记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

9 r' P# y/ G) T& n5 Z 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ) u& |: D# H! ^) X& W3 q. N

, Q0 B) O3 I! X4 @2 L; { 众亦信安，中意你啊！
, |+ ^4 s5 D! q7 e2 X5 s5 {
+ j# b6 t2 H1 J- ~# Z3 U7 h ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 2 \6 i/ N5 c2 ^ I8 X

- c3 N& @" ?$ y: d6 o+ m4 q ingFang SC,serif;"> - Z# O/ y5 a5 l

- l6 U& s( y l' T H7 R" c& O: `
% C. @4 X: h) Y: J$ W0 ]2 t! k 众亦信安 & T5 [4 h. C6 B2 _! X* X- I9 A2 p, L
, }& `) m; J8 V$ b5 B
' y5 @% x' l( G$ c 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> b( W* n8 @- D+ Y
; x& M2 J& _$ z$ ?
7 W d+ x g. j( @: j5 q# }5 i1 m$ i ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 1 ?5 D. V4 B" u6 s6 D! d6 ?. e
/ d7 h A- K: z, U7 ?. F
. Q+ l! n! a- N+ u [ 公众号ingFang SC,serif;"> 4 X" s& [, D+ |/ H; N9 s
8 C5 K, I& t/ v9 t
7 F5 c4 Z! ~5 |% Q5 Z+ x
" d: m! Q# Z Z6 E# o! x
, a% }2 F( m% K* H9 G0 u% e* j# L u4 R5 h: y. y/ C
* j$ W z; P3 ~0 c2 W" L y" q
点不了吃亏，点不了上当，设置星标，方能无恙！ 7 ?& x' F" b+ M: W% ]1 O
, d+ K$ Y6 i K4 }# J& H ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> , D0 s% z2 x& M6 s: C( d+ S
0 U! J9 k m$ H6 X( G
: v9 P! s: O" }) G1 [. b 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 $ a9 N. N1 C# L7 [. q1 [) X+ [
, Q3 [4 [* e# W6 s, U
) a- S- |/ K- a! t% a6 z: s$ Y ! M: {) o z A$ |% b H2 }0 E
! T0 h2 |+ @+ i& U' J" z; w/ L& O! [
1 a* C% a7 z0 W* Y2 z! e0 ^/ | 3 h7 k' _& O6 C( k4 e* ]4 Q6 S* ]
+ B. z. w3 Z9 \, b 无线or有线9 a5 m# a+ S( e: Y- u
0 B. P6 l i3 v C% v 9 m& ?& d% V( x
: I' K1 C" b2 m" n: c: R: R 7 {* |2 v/ Y( _$ I. d
6 b$ e v! X! F# m& S, J 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 / U% T$ |! v7 _
+ \; p! {8 @/ C; g' t3 [1 h7 o' Z
7 m% v1 w8 I! X* g; ?# a4 n 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 * i1 ~& ]9 _& ^ L0 e) k$ N3 u
/ L( u8 Z& A6 N' ?; D% {) w. D
" ~3 V [1 F7 v8 l0 E+ R7 C) A: t / \- u; G- T! S! ~ }
* w3 p5 ~" S& X
$ v* ?) o8 {9 H5 q: \6 k 4 s+ W; Q+ i+ Y! H- v7 i
. [5 O6 J$ J3 F0 O' \/ Y" a* R8 y0 D: s
2 _# }- J& f, i& N0 n) x2 K 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 " q8 ]( G) n- I( `; d+ T0 J& M7 C4 {
% Y/ n* C+ U* {& P9 e
& @7 M- }$ Z; Y, c 2 _. F4 q" k5 v# c! @: ]
) S0 r; Z; l. y# p) _5 H/ X" n
( ?' G) T/ e" V 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） % L7 d( o- V$ d
$ ^- w2 {7 |7 {1 {
7 ~6 C H6 H0 r ) r4 O) M& X1 F* `& ^
! R( _" h$ e; L; m: H4 J6 C0 F8 O
& H- j* D4 t1 \+ k) K 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 % Q* g& r/ G4 X/ G/ i
1 K. s- Q* c' a' T+ k$ B( D [
& ^8 w) U0 w G; `3 Q# N& w 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 6 V" p! g `4 | T2 O( p }
6 J. z7 W& ^" ^! W# c1 m1 [' W
; [! t6 {# E1 u' S# o C 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 4 _1 j, B5 b/ O4 U( C4 c- P. W$ l
) e4 ^: y0 X) j% B
z8 B, e! ]! P2 p% R! H / R8 f7 K, i% [5 ]& ^5 E9 q- `* u
" x2 @6 V, R& Q) J* _ 内网渗透 . X# }7 Y" K8 ?: g3 h# m4 {
+ a+ y2 w) j! }% z" z 1 N( m: Q3 w Y, U: B- m
- ?) V* a @* J* W8 F; p& x' g; l4 E S, z5 [+ }8 Y& q
( I) Y! A. c: D2 M m win下搭建cs和linux类似。 . p4 z) c( _9 t# x
8 l: ^4 a( o. E' w/ E
; M2 r. n" r0 I; I
teamserver.bat + ip + 密码
" `5 y: G9 ~$ r) u. e
5 Y, L7 @- A% m) V: v9 W2 E
' j2 S6 K5 d- f7 \( Y# V* x9 } $ p. n& ^# [$ M7 G2 w
. m& C1 d5 j; @3 Y& B2 i2 n/ h
8 b) Z" d( A7 n6 P8 M fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 0 |: [" R/ r2 s5 C+ s6 u9 _5 _
" z4 D. }8 x; _
/ i5 _: e/ b5 U & Q. f& t/ I0 @$ l3 }/ p
0 N6 Z( h* B& `+ o, r: ]
3 x4 A. {- M5 S6 y1 m ! w9 N% O' p* \7 ~3 \! C( }
, C9 }+ ~- R- R, k/ |5 C
4 e. R6 i& w l 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
2 R9 z2 @& f! s/ A& q7 B
; R0 s( \7 U/ M7 z- `2 z& Y/ V E2 ~, T5 a0 h; i j. Q- G
^+ ^ q" x ]$ D% K$ u6 |% B4 s
6 c' S4 s; b. @( ]$ S & x5 O3 C" S' H3 x# r0 G/ @; t
% B* ~ B6 @5 c- z4 _
+ v& s$ O3 ^! @9 f fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 / m* p- x7 q9 v
1 d4 f. B7 F- Y
/ K4 o- v2 K# O0 g7 Q5 A) _ PACS系统 ) L: R. o+ E% N
/ |2 W: R: }+ P+ T3 q
, h6 G9 i& m: x / N2 ?5 d8 C [% t3 U% a
0 |- k- H* O& r: ]- L( M
3 U8 |5 v: H: A" Q4 ?6 {6 [1 |
$ y2 _+ L8 R$ m# N' B: R ^3 t
8 w4 e$ g+ T5 N5 | z. t& ]0 ~ 6 I g( D, f$ ]' s/ E( i
, d: M4 V5 M. G( A" D- S% ~5 U# b
; W5 z9 t$ x; L HIS系统 7 b/ j# A7 u9 V2 _- X& A2 \
, o3 ^5 K$ O1 O! C) x0 \& k
, G5 a$ j+ Q9 M6 {! f ( w8 N. ^2 u% b. T% X. i, L4 ^
2 s9 a( f- F5 X! o% h- Z& P: w
/ k' D9 a2 ^; f' o+ C% V& v( C$ V 1 Y2 [. S# Q) i6 [3 g
% l- X% N" D4 a5 e$ y
) s$ z0 E: a( A9 A 2 C3 _' g7 {( p) m& C! w0 d
0 r C) R. e- I
, w$ X- ~) l3 U$ S% p 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 - p+ Q( r: h1 d4 T1 K
9 @" A* \0 z8 C
# S2 I$ n& X: Z$ Z ]' M
' Q( C5 v" ^, V: S
8 `8 d4 O( h' x$ a6 k4 w+ H' \" t4 P2 _7 C6 o& {7 n8 h0 [
) L7 H7 K. N- L' c# M& J7 @
2 `; x' B% i* Q& {+ o: w/ V2 h3 K& K 后话 5 C8 \5 [% r4 \* C1 w! G
9 F' y3 w# y6 E3 p7 L# P* Y
9 B8 a* b9 m. S) G1 J. D$ c# E 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 0 U2 A8 m0 G# f* k
, m. A7 R' Z E- m* I5 y
. ]. R) r/ \0 Y8 u+ G & w& i* N0 S" l4 Y: w: P
" `% T9 _, S% G0 ] ( r' ~/ w5 M: Z4 V t
9 A% `0 b& A7 g. u$ k + J% e/ F m: O6 B9 H
. ~* r: U ]3 p& y2 C 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 2 z/ I% ]; y Q) p* o+ p; Z# z
6 d+ C! w" f# A
& G. m( P: H3 z0 l+ v$ R. \* { , Q* {+ C$ N! R) Q& i9 @/ K
1 P2 Y8 b' c4 J6 o2 F

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

+ B. z. w3 Z9 \, b 无线or有线9 a5 m# a+ S( e: Y- u

" x2 @6 V, R& Q) J* _ 内网渗透 . X# }7 Y" K8 ?: g3 h# m4 {