 \) ?* V4 a. _

3 H8 k7 s" e* B vshapes= u1 `! i" Y3 O* [0 a$ J a% A

% [! _' P1 m9 |

+ A1 t3 m- G$ G1 i7 c fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) 3 V" m) t3 P. U

, J3 J8 D3 |' W W1 ~

& M. S* F" s+ ]0 f: a vshapes= ; X8 H9 z& E0 T9 r/ a. c: E) U

* ^- i' u% Q* t5 ^

5 D8 [* e- P* a vshapes= ( I5 L0 ] Q/ J! J. u; d2 ~

$ L' B6 b2 |0 p7 Y, W8 ^

/ i2 J. i7 I9 ^( I. \7 S8 q 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
% K1 @5 g& S6 n9 y1 O
$ K9 R5 K: f/ h9 }' c+ t( O
) B( ? H* F1 y! G% u2 r: F9 t7 r; _/ |' C

2 Z, s' C( W+ e: |/ `

% {/ J0 F \; T' L0 k vshapes= 7 q. p1 Q& ~3 H# S' b% _8 R3 C' M7 r

5 \& [( Y5 Y6 r) O# l0 k( ~* m3 V

1 e' ~) o$ o7 s: `0 V fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 - e/ z% ], l9 E7 _

( Q, N9 C) e4 V1 x$ O7 u

1 }1 L& p' X: Y, m4 g/ q PACS系统 4 H# K* j) w* a/ o. ^: C

8 }$ Y& w' T; u- ~7 D9 u* V$ G9 @

" V: x' z8 r& ~6 C( ~ vshapes= 8 q) d0 w1 u0 T& B6 s

2 D4 ]6 I5 u( X$ i

; R" z7 r7 x, B) S* u vshapes=
0 J0 h) r: P; i d% q5 H m- R+ w( @
# j; b8 y, E, a0 W6 Y0 g8 S% w
+ g( s1 W+ d$ v; D/ \* |# z

$ K, v5 l* ^$ z5 t$ A( U. I

$ _3 e v. L, V. T HIS系统 6 @& y$ u6 ~- X$ V" ?3 a; I

5 R5 t4 R9 p* q6 L) _

6 }( i* V; V2 Z& z- ]& { Q% N vshapes= ( x, `; a5 W) ]) L* y

- l7 R* N1 _7 B+ z/ ]% ^) ^- x3 y

( \4 d/ z( d0 K9 Q2 x+ ]   - i* h; o& X0 _! {, l6 I

9 j. k2 x4 r9 r0 W4 T$ _3 m

( C/ o. g% y7 j2 ^9 d# M5 T3 g6 i vshapes= " a7 _ g% R c Q2 z

) G1 e9 a$ X2 Q& P% M+ e

; U, u+ L) C% R 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 - `( Q( k7 h8 u( F1 T0 F3 C: j# C6 j

% u* l }8 x& N# Q) d: a" V2 G

3 D+ d1 Z( S3 V' {% }8 d' ?
9 m3 F% |, F* n& y3 ]# k: t( Z
2 x* D- C: G% M! F, a
# G* l) h! O4 a4 `4 q# V" r

+ b% W9 y/ ^ d3 u ^+ I% `+ K' h) f. v0 j

1 O2 Q) h" Q+ R4 Y7 N 后话 ( `' Z6 X. f/ q. r

" S% r. ^: Y9 o1 ^

q9 A4 S$ e0 q4 ]! W* U 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 . r3 d+ ?0 a( ^" p

8 G( c5 @# f, g
& j/ G) e! h9 j+ o% f! y * B9 m* @8 e) v; a, l7 I
) y1 N3 E5 B8 d* ^7 T( s
6 J8 i: k v" B' Q/ z# E3 `' d
$ b) H7 o' v \9 O# }0 ^( d 8 ]; |6 A; t8 ~: L" g/ W

" S9 ]% s0 a. [+ H* M$ n 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 5 o. f- m5 D/ r

" X$ A7 a. [1 N& {

* C& i# G: ~0 I3 v7 R   % l( c4 d( W& ?- A3 _( ^

) K/ z0 ~; e, E9 {/ Y$ g7 m
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表