找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 记一次某医院渗透(近源)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1586|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

) y4 O- n8 @* k2 v8 H. z8 [& H7 W. z" M 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 " M# L' h4 B* n, T! f2 T

/ [# R. O. t* W6 `3 Q3 K7 \$ n+ p9 s

4 P5 k4 _3 h6 U' q/ e$ a3 z 众亦信安,中意你啊!
* t- O1 H ?. T3 I" P# v! K, O( ^
" L' B3 F8 v' i5 e ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> / q# W- l( [1 K; X7 A, A1 q4 N

" P! t$ a: T" [9 x' C7 s0 h

, @) F! q" c- j' U9 b5 }/ m ingFang SC,serif;"> # J. C M/ N- Z9 e5 [

$ \/ Q0 m2 l6 r! w
" y/ e% K/ N; ~4 R/ K+ Z$ s5 k9 v6 ]

- A' f( B; n9 B0 b 众亦信安 * s3 ~: T8 p M5 v5 h6 u% l

+ }6 H, H. W* f4 L

# S9 \0 E- [8 P1 q8 b 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> / y8 }0 s& E- r' \/ f

( s" T- {5 i9 }( y$ q. R% k

X- M4 }6 l7 p ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ! m- Q1 x1 L% Z1 V( j- }% M* V

: H" e2 G% q5 Q. ~0 z" {& z. j

0 m1 X) d; i, m 公众号ingFang SC,serif;"> ; Z! P& m8 ]/ G1 i/ p$ _ `8 r

6 j$ C: D2 I2 U+ c" I3 ]. ?6 \

9 r" Y- |2 |! [8 ]6 v7 e
& n& t( s& }6 i: e
5 ?7 ^( d+ s8 `4 |7 B/ T/ \ " e7 U( J1 c/ M1 J7 O4 X+ i. L' R2 O/ I

8 i) ~) j! m) B
点不了吃亏,点不了上当,设置星标,方能无恙! : [4 J/ A$ s3 t1 m

! R" k3 B5 Z7 C7 W1 m4 E ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  # w+ u$ ~1 A. ]

9 t2 i& O0 H9 d' ^5 u# B

1 V' J8 M/ v# R7 R+ ~! C5 P6 Z2 X 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 7 D, X @0 [) m; I! o- b4 z4 p

: o" G/ C( G% ?

- c6 n5 x( Z5 c- m6 s K9 O   * s& |, e* s/ E% k" d* S7 w' X

" T2 I' b& x9 i' Z; F
: Z. f, I8 g# R' J9 X ; O# i, B9 Q, `4 k

# d( a1 v9 ~& F( X0 [5 f1 ?$ x1 l 无线or有线: Q( ^% x& k. j) v

* R% O, V. \! ^ ] % X, L4 K" D: J0 r
; k: [; u- m! n8 x/ \! t 4 F* [0 Q [6 h' i& O8 F/ v, r$ `

3 J5 o' G$ F8 y% a# N 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 * d3 I4 C J" R- q4 k

9 Y' C! h x) T" ~$ b

6 K4 @; ]5 T' h6 J c6 h% Z 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 . L. b+ w( b1 @

5 f8 i+ ]& K2 w

+ G/ @- _, {, O vshapes= & \7 W8 J# p v& p2 h J

f: \0 }( s* e0 v. Z4 K# b

: @8 H( l u {- K5 X! d vshapes= 2 G1 p" p& {) z& _: Y

* y4 N3 R9 f) C, @

1 I3 r, {* O; r* o6 l% [5 s 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 / }1 }3 A8 V% k# n& }/ ]+ }

2 ]4 G, n9 C- C

6 L9 T$ S& e5 |2 t vshapes= : q; m' \) }) z+ u4 e; J' r

7 U+ m Y' C6 X! ~' H

9 y* l8 N, z# f* Y1 W 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 ; E! _9 k" E- `. g# i- X

, k) u( \4 [; F7 L3 a/ @

- ~9 a V, e1 u# ?9 h7 { vshapes= . P) `: R4 z. a4 N

7 U7 ^# d7 K4 f6 P. o

+ N$ _. `# ]6 U( N, M/ P 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ! ]% X# H% |' x5 B5 S4 {+ }

5 s: y( Y% o$ R0 j7 _. w2 Y( z- J

! H0 M+ o8 N, ]7 D# c( U. \ 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 1 @. {1 Z8 q' T" H" `4 O! J" Q

8 K% D+ o2 K1 {

# i" B" E' Z( z 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) ( i: h, V+ `, z' d- C4 a

7 V2 Y6 x$ L0 @' q0 f. `
9 U7 o4 A- f2 @' W9 D( K ) D. y6 V4 Y' q8 D: v: n

# r' [6 _" k% F" c7 } 内网渗透 9 f5 Y' Y/ Z( v: D2 h1 [9 u( u4 ]- }; E

( q' |) V% I# V7 Y) f' N/ f ! B; }, Q+ |8 O& }
9 k; j5 u" I1 _" x ) [1 A* l8 ~$ R/ E0 w( U# Z

) Z( r/ H& ^7 Z# V9 k D! z win下搭建cslinux类似。 ) ~5 O i1 w+ v9 j5 \7 }

2 C, @$ Z5 m% x
6 U4 Y$ W: o% W" g9 {+ H7 @: _ 
teamserver.bat + ip + 密码
* y' y: u: Y: X' \5 h3 R7 ^2 S
9 A) S z4 Q$ ?

/ W' i# {) |4 y& x& W4 ^7 O vshapes= 5 l6 c0 B7 d, G; i( Y* |

# L, T8 }4 H7 L6 R( B

7 q4 x, Y* o! T) L& B fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) : t. J0 d8 y6 u; o6 K5 v% w% x9 i

2 ^3 E; l9 ^: V% r

0 y' l( \/ P% t! G- F4 W* N6 p vshapes= - F9 f* x% v3 u5 E# k2 W2 t! h

, o0 o7 @2 Q$ J: W. K3 |0 L$ M: p

2 Q* Y- |) N/ d' c9 _7 q# ?" d" h vshapes= ! E3 O' L: r- f0 o. d

. s% T0 l# ~2 F l

' w6 ^3 B1 S- S1 Y" i- c: X 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
" U3 u9 z7 k, c, L1 s( t) s
6 b* D9 z: v$ t. O: b9 ]7 b ( U$ A4 o( U. v. `

9 u0 Q) H9 V) U, S% B5 W3 r$ l

& s v: |# r2 u# f vshapes= ; h. ], {6 Q6 k7 _/ ]; w3 y

: ^- E2 y" a9 \+ X( b) G( ^9 q

2 m$ ~) s% a8 N! @ fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 * b, H- ]7 N# h0 w; F% l

* e* J' P3 f# F5 R3 H

" d( ?" O9 l7 a8 } PACS系统 f* c# f; m! z# k( p

0 W6 k2 W6 D6 p

; q! ?, w. J' \! b' }" F! p8 a vshapes= $ k# L$ E4 i4 p0 T0 z% M

3 o4 ~. M5 K) i9 {8 U

! X- z, z. y" w! H3 V* |0 G- q vshapes=
9 P/ q% x+ M z2 V( L8 X5 W. r
0 v, W; ?1 Q( \/ ]3 u 0 p# p' M" u5 O

1 `( o. W! o$ d. ]

- X+ t& v$ [9 z% p. [, u' `/ v2 T HIS系统 ( r& b. k3 O, a

5 A4 Z& }! }+ D; v1 a7 }6 E* G

- _& Z6 w2 j# o- U/ S7 r/ A vshapes= ( b/ T; N! M6 }0 S( b+ ]2 M9 i

: y" ?# x; F. [/ M

# L- o. }0 C" I7 ~   - n6 |5 x9 k+ _/ I7 |, ~2 b

- [) C" b6 p3 w) y4 j! M

U0 X; l1 w9 [; [0 ? vshapes= ) `: M8 Y9 Q2 U8 K2 i

6 Y D( U- j% W

8 V3 J2 e/ ?4 @ d$ s, h, A 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 v" w6 N5 P; |+ w

q# r3 G) c0 E& A( L& h0 q$ q

% q% N1 Y2 v5 k( ]
$ F _# V0 b0 y
9 x6 B8 z( I& U1 I1 P; G s. C 7 M5 |. Q+ y9 @( D

. D, T& V: q* Z5 {" c

# T, l) K/ w- R! d 后话 + V, h" ~, D; ?9 x

( `! t5 h8 S! @# _' P# t! |! E3 z

) ^% F. K* L: P2 S! F" g3 x 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 & K0 f: n5 x0 {6 a/ Q

) b( j6 d- R5 E- q
8 _" M* V* f* \; z, v6 s & Y& S% R, \9 k0 B$ J% c
8 T. a. U" d' T ( i8 q) O( e1 T$ z) j! D
) N1 U" o( j6 J 5 N( D0 w( @, Z' x n+ o5 F1 h

$ O* V. u% [* O# w2 I+ x 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 * D9 w# x( _) G4 @

! o0 U9 i! F: m

3 J9 L) x, I6 ~1 q9 j0 c# G: s- Z   + C" \) x! f L" D+ i. P

% g0 D2 n8 L+ n: A7 \& ^
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表