记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

0 a: [ U3 b- b( Z2 p1 U 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 8 Z+ T, e6 b% n/ o

" X7 Q* v3 [4 m' x+ f* p0 ? 众亦信安，中意你啊！
3 C' v2 s# _) z1 C" N3 _
, t' p: H" T) H2 N H1 l1 m ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> + L3 X( t# u J! y

0 n7 j6 Q" A, P/ {" b ingFang SC,serif;"> 0 ^. \6 u8 T: j' e) |6 y+ N

5 M- S, k, b6 H5 m M
3 H& N9 w/ o0 j 众亦信安 7 W9 ?, }' x! \; V* p" X; L
/ L8 s3 Q2 y H; w' V7 O5 E3 f: P
/ n* q; s1 y% T# ]9 Q7 ~, l* ~5 O5 M) y 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> & n. F1 \5 L1 m' y/ E
" m, v1 V1 o6 \4 n: N v
; i8 S$ t5 K: B9 w: a ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 5 S0 O) O9 I! R# [, }5 z
4 {! y! z4 D. m) E
5 [ Q( r& g" W8 X 公众号ingFang SC,serif;"> 6 U* [8 h x2 K- ?9 T
" U4 o4 j5 y6 M8 z) D- [# U
7 _) E3 L7 c# ]: p+ y
& v$ J: @1 v6 t" z3 a
) y- A/ s1 N& n n4 F* E2 ^) Z1 ` U# F9 r
, ], v s6 U% J9 n! |
点不了吃亏，点不了上当，设置星标，方能无恙！ % G9 r7 B7 a2 B g! n
( g) N' y! @5 i ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 7 q! k9 I' L. j
; u9 s c' p$ l! \
5 O$ _9 I) e0 J# {# U% _ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 6 a( N g. m5 X/ p/ m, e
/ J: `% w/ y( G9 g. j+ F( z/ t
4 @, F, z7 E3 `4 t. J. n 6 {5 D/ V/ h0 P9 N2 |. a/ R6 K {
7 k9 p& i' t* l
8 i/ u& n9 k) H, _, G # s. a" a8 B( d: N1 g# i
/ t5 r( Z+ v3 U' G& U, Q6 J 无线or有线* b5 ]$ z* a1 f) m; x4 s; ]
9 I! [) O$ H: ] $ G$ d$ c+ ]' I" u! f$ c. [
( z, U1 }3 O: |( j# k9 H 7 G( B* f3 m* t
9 t3 }) Q( O' F1 _6 A 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 0 B2 j b% B( a* o
. j! d- H: K) ?/ n
# ~2 |9 n D' y2 h6 f1 ?3 H3 V 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 / ?+ {( o. ?+ x3 Y
; P0 o2 L) [0 S+ h2 Z, l5 R8 F2 Q
2 ` }$ p6 D% Q0 d- ` n. F# ]8 ~4 O9 ]: O& w7 q$ ^( _
* t( _- r. i I+ f; V$ L5 a' j5 c
* d' \* E* w. |, @/ `4 K - L8 ]9 d# u# \8 F
3 }5 U F& E: T/ b+ P7 A0 K. Y
: q+ G. Z# k2 @, C5 E 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 / s+ y& a7 s! Z
% m: \ r9 u+ T. h. Y4 d
$ C T4 u8 H7 k: d & u5 q( U! Q3 {7 I# Q' J) z
0 M0 R6 g \, v& P- T
u" D* H m5 ^1 C: {3 W; h' d 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） / h. e' C, `! n' ~
- t! c2 n8 X" O
1 y& V: n- x7 r! u0 A' z ! G6 x* E# i: m9 S# w
$ ]/ D: X! d9 Z" ~- A
9 @/ N' P' Q h( \3 d 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 4 B) V0 \& S R- U. L2 J6 s$ `5 N2 |" u7 y
! C& r& u/ d, [" ?2 j1 g0 |
4 |* ?: e+ Z4 _1 _6 a( G3 T% ~5 h$ A 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 # {+ g) E$ M; n* ^/ i
1 Y# r M" b7 d+ }- Y
& x3 N6 v3 m! O! P i1 D 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 6 d! H9 P/ [# v- |& D
( ~. v0 u4 g$ {
6 y+ H. _% Z2 l. G4 X7 N( Y 1 `+ @- V, ^4 T! L8 S) S/ E2 K+ g
6 P8 B% w1 @/ F) W 内网渗透$ U5 s. h& N( l' E2 J
1 h) J# e/ ^3 T2 f# `# S " e0 B: G) w+ k3 \" I" m5 _
! x4 b; H5 b* l3 W+ r9 Q " s2 ]7 [; X% o/ e! I
! _7 `% b4 Y+ [* w" K win下搭建cs和linux类似。 ' B; i) A3 D5 q* f3 S8 A) u
( `" e, |& P m5 r4 S2 Q
* f) z6 V/ S5 N& L( k0 m
teamserver.bat + ip + 密码
, O9 T3 [' r7 S5 S% k T# D% Z
1 r2 B" z/ c2 l
8 O9 Y8 N- C$ I2 J6 R 7 o! H, ^. S1 I; C9 o1 g4 _
3 d, F p% \/ L6 E( n: L3 j5 b$ S
' k: m& c2 _ u1 ~* q0 j fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 1 [9 I9 S% N$ E& |. [' g- l% n9 ^
: q( S7 P. G9 }9 u Q5 w
1 R" S) P; x6 d7 f ! i; n- b% m. x( o. h5 c; M y
8 }) S w7 A a- Q; f; K
5 w) t b" \7 t% U9 t 8 H1 h( b) L" c% E3 R
2 c- l( I* z! c" w/ M
; z9 t9 O# ?) ^ b# F 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
5 B0 @4 n/ h) Q
* h3 \, D6 e9 l V$ p/ o 2 p% @; N* m# J
; j: Z- s' \& k$ \$ _* ?2 L, f
/ Q2 f4 N) E m9 q % [0 K9 L+ a+ X% N' l
. B9 K3 I8 m6 f+ Q. o
7 b# Y/ m! J4 f8 j, M1 N N8 {6 r. O# ^/ z fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 2 @( |; {# ?8 [9 x) ?: w- w8 z
+ u& U, ?% {. T3 t
! d/ T0 L* a( w0 a$ W6 Q) E o/ V PACS系统 - ]1 o7 Q7 P" o1 P0 ^7 b
8 M4 ^' L5 g2 a+ x4 U) P
+ J3 u8 J. f& _* h 2 m1 ?, j9 R- ~ N# ]3 G* _6 R
6 J# H7 |% A. H o6 x* B! e8 v7 n
8 o! O" V2 |1 A0 s. u0 }7 I
: ]* k# w; a/ R' n- s( |
% j- q- v. k, q* F5 J0 I / A1 [: m" m9 j* I9 e( m2 L
$ X2 U3 N* ?& ^2 \
# ]* @3 H0 O, I HIS系统 " T+ L' \' L4 D) v1 Z+ A6 E: O+ q
' t6 ^+ S; C* b; C3 Y/ y
" Y; f& K1 }9 s- f" U ; P& n4 K Y3 |) j" C1 W& ]0 _% ~
/ \7 `& s) v" d" _( p( x
* h& ?) _, u/ ~- O9 H# j0 D6 W 0 A3 W% _2 x9 H: t/ X- B
^3 k3 k. f+ S8 \: l6 |# I
) W; T' w$ F( d ! b9 J7 Z% S/ g% s% i1 y
$ A$ M; e. [' v* r( ^4 o
; V& i& q' f$ L6 k. r# j7 i/ s 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ) o! D6 c: E% I2 X% a. J5 l) W
- n( p5 Y- ^' M H- M) Z
/ T8 b! a4 _1 T
1 Z& S4 E4 C$ ~ a
" s0 g6 J% ]0 D! g7 P2 p * Z5 ]( y8 c/ g+ o& W& Y2 r' O5 t
r% z* [7 B- l% t
+ s" ?/ H, W& I7 \7 w 后话 : P" `( H1 {+ N9 j9 [
& d! l6 i7 I- T6 l; k6 f# n
1 l9 X; z$ D* B1 R6 n% W! B 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 0 f s; H" v1 p0 a) o7 G
9 z8 L6 W( w( `5 e: y
2 G. s+ k0 v% p. X, T. K. Y4 ]. B/ [ % H6 }3 r9 u+ Y! ]: w+ e
2 ^4 c/ Q& h; s; E ) B9 ^$ v) d+ ?. |& s, z9 n
$ h$ W" d, u) b1 M) D W/ [: A$ ^9 a : Q* {* _8 o6 a S: y8 Z
" b( w/ X% u) C) Y6 O2 \4 N, J 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 4 H- L" q' x7 R. `$ z& z0 M
" Y$ n) d- b3 W; z
2 D; B# x1 Q% S6 I9 c1 i- Y ' w7 F3 p7 I- [! n0 t
0 C5 L0 N% [; d4 H& C