记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

: \/ U* O+ g. w/ U G 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 5 q p8 ? L7 a, ?$ `

9 _: k# N3 `% k! f ? 众亦信安，中意你啊！
2 T* c" j$ e. G+ q4 _
! u2 x, f/ b3 e6 yingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> , o' u' w1 ?. z% F8 q

( j/ E5 r* \) }+ T% r, |- {- s ingFang SC,serif;">) K2 E' x9 B' A$ f O

$ c+ N7 H) J+ l' u5 e( U) N/ q
! O/ O. \* I9 N; P3 [) y6 l 众亦信安 0 p t7 ^4 b; B2 ]
/ `+ N3 l$ h; k% h, c: M# A
; E7 ~7 n' L8 Q 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> % b+ h, F$ K% F" `
- z; x* f, I: T! I! G
4 x5 {. D$ w8 S+ m$ ~ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> - w# l* U/ u) k& K
. r8 O1 a. Z. Q# H2 R+ `: w
0 S1 I% H+ t# Q3 Z4 u: r 公众号ingFang SC,serif;"> 2 r% x8 F' b4 G* e* D$ U
+ }( e' G- E2 G: p7 [8 j0 X
7 O* J! D7 T4 Q$ W/ w
8 P+ T% U+ P4 m( {
6 Q- M9 H6 q$ w0 g! L6 j2 I, `) I( Q$ M0 H
5 g$ ^) I8 D- u( ~( o
点不了吃亏，点不了上当，设置星标，方能无恙！ - `% O7 j! [7 t% J. R6 [% @1 ~( X0 X
" z$ y& R& R7 k% f2 j ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 5 ]6 w* r+ N$ ~" ]# w
# k. N, D$ S- f7 W1 ^
$ \! `9 j8 b/ e 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 7 v) C& ?9 Y$ M& S$ S+ K+ o
' e6 k9 q7 [& w
1 @& Z4 O t: E% ]# y/ k ; ~) L* N6 @2 B0 l
p9 R2 D5 X H, |" H
4 [$ W7 K4 ]7 @ 8 \. ?$ E+ u4 E$ U6 z# C; o
3 b1 f, E a- E8 Z; D 无线or有线5 P# H* @% P: u) F" s; l4 X) S, a
: ^3 x; ~" r8 { ; l( r9 r, b% t. v- N! [* i/ b/ R
& f( p! A, M! P( z. M( l6 E1 W " {! S& k Z* \/ b7 C8 U0 Q
* ?2 G( P {4 a 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 % ?2 @7 S: ]' C! O1 ]
9 n3 C2 `$ V9 Q- ]: s- R
& E# _5 C) e' c8 E9 I2 r 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 : J' L/ ^* @! w% I& Q7 L
; o9 M4 N" P- Q6 A, Z3 D# `
1 }4 e' t, F; m5 ` 2 ?) H! m) I" Z
5 z5 k: m" ^6 B2 E, p
: [ g. q1 ]* ? 9 m4 G1 T/ J) R5 c4 G! u" h) t
4 {& Z2 z1 q" c7 p2 V7 ?
$ [. ^' ?2 C0 y9 I. L+ g' T 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 1 s9 h! }9 G- m5 s
: E% @" g5 t( t* Q+ d) B9 A8 y8 n
) p1 ^0 B+ A- | ' y6 N% J- D1 I4 ?" }5 O
! U O: ~4 k: z7 _: `- Z {% v
/ S3 H& }- Y8 w' f8 O3 ~ 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ! h) b8 f V3 H `8 @5 H2 R& @
. U/ z5 f: R2 U; Q: M8 ^
1 ?* {% v6 K2 G( j, l1 w+ | ; X% q+ U( Z2 W1 U! F" {$ R
* i1 I7 c8 g6 L* i" f/ a! y0 P
. T$ X4 `( s" _; m% C" Y 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 4 g' S% _/ @4 D- I: K
% \0 `& P: w' z9 d% _
) q0 e* L. i7 ~! ] 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 - v( ?+ k9 U" u( m: N* P% Y
% S2 k9 Q; }4 g+ { X$ R
1 `' L) \" R/ a2 S7 a% V' `! m e 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ( |$ D# G& r6 n
3 d; ]2 Z) O6 ~- U8 E. @
; Y6 q6 u8 b' i8 O# p; m5 G - V( J5 L: T9 A, N& n: v
* e* D g5 c" J( r 内网渗透 $ z' t3 g6 }; h/ q% U
! q+ e& v' H7 q) r) J, x p% S! K / }& E' G# \# ~4 O3 z8 Y
' h, R& T v, d+ B( _ - S. P2 l) Q2 N) }- m
+ l1 G5 `: u. f win下搭建cs和linux类似。 0 s9 R: x/ D, [
6 n* X. D, \* Y- b2 R8 T9 H
7 x! O' \9 U! a
teamserver.bat + ip + 密码
- x- K( l7 ` A% g- w0 n
' t$ g5 F; q$ v( ]6 l0 {1 `, W
- o( D4 Q/ Q f / m+ D$ p2 R6 f5 A6 N* _" f
$ s, }( F. j5 [3 A
, e9 N: W6 C4 M @ fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） $ e2 c8 M5 Q z2 h9 m
. S: d* E/ n6 }. J
+ f# c. L- P" o# K( | + g7 x4 E( S2 y% B6 c
" [$ A; p% f: _; [3 H& g! m
: [ u1 ^3 ~* l% o - m1 |: y+ x5 t2 z7 X
( U# j# c6 E( G$ ~
* B; Y% K4 j: f9 k- S. Y 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
$ H% \/ B x3 s5 _5 g
: u0 s3 G6 [2 W' Y3 d& B* C & G+ u2 e) `* q* C
$ g: s+ Y2 b2 R% p$ l
0 T2 E( U5 q' A4 K7 i ' g, V2 ^3 \ ^/ H2 @0 ]
+ q! i4 O- y3 w1 r. y0 q' g7 l
; H; [4 h3 D7 s* @* n1 j, b7 _ fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 " T/ L* ?! q/ B9 ?& p
+ R J8 I/ q$ r% D0 b' ]2 r) i
8 A# O1 I0 u( A, O" v Q PACS系统 4 z# K! r) c9 e) k. |
- A- B# M m! f" j! {- a7 [( s! G
; X* n2 \* C) } @7 P 6 K ?2 _# P) \! J; D: Y( O5 F/ N" ^/ g
3 n: p7 d" d, ^" Y& E) M" P
4 d0 _+ @0 n' q0 w* R& K6 i6 T1 U' n
* h, g, {# \! }! B5 p( s
0 M0 c* B8 b9 h. V& Q% ]+ R: M H & F) r- O$ G% W. [
6 ~' N" C4 c4 X* Z9 p$ o/ E
9 p4 G- B0 @9 {" D HIS系统 2 `9 |, W1 e, b1 T( x. P( `
- d! _# \8 Y7 _/ ~6 v" q! n
% ^* J9 q) Q- a( M# f $ S" }2 }$ ?, ] R0 ?
: _# ]4 t0 I9 \6 p
. I/ O! Q: k6 Z O; t & }0 V. S% y) A& f& _+ Z4 \: A
0 z d' I1 y/ I7 S% |
9 j. A$ L" c4 k! ~ ( }7 b( {8 b3 z7 f& e7 {! q
" s2 S1 ?# M$ V( G; T
) P' ^" f& O( @3 g4 f 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 4 f( v; [# w3 P( s j# r' X
: `8 A u* N* w- ?
, M c" P& f4 C5 Y1 J
- a( q: N8 g, \ o1 g$ e
1 r: {7 f7 w3 H ' i) h/ [) p' n) M4 D0 C
N+ E+ r- _, L
( }& l! }" l- ^- i 后话 3 Z( o. V1 W" C9 O) p/ S
9 K! U* R J$ `
7 }% _3 ~0 Z$ n& }+ M 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 - L& }* Y! U* N, B! }: c
8 o6 _2 ]$ X; F- {$ W+ s: K
" E* n) o5 Z) j6 J: B2 S) d , ^( v; _' f6 ^6 o: u7 @
+ ^0 }+ `6 {- ]1 t) m1 D 8 u) K1 S l% k( T, O8 r6 o0 g
4 b0 K1 P, f% r0 J7 ? + ?; W/ H( S& X6 @4 U: C" B0 r+ x
" ?5 }6 o2 N# M1 C, ~* c 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 $ y! a* U* W2 {( g; a C
" N0 ~6 F6 Y: E' L9 O! r% ]) N
# T# G8 n. ~: P4 p g2 A! O$ D d ) K, S. d% x' p* {8 b$ m5 F8 Q
# H5 C, f& k, L% Z& z$ ~$ z' R: k9 s

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

3 b1 f, E a- E8 Z; D 无线or有线5 P# H* @% P: u) F" s; l4 X) S, a

* e* D g5 c" J( r 内网渗透 $ z' t3 g6 }; h/ q% U