记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

1 l+ G/ y0 }% W5 x) k 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 0 V7 k8 X/ P P4 z0 }( s) P. ?

. N+ ^ F6 {4 O+ p 众亦信安，中意你啊！
, b/ c6 [! U* _0 S* R
7 K( h* Q# r* | ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> \5 d) }1 [9 Q* O; l7 s" r

0 M9 F- @7 M, {( R' J6 W3 j ingFang SC,serif;"> 8 m8 \/ t7 z. {3 P' Q3 y

8 T, R9 y1 E) J+ x- s0 P4 O
% P. E/ B: Y! r4 |8 N' Z# N8 G 众亦信安 / |( H6 E0 B b' w0 [6 D
- b8 V9 k' S3 e; Q9 O$ t5 F
* i% \( L2 w4 y4 ` 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ( e9 ^+ U/ p" o, N+ q0 W/ Y6 X/ T
) q, m( k0 f( r7 q+ ^0 t7 w2 x
- M$ |0 i% z1 @ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> + Z1 h" ?. T1 x# s8 H
; v: p& q3 {& \0 X6 J7 Y/ I
4 M' X2 [* q' L. S% T+ d1 S 公众号ingFang SC,serif;"> - K) h; Q# O& E3 R/ K
& x$ |% g( ~6 g1 x4 |$ ^
' E; _' ~/ x3 X' O
; U" q- k0 R* t( v+ a5 f
: a% z) y, o6 T0 ` 6 c3 d& Y( }2 g p) g$ [; O* h
1 u2 M* n4 d+ X9 E
点不了吃亏，点不了上当，设置星标，方能无恙！ / R( R; e( X2 V8 l" u- h% X: z
) C3 E* h# @# s9 g* H ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> * ]! u- |, O4 j6 \( T+ D
6 ~$ e: D: n8 r, Q6 a
1 I) _# f4 {% ? |: q' {7 W+ [& \% P 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ! @% j d* m. {& u
" m* N4 ~6 g4 E8 ?4 t+ v9 n' O
' H, q$ t2 x, _ m . |& G$ s" x6 U" H. u
5 o7 }* y7 I; `5 }+ z- S
( F2 |+ M' K4 Y v # x a: }) G. s
+ l: W2 Z% ~9 J$ K( T% j8 s4 m) S 无线or有线+ C* t, G! ^- A
9 I4 @- W0 s' _& `' U# o 9 l) K% l" I7 s9 J$ ]& n6 ]/ a
, n; Z4 `2 I3 ^" u, [9 D ; _+ l" ^" F9 q2 h3 Y* ~+ y- f
" q, P' _4 N. W- Z9 G% Y z 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 1 c' y0 z# M" ]0 i
8 P. f- X8 _) b& X/ B
' v: I. C* K9 j5 X 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ! ]: _6 i" G: f r& H1 o
% t9 Z/ _: N7 l3 ?7 `: o
. H9 U9 @( c- H( x3 I3 c7 S+ k % ^& w* }5 r2 O: L/ d
, k4 x: W2 X" R1 K3 m! Z5 v
( k5 z( A* y; `9 [: \. f 6 a& e0 l3 c6 m3 K( A7 n
8 ~' L. k/ b# H5 i, W; [
% ^" `" n p: V% l1 S 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ( ?6 E9 T, R8 ~+ t- k7 \
+ L8 U/ Q& f+ Y% l6 F' ]$ B- r6 u% B
' _& n) h1 |3 T 3 }, U. z$ G2 V0 E* J
' A3 J1 T8 N1 v4 g1 l
8 p5 i. U) I: ~5 K 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 1 O2 s) Y8 U1 z0 A' R) X2 T5 Z
; j2 g) ?8 Z0 r$ _; O
$ \- i' ]+ q( q0 U) v5 I. m$ s n4 ^7 ^$ f1 |# V ?) k {) e* j6 ~* Y
# c* R' w/ C/ c- E6 X: J) b
8 }3 l+ H. k6 j3 z! _/ j 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 % U6 v6 \2 W5 K$ f
! Y* M/ M8 T( @% d* c% [
) w8 t1 B/ Y; l2 }* v 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 " L; i% M( l# G' f
1 O1 s2 ?7 C6 l5 _3 g- s% Z5 R
2 P! T3 ^( y& A) L 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 + F/ M1 O1 t6 H+ N* t; X% P/ ]
( C/ V0 i3 k E! t! B
. q5 Q: }8 h1 }3 w0 J7 k : ~3 e$ m5 b5 C$ L+ G% n
8 z5 \. n0 n8 Z! ` 内网渗透# @8 y5 N+ J: D: r0 y6 N9 {$ F4 }
) a6 g; P7 Z( a Y5 D- v5 I2 g + @5 d- M+ }- D. E' r
3 J7 V3 E; S5 F8 U( U" k9 \2 D" f , R+ w8 K( \; ^
. W( C1 v4 j& e, t& ~( ~ win下搭建cs和linux类似。 # t( n5 D# L D$ f4 j" Q
. \: M- T+ z- P D. g
. B: `6 R2 s2 [# ?
teamserver.bat + ip + 密码
' x6 K5 |* C# g/ Z* G
. r. Y- F8 O5 ^' Q9 I$ T5 l0 K
: Z9 [8 A2 t$ p; c; M" ^: R 1 z8 ?$ M1 N3 }( ^
: D- x' V! A8 F& e* D) J
. @3 l" Q- X: M: q- _2 @ fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） : U. | q+ ^- i
2 e+ }/ e2 N3 h' Y: S- S% D% m
3 J* a& s/ R8 O& M3 S7 j% m$ E4 @ ) h- W# r1 j3 Y+ I
% R# G: }, o. Q: X3 G1 _
( S: L0 l- |% K* u 3 Y2 s2 l6 }$ ^3 ^9 c* K
2 R8 p3 x a8 ?7 L3 Y/ x
; H$ g; u/ P, _5 @. V l; u 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
& z/ p4 I' r; c8 E/ N
% I; v$ C" C0 v. s# q6 R : ]$ `- B0 w6 q/ A
5 \0 l$ c# k# ^" j
8 }& U0 p1 d0 ~# s; Q* U: F % c$ S$ a0 ~5 O& A6 t) h. R3 l5 j
C; @5 x: D& t( \8 _
( F4 ]4 H" d7 U4 K9 }% N! A. T9 O fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 . _ R. z7 E0 \4 _
, m* X( ^ t) F4 O" Z
1 ~$ [4 c8 k$ _( P, W; C7 c PACS系统 8 X( V' Y1 R- _7 R b; m8 ^7 K, V
+ ]; G5 R+ A. A7 q% K
. H: r) b0 e3 s( I% R$ K' } $ `1 {9 c3 i+ w7 i _9 a
$ Y) L' A: ?; K; h: W& b

! u4 n+ b. i. g5 x3 z2 \4 C; j! B
- i/ j& |8 v! X8 b, W * j, U' M7 ~8 x' t( S2 k8 k
! R$ ]7 m9 H; R0 ]% G/ [
' M; |4 J3 |$ f8 y HIS系统 5 M; D2 ~9 n% b& g
+ M9 A: S+ v z4 ?9 {# r: T
+ R7 O2 t& W/ o: T% l- u ; b0 l" J! h. H) j" c Y: A8 {8 g
% H6 C: J4 ?" G# B
( M( N. \) R& t7 ~& A6 t. e % r4 p3 c9 S& ]3 e* r; D0 f/ [
$ Z0 S1 A2 h( M: v1 s' m, @
) h9 |/ t% J6 }0 K+ D6 ^3 K' N + e: I7 h- m5 t" \! t6 {
: B8 \8 a5 \) c$ j) p. r) ?
. G. Y. H9 L6 u7 e5 K 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 $ p, P! y% g+ n) u
, S6 B( `; E' F
! c0 U& ?) }6 n1 ?* p
2 i$ ~( k! z6 h9 f$ ?, l; W# @8 @
4 ^! l3 N, M$ M7 p) J % l9 A$ [. J9 X: j$ _; g9 I$ O5 W
' r% P+ l) n }% F* I
$ B6 w2 |1 H# L& n$ ~ { 后话 , H; h2 P, W! b- M- }
a0 Z3 t( A. u q- P; d" w
- O% p/ O, {1 A 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 3 [' c. G9 K! s* z9 i2 g3 p
h6 \2 @" ?8 l) m- c( v3 H. Z
, k9 E/ v* }# o. |2 K + q' S4 L8 Z4 d$ m: g a6 q2 T
4 N# [6 l9 p( c& P+ \# A! j& o) v* n 7 s1 ~4 J- J7 \
& o7 V$ j6 M: Q) e1 y" _/ Y 8 m( b* W" I( W, F3 G1 V, J
6 D0 g) y0 m; }) m8 q, f" V. u, A 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 8 B) L9 ]4 V4 }( [, l* Y- B
) ?' O2 L6 t0 U- h0 g' N6 C8 n
S1 z d% R1 b9 ^3 V) } 7 P, f1 m4 j7 r2 _' a
5 h% l+ P7 P `" m W