记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

8 q' M7 G3 C0 p) k6 y% l 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 : s! W' m5 V; x' W' T' p2 k

众亦信安，中意你啊！
0 s x6 ?6 z) r1 w* d3 T
* {6 l* y* Y1 @& c/ O! BingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 6 k' G2 a8 v+ s' Q- E$ t6 I3 v; S" ~

- r" D y. c5 j ingFang SC,serif;">3 v/ f0 o" C8 q

# U p7 Z3 @, B- N/ R1 g; P" O# w
8 T9 U; m# f) W6 n2 ~! v 众亦信安 ! j; ~ U3 B% E+ g
) o, l3 G# J- _% x$ Y( L3 f
7 v+ ~" w* s/ R( ? 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> . V. K8 q! u) J6 Z) S" W1 X
# \) t/ m: X; e* _2 s6 Z
5 l' {! w! Q0 M+ m; ` ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 0 [( W+ Q- F( m0 [2 N
3 K1 c1 Z! W' Y' u, k r! y) Q
+ Z. Z% ?& j! x. Z; }' i8 B 公众号ingFang SC,serif;"> ! q, S! I8 i: S' h9 m5 _8 K
; L q' a' R: S, j1 ^
* l$ {- p9 O6 s; v) I- R& F4 a5 {
. W* h+ q" j: M- H, @* K
: X$ B9 L! g! E& G0 `- l# B: K 9 r5 E: Y4 C! d& g/ e4 O6 b
* z2 U' L4 t+ R! Z& L; _6 O' E- E4 t
点不了吃亏，点不了上当，设置星标，方能无恙！ 8 F2 V7 R, t, ^
+ D+ ]8 P' o1 p7 U: q Z. ? ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ( y' z/ V8 l- U1 Z, b
5 Y4 q9 u+ v+ f5 u& V& B' m* s
2 Q$ K7 U6 b2 ~, u$ s) F; R! q 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 2 L) e4 ?( x# N: F
1 V1 @2 P: x+ n% ^1 t1 F0 m
! H4 A+ ~1 n& c! X $ ?; e# Y5 b, X/ U
p8 e' V* M; ?" I+ U) b
% o1 Y# X* e L& z0 s ! A* e6 y5 M, q' D2 o6 c
* K$ y& i* q0 D. Z# \) V 无线or有线3 `: m* D0 h' [7 M/ w4 D
* u! ^, y) v2 m . q) X3 D! _, A6 h# B) h6 P. W
; v' g9 K2 F; x5 z2 s( G# G! i* k: _ ) B/ i* F3 V7 c0 l
+ v$ m1 `* s' I, W' H& l 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 1 ^& o9 e# x) ^! V' C% h
+ Z" X, j* k( R
% U# P: j% o% a# n& E6 h 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ' L, d7 h5 f3 o) Z) ?/ D) O
$ S# f- l4 w( `
* r5 U& C H, k ; X) E( `5 V. k, r/ Q! l
% h0 P7 B" m* i8 t. @$ G0 {4 C
3 z9 }- U+ @" k6 p4 ?4 E& e 9 r* s0 s0 I: V6 q4 M- U1 |
, S# k8 R8 g+ w6 M, T; c5 o d" z
, {( t/ e0 A. B) T" K" W 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 , }/ Y P0 n: \( j8 j
" h$ g! A" Z4 Y$ K' ]9 V
; c) M3 P% M# N 5 }" I* X4 ?4 Z- u7 Q& L7 ^4 [: m; p
$ {; ~& m! l/ I: G' v* i
- H' f/ n$ k( `! K+ n 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 6 d! _6 \3 a3 X! b* {
) S6 k7 ]# z+ Z6 u( `9 n
/ W& {5 e2 a) U" g; M" K ! I2 v' k4 z0 ?3 M6 f, R
" O# N9 o7 u- S9 Z Y2 l4 D! V2 \/ S. X
% N2 ~6 f, z8 H' Q9 H U$ p+ P5 e 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 * e3 Y# E7 j6 L# R# @
% X0 J/ U- R6 H' h
( O& Z' U* o8 h2 x 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 8 X0 K4 P. Y( X9 S; E% E# d
, K# L8 \- v* ~- R- V( A
) l% N+ N' c, F/ I; G% c; x, H 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 4 H' {5 X* t2 a$ e+ t& x x
4 d$ p# G2 L: G) ?" @
' [& z7 f1 ]& z5 P- k 8 I9 P6 R; \, P3 d% a: L
( z/ V4 f( {1 V. ]7 E D 内网渗透; H5 |# v; o. @( U
8 T" p# V f* D. \ c
( ?' B r8 {+ E* O0 i - z1 L! E+ ~5 y% M/ i
5 ~% t+ `/ E' C6 ]+ I1 M) N win下搭建cs和linux类似。 " e/ ]- I4 |5 M1 A5 ?4 X
( f I% k+ ^ ~' { X
9 j e" h2 N0 H
teamserver.bat + ip + 密码
8 ]% E) p! W/ Z, j% Y! H
* t& \4 T4 Z2 _9 B8 B
+ R0 A, S; x* `& d5 l c2 v+ ~; b; n: {+ f4 E" g( Y
! j" r5 B" a3 H- G1 F' s
& a) [6 a1 @$ e# N$ v- l* {6 C fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） # F. [( M. n( c( _$ ]
6 M& E- Y( |3 ?; C* n$ s8 U
9 m8 g- t) n1 L& x& N( L! u " V& [7 W7 Z# ?- |" T! t. \( ~
- k$ v* K) X! o7 f
; t" o% K" c# W, b1 M " Y) g+ r6 Y6 d+ q# h9 E
b$ {2 w5 `8 K5 W, K Z
" w/ [# u H1 d 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
1 ^" a7 o8 {# w5 T+ ~
+ H" c% Q( L2 T - Z) m2 p/ z) d; d
4 {: i6 m( C3 p9 D3 s+ e
: q! w# R( _/ B3 L% c 4 Z0 I1 F, N, W
5 R6 w8 c9 W- X! e0 g; `7 ^
9 }" `9 N: n0 H7 c) [4 J: V& O% B fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ( J9 D# z- h) s; ?: m5 T2 K
( C: g* F# p( b! L Q$ i
" D, k* V6 i8 D# ?4 \ PACS系统 4 d5 \$ k4 F* j) p! R+ H) G$ U
+ w1 H0 P3 S; _
6 O- ~6 R9 p- {. k) z% |% `& L; F6 z % x, X0 ~" i6 J( H9 }
7 {, k5 I0 p2 T( @7 P: o! s
" R6 j1 [* ~6 w: p* Y+ h' n
( E3 j2 o. h. o4 F+ x
! U1 E! y' a0 x. \- i' k7 U" g, m! \ 2 G8 A1 T H7 E6 P! g6 F; f/ [3 h7 h
) U) ] H1 r7 s
$ {$ J5 f- c- T. |2 ~ HIS系统 % y+ ]% j5 C; `, d- ^
, d7 W: M' ]- a) U# {4 P+ I
4 ]: P' B/ T. N" k- h0 L8 F 6 I& _; _4 z8 @# ?. Q S
3 N+ o n0 L( v9 I* K! Z' b
& e3 j* m1 G$ N) X1 n% T1 k 8 T* M2 @1 u7 |; {9 x8 ?# M. r
1 r3 G+ X7 m8 t+ c: v
7 e/ |/ M0 ^( i 4 F7 X8 }$ F& Q1 a2 t" o
8 }5 I# O5 Q! v3 _ w0 n8 M- S
6 G6 L8 u5 _ w- X 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 - o% U- Z" n4 s3 }
: \: J- k. P( I/ |! P
( t' f( k1 n! }( c
1 q$ c; ?# Q6 T, R- h a! l. |- x
* q0 p( Z' C& X" S t) m 4 |# v e+ o7 @ b0 Y" s1 V0 ~
; _% q# X# a, u4 X' y
/ T- G5 l2 K) Z+ z2 t! x 后话 : ?9 d' V! i8 c) w0 |. j6 R
3 Q$ l! F& k' o0 w' w U
4 F/ o: L8 n+ X8 H0 S 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ~, m: L0 g/ C* x h: l7 _0 T
; M; M# v, M) ^
& k: J4 u0 d( {( o$ k $ O. ^; S ]' B: p) l. V `
( a& A8 @% u9 h0 u+ k9 [( B ! _- Z6 b& k; |4 g0 ^6 A
K4 T- U/ g: r1 A' c/ ^ 6 t/ g; ?% e# _. v$ p' Z8 X! ? T
( o; ~7 q6 `: L& R6 C. ? 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 * [- R0 y/ h$ Z$ ?4 h4 u, r
$ V( g+ s6 p# W' r
8 e4 E# i+ l: b0 F7 m, m' s; l$ W. t ! B0 k7 M2 m. V% c! z) _
, u0 T: J5 P m, Y8 ?8 E7 T