找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2263|回复: 0

记一次某医院渗透(近源)

[复制链接]
发表于 2024-3-1 20:15:03 | 显示全部楼层 |阅读模式

E# J. M6 \& x7 J 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 0 E" t% |/ m9 _! i: N7 I+ A

) o2 R. O6 o- A. W& Y

+ s+ Z3 F, @0 P( s# I 众亦信安,中意你啊!
" N7 A& D* q5 x' N/ Q7 s b
: l$ b s7 Z5 ~" e. z4 I/ j ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
1 M0 ?" x4 _4 s% A2 D* u) h2 K

# |' l) a4 u4 \( h

) p3 K+ m" X+ [( l6 y ingFang SC,serif;">* F3 Z- l) Y) ^( q7 P5 W0 v" B0 U

# l0 }. }3 _9 i7 M [- s: Z4 I
\8 L9 F* O7 ]3 v% Y

/ J7 X0 l1 T! }) g: v! f4 ? T 众亦信安 1 _- W% [. j3 Y# T) _# p

7 L2 O# h1 `' U$ A

4 y* c' H' Y" J ]. l- n 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 6 U2 U+ ?5 p* M: b

# z6 v) s. A0 y) p* U7 o P. V

. ^7 |% W. G* B/ k7 F- J/ v ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 1 }$ x6 S G7 I& x& X. W

' s7 E- G j* g6 X

1 N% d8 k6 Z' ]1 ~3 \: K. a 公众号ingFang SC,serif;"> - Z% X* S8 E: K& Q4 @

2 U1 i) O1 W4 c7 b @

6 u( G3 \& ^6 C' G
9 E k9 a) o% o: P' J
) [5 O% M# H1 R/ ~: e0 ~
; y- B6 f$ n. o5 j" X

6 Q9 _8 T- T: W. C# k6 m( d
点不了吃亏,点不了上当,设置星标,方能无恙! # ~% ?0 K A7 V

( A9 {: p8 _6 a6 D6 U B ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  % p$ @4 B0 y$ S. Z6 o

) c5 i1 P! [" @

5 X5 S0 Y* ^ O( }0 K+ } 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 # c7 j* _# Q+ ]# v5 c* M8 K$ Q' {

4 C+ V9 F7 I: v

% D$ K; ?( s5 l# r. j/ Y) l$ r   4 Y) v# h3 y C# f6 i

" Y3 S7 t2 E; z2 M$ @
3 d$ L P' C3 ~0 S! d) [2 A. F 8 e. K9 @ S* R. ^6 q( O" [) l1 k$ k

5 o$ p3 H+ @4 w+ ` M6 @ 无线or有线) L; {$ v- s; Q' {$ A

3 {7 W e* @3 X2 I: C* D: {- }
9 n# c3 Y2 v9 X! }
; x. L2 D$ D( ?8 [4 z " L d5 }% |- Y \

/ ]: n- {" ~3 M- i6 h5 L( R 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 & T( C+ o' U$ X# c: d0 y

: _/ s, u9 ] F+ S

) `5 K$ h- q' W* ?7 l4 j 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 : _+ H( {6 t# |0 V9 b- I. P% f

" g5 D# F) E4 I9 `4 a$ n

" K, f; P" \: n3 L vshapes= 3 d: s5 s. H" G; T

- y& h7 G9 h; i J+ F% [' h* E0 a

! a' c1 q ?8 I, r9 n1 ?) ~ y vshapes= % R# E; l: @' |+ m

4 E9 g: Q: N! ?! U

: e' m1 o) n r- g, x/ _5 E9 @/ P 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 . @( x; ~8 }; w! R1 r; c

8 ^5 E: K; T, P. D0 K+ R

& C; o# }8 P9 X( W; H4 M7 L vshapes= * N* h! [! h7 W: I& o

* v c0 x5 ]% R

; m; T8 e9 {7 n+ H9 X5 s0 R2 Q; r 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 ; p% N% w( S1 x1 ^* ^& T* a+ u

- |# H9 K: D3 @2 n# A

' Z, Y0 L) i+ V$ b vshapes= ; x( D4 V9 e8 _. }

4 o; y e" ? `: @$ L7 ?( K9 c7 a

. ~3 s) o) D$ w' M5 ?# s 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 $ D. `; i$ N$ Z* j4 r8 l; I

4 S+ J' }8 V- Z0 f% [, C

0 @* \" @# Q% |1 C4 O 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 4 d& `. R6 a0 q$ F* n

- N8 W7 w0 V% O F! J

) `2 |- x* Q% E" r& P 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) , _- R6 T9 \* l+ y* k

1 M& ^5 F W6 |( F+ `
* {& P$ X, @2 `+ j1 q5 b5 c7 D* o/ J " V4 T% h9 X7 X* m$ y

" ]2 ?3 Z/ d1 ^/ K6 ?) U C" z 内网渗透7 @ e2 v! K+ C$ |# X

/ D0 z, f6 F9 }/ |( h1 v3 u
" d% V) ^# b; r* h% Y
# Y' ]# @, a4 F$ Q Y 2 G% `% h' c. c7 N, e/ n% z" P3 q$ R

; P' Z5 _% t% a7 t, C* R' w# X# g win下搭建cslinux类似。 4 }# p* u1 T3 x. b, X5 x

# @" Z e* u6 Q& H
/ R* h4 p- t! P2 K) A
teamserver.bat + ip + 密码
2 N4 c' x) s' w
3 ^8 C$ v$ o" }5 g. x0 |

0 |; E+ r! z( N+ K, G, g vshapes= 4 @* \: W; e& \" P, n4 i

7 K w M2 m" N# F6 J

. S. V# P2 ]9 V1 M L" g fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) ! [# A' j: p X- D

0 h5 O; @2 w; }

" H+ j" U! s6 z7 E$ u. t vshapes= 6 G6 `( W* v8 r5 n# }. D

3 ~ o. K: O+ j( c5 i

# P9 K5 f0 B" H! E# ^ vshapes= " h6 @9 Y! A; ^! _. s1 g$ g

n- b! k1 R2 ?8 [

6 G6 m9 x# m+ f 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
, [- y7 h5 r0 N
$ y$ @( T# F) A" _$ K* h! I+ }6 F$ G
# Q+ B7 [: J- Z' u% ?7 u1 }

8 `& I( f% S! M4 L6 j4 Z2 Z

, O& O: v" r: H7 x7 [ vshapes= / ]+ \# _4 R& F$ L( t- f0 ^

9 w6 F& M/ H) F" X7 k; T9 ]5 \+ g

' ~& z* |; f( U0 r+ j2 ~ fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 ' z6 b8 i, E! z0 q2 D

$ d/ D1 Y: }* O$ Q

) Q" k* T2 B. R. j PACS系统 0 `) O$ E. Z% G& G: h, s0 E

8 J! i# M( `. @2 o, \# ~

( s. I! j8 H$ \( D3 V vshapes= 7 R& T+ O, B: v9 U3 Y

, o0 G6 s, g; I8 N0 R

% g, {$ ^* V( U) h vshapes=
2 O4 ]$ \4 Q% k8 M9 ]8 F
6 T; ]9 P' x9 j+ n/ M$ s% p- q
, ~3 j+ O( i6 Y" h l$ p" e' D# z

; L! Y' |" L w* S9 E( N# A

- ~6 d0 M2 J7 D0 X/ a HIS系统 6 y8 }- j; {; W

+ [+ p7 @/ v p- `$ ^1 O

8 f; ?$ J# \' j) _# P vshapes= # X. Y: F" @; j

* m+ ?6 ^6 e c" P

" C! S; S e0 \* p   % S4 \1 X" {- W$ ~

% u; Y$ _$ W4 @$ Z

8 B2 j: C ]7 H6 g" T9 ` vshapes= 9 J1 O: I3 X7 J$ h' j5 c& C

7 P7 o4 b( B) D p5 H. j$ ^2 L

; @' A% ?8 O+ r' i 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 4 t8 l. e; e1 }, }

5 Q& e( T6 ]3 T/ H

. z6 v/ L, p1 [/ s& J) Q" Q
) G/ {- L# P! v% F1 |6 q% ^
4 g5 r" u( j* D
+ m0 @9 k V8 C% ~; j8 `

) N7 o: Q7 B1 l' R1 _! M

, h b A; y- v5 V! _) r 后话 & w% M& o9 M6 q' L6 C' g

1 _9 @6 b, K- B" V

2 p1 J6 f) ?' `/ A% ^% A5 P$ n 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 : E8 L: y7 @; R/ |

3 O }9 a5 k. W0 Y( _, F
& E# Y, Q$ j+ T4 M/ B! F - Y H! |0 Z4 Y4 f
$ Z4 f9 o9 \, ?' [
" e# L* q- y8 q8 f
4 \2 e( v0 V- L' z# q+ \# J 0 B7 L4 h: w# Z7 }/ ]

/ t; g l4 }; `6 P2 B# k! J, j 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 $ n8 W, ?. |& Q3 B. m" p4 ^

9 I( A# W4 h% H4 s- ?" h

3 y- G5 v9 E" E   ' ~7 d9 |! ~! {" z

1 b! E% f/ s7 W( F* O
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表