记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

7 H7 r$ E8 i% y: o0 z, M! U 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 8 D* h1 D' J0 k' p8 G

! E2 `8 `. W4 O" S _ 众亦信安，中意你啊！
6 P9 C5 u& y1 k% Z
2 F5 u1 V5 R! ~" D ? ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> # l4 L6 b# {% n' k3 E

4 b6 v; W& s" F" { ingFang SC,serif;">4 k% I; L0 M( F9 D3 b

0 n/ R1 o( _; O% X
2 |8 w1 g) s' O0 v& c5 E/ F+ g7 E8 V 众亦信安 4 X& _& w( L$ a7 S% L# Y1 K
u l F: w/ M' L5 x0 S' g
" ~& U) k% ]1 a" t4 R; X 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 2 T/ U( `) T5 q- d. D7 q
' g4 v6 z# ?% |3 B& y' [0 i
$ [6 G+ [0 H9 q$ e; }( Q ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> $ k9 k5 r5 S5 {( ^- h
: i% s& t1 G+ o: z @& c/ y/ r
$ d& X3 Q! W Z: j: l 公众号ingFang SC,serif;"> 0 r+ `; I# N2 N! @+ H7 C( ~/ W1 _
! E! y- I0 I$ Q* O) ^$ L4 N
" e4 R) H8 n3 M: e
5 p5 j+ z0 v7 Y; i6 K
1 \7 ?- _! h- v; D- r 9 W# b5 d5 Q3 v7 U
" a% ]# V: g$ W+ S3 R: f
点不了吃亏，点不了上当，设置星标，方能无恙！ " T4 J9 d1 k( J5 ?7 A
5 k" W2 r9 n! O7 R" O, N8 j7 H ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> % S/ ?4 e( L* [) r; F4 c, v5 r8 n$ Y
" X! E5 \8 g) s" K N4 A
' A) n T5 e! H3 F8 J1 Q 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ' V" F* t: `% G) D
5 X" c6 S8 l2 e5 {# x/ G
+ P( y$ j7 K# r& \6 Z8 H / E3 G2 p* P# h! f0 K
; g; }. X/ o e5 v
5 M* W) k, x6 W5 J3 s+ ? ; Y! H& W9 j/ C; X2 D# v7 K. D: F
- B' E1 A5 A$ [6 ?3 b0 S" `5 K: @7 z 无线or有线3 D' }- N+ w ?' K* E: Y, R
/ d1 |. q) r$ W N$ v0 h- F# a ' ^9 H5 f: B; w+ e% ` J! _) U
& ]0 R' ^5 [: C. F4 M; @7 \ 2 u0 m: y2 O0 V. E ~6 D. F
1 i8 c+ W( y# t! R. g* x 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 2 Y# p2 x: r* E" ?, Y7 m& C
, D' v% Q8 w# X2 d) W
. Q- m4 } s- i- @$ r 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 , W# c( P/ l2 g
. Z; N& C0 M( c' c
- J D- O0 y2 {( w* P * W4 U# y6 s2 ]
8 _' p$ c& A5 ^
9 e7 ]$ t5 A$ K+ Y/ M3 v " H$ y% G" p# k1 K
3 C. ~0 L- o% ]2 l& d
5 N8 d3 ]" V4 ` 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 + h ?) k! w! v9 K2 q
) W4 y# o9 u6 P0 ?
: F% m5 Z3 u7 x+ B% ?5 F, W - G/ S5 ^/ \2 I: C0 L. f
0 D- I" |3 V* |" m
$ x+ a9 r+ i" ^+ g9 m1 l+ b/ H 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 2 t+ N( ]4 V$ {8 j: M* j
) ^6 v9 r- S! G1 o* H: z
7 m3 d8 h: T: ^! @' V) U/ k. } ) t5 X# q. ^ }
) o' D9 w+ S$ O/ n5 `
8 Z5 G4 X; A. n* ?8 Z" D9 D 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ) T8 C9 U1 u0 J5 Z: B5 D* L: M
/ Q% s6 V% v5 ~& Q* e) U
& ~' C* n5 e% _* i) @; \: |5 f4 q 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ; F; l$ Q% ]( @6 h" `/ D' V
, Y) R. o3 U' Z, Z& p% p; X
% D8 s+ x/ s, U4 z 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ( N" a- p5 i7 A
q" _! \7 {# U0 J. L9 Q, Z
1 |5 Z) a/ i8 E) J- I7 g ; _4 o% D# j" a* V8 u- ?
& p7 ~ t1 n0 u# o" X 内网渗透 + V- E& k9 |" R* M7 }1 d0 X4 z. K) \5 `
9 E- Y4 g+ U' V8 f : }; [; a# |' i+ K/ B9 d: u' x
, _8 ~& ~$ Z* ~) M$ V7 f e ) f1 Y2 k: M3 j
# _/ s. c7 `, n1 z+ ^ win下搭建cs和linux类似。 # h9 \! Z$ z9 J8 R
: C& a& j! w5 z3 Z
" L$ F: o) u4 k1 O
teamserver.bat + ip + 密码
" ^) O0 d2 y( _
# C! Y+ m8 B+ G
6 v$ I) @, a% w6 k y5 U) {, ]% L( ]) P0 V/ N
& U- \ ?! Y5 x2 x& S `, Q
+ D: o& ]) X E9 x fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 5 D9 L5 y% {; s
, y; j" h q$ z
) a) N: I( N) }* Z) C. ] & e, ~, U& `6 Q! v. v& H4 v% B
" ~ ?5 a" c. X; n4 B; y6 u- z4 D
f- r1 n# G# Y. V& A6 }8 \4 \ 2 p5 f8 A. r2 v5 W9 e) w k/ e
4 o2 k. @/ V& Q
( x% l5 t9 f( ^ 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
" x. @% _/ d# s$ b% p& X) z1 y
& V/ M2 K l( K+ a / p5 Y5 A% x$ ?. i6 O6 I7 R
+ w! S) l. r' w9 {- b, U
' u" X6 x2 S6 e 1 M+ d3 i3 g# h: q, r4 y! ^4 c
; Y) x- _) F7 V
5 z5 M+ l0 p0 D: G fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 $ ]! h3 ^; ?% b& _
1 H$ r! f) _. ?4 `
# \0 G. i) G* x# |. }5 W PACS系统 . O) N% q' k9 ~, `, f
3 w! r: l' v# G9 v9 ]/ P& Q5 K
0 I, [+ O( w! l- A $ l. I, X+ e( x( C2 R; r8 w- S
+ c$ O& p& A+ ^# ^
; p2 y2 j4 T& Q2 A: f: d" T) y) [
. _; c; V3 T% B4 V* o7 J
5 T1 O. N% E3 `3 S4 r# q" I 5 v2 X8 s: z. v4 s/ v: ^0 b
0 Q! O4 r, o0 Q1 n. P% M/ ]7 v0 ?
. T1 F6 N# Z, e. q3 } HIS系统 ; y# R2 @; }- [, s$ n1 A
1 c9 Z( b( L' p+ I
. P# o7 d1 }$ u 5 m% g( o$ E/ j
3 Z u6 C) P% q; s; W
* B' _' [. J/ X- [ & D, Y8 K& }8 @( Z7 K: P$ B0 Y* n
# |3 t+ _7 |- x4 V4 H" l0 ^
! Y& X/ y* U0 s$ q 8 f- Q/ P0 X; u1 p) S, E
/ o [0 t; I8 i/ z! ?% i7 t% t
+ b7 s; ]" r$ Y/ N) F: X9 `5 k 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 E6 }6 a. h8 G. A2 B- w/ P' F% ~
7 G' o7 t) v8 U4 d+ s; j4 p" q5 j# p
- Y2 C) s: i# b& j
- [' I7 }; }& X. d" V$ }) z
. O V, y3 {6 V7 Z" k, _! r2 Q& m + W, {1 w9 C+ S' A4 @9 `
% p& e: S" I1 s+ X8 u: H4 r- I
& q J# G6 w8 |' _ ? 后话 R. w0 j2 a) v7 Z7 U/ ?
9 @+ i- ?1 F$ N: \* D
& \) R8 u g- @$ t/ M* U& C 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 1 t8 N# M% ^' G4 C9 i- ~5 m0 b8 J
8 V0 C6 J6 S9 o
& K: [) \0 T; X0 A! Z* j! E ) `' i9 D" O6 p/ l9 F3 R
- ^. b" I2 K6 m$ ^ O 8 u' I+ K M5 C* ~8 k" c) G8 ~
U# H+ \. P5 U . o+ i/ L2 K; f- p* y
. y& S4 ~# u" ` 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 8 X7 K0 \, m. |( s" F3 \) s: C
$ ~" _1 j. Y+ h/ N+ d, j, b2 s
: i! N( [$ c* v* X1 N : q8 R0 P9 ~8 N) h& u
) ?$ [8 I9 V3 h* S; m

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

- B' E1 A5 A$ [6 ?3 b0 S" `5 K: @7 z 无线or有线3 D' }- N+ w ?' K* E: Y, R

& p7 ~ t1 n0 u# o" X 内网渗透 + V- E& k9 |" R* M7 }1 d0 X4 z. K) \5 `