记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

5 q$ `3 J3 h# L' F+ @8 n6 C 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ( C. P8 O( l5 e$ B Z

, z* x7 T9 E. `! B8 y! u 众亦信安，中意你啊！
' F9 K& W/ C5 j8 a8 |) I0 F) v
) O( B. @) i! b' Q7 q* {$ ^ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> $ i5 W* z, L; A- j9 }

) @9 F; n& m1 N7 Q ingFang SC,serif;">" {: Q% w7 [- T$ S. E

1 u( x1 }6 `* Y) k6 y) M( _
* L1 P: e9 F( e2 n7 g# b8 G( j' } 众亦信安 * ~ H- O. \7 t# t" y' I
4 e8 l/ @) g. o" U Q
, N7 ?; [# t: H4 W7 s' k 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ( O9 r/ }# M+ L' Y
* f9 x. O* l! ~
- q) Z9 h. k( u ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> - B4 m {2 a3 g' `- L% E" e
7 v! l' n m" h: K) z K R6 X2 b
" X3 o7 V8 ~1 o: ]; B% @# Z6 M 公众号ingFang SC,serif;"> : y( ]9 {5 I# s, N! Y6 p8 R* U/ V
" U6 {3 b- U _) B
- r* [; r) [- L& c5 j$ B) e
6 W' N7 y9 J: t
- V7 h2 L9 r I* O' x6 W1 a & L' a- y6 S3 @6 I, y2 H, ^
f8 r8 s' u: O2 L
点不了吃亏，点不了上当，设置星标，方能无恙！ 3 \8 J% y0 R) y8 |1 D& `2 X
% @+ p4 P' k& P' l% u/ e ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> . ]& X7 ~, ]5 b4 P: v% w/ E9 R3 T0 M( F
" m X) x8 ~5 x) w
* m- ?, D0 R+ ]4 ^3 K3 p" Q 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ( I) G' x0 R5 }' H
: d/ Y8 i/ k0 a9 S% d
; n: D5 }3 O; K9 n ! R1 `& ^- q# l+ [# f& ^1 u
- j5 f% r" {, a; ?0 d+ V& W
/ C* d" q* W! E1 r* u: a+ j; ^% {" e & \4 d5 ~5 T, W% I4 V2 @
; Z/ v0 S8 o0 n, ?6 ` 无线or有线& Q; f1 g% J9 z% x3 V6 [2 |& m
$ P" V7 y9 ]9 `0 J3 o 8 t/ z6 ]+ k: z/ F; p( x
; i! b9 \2 F( M( h1 \0 }, A: p + e" P1 @. I- X. s% q
' x! b" h2 S* k" ]$ H# w& y 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 * f' r U6 I3 E/ L
# \2 f2 M& ^4 V' v9 P. S0 e6 @
" j0 v {! U0 B: } 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 4 p' w3 @: V" ^' J6 X% _5 k8 X
1 ]3 @4 r; I' c! J
# R' ?$ ]1 e& X% ?0 p ( A, a* m& l6 x& @# l
0 ?) ?) F7 q2 M/ U
6 }2 ^- k, j* _ / o; v# r8 n. g
6 g& H% m4 e1 w( H4 C
8 Y. A6 g/ I' K3 G6 z4 Q4 h 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 & e) g' Y! t8 q6 b+ e6 _# n. m# a& S
5 ?/ n4 ]" j$ v' u. P( a& N
! K* a# R$ E( d, s9 a; l3 ^( S 2 w1 \! c ^$ O; i
3 P4 g" e0 P8 u* l* F$ r5 h8 A2 f$ U
" r8 Z; m; v" b& s$ h0 f5 k T 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） . _! ~" x e ?* P( K9 o
. ^3 o `5 J: ^3 [. U \) f
' q) n+ i r4 M0 R2 M 6 U# t) f6 F2 f; \5 M' d
( U- M- g+ z0 \
n& U8 G S- p3 }: x) _7 `; G 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 : `/ y+ ]4 m; R2 X
/ W3 W% T- D# |5 [$ Z
/ U; E; p3 a0 `1 B+ g: c 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 4 f. d0 F& A: n; t+ x7 [+ D
7 d3 F9 u4 s& T$ X& H, Q" S! ~9 K3 U" h
+ w% `3 z& Q9 D1 I/ i 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 , G5 g4 A+ W9 H; I1 ]" \
0 b$ }8 \+ u+ L6 r
% @& Q* q% |9 l ( w9 I3 {+ K2 X( `& Y
# q. y. ^0 U% g x5 K7 S0 j 内网渗透% V q0 f. ]" e4 q; z6 L
2 m- N* |2 S# L5 G6 h. N" ` , _" h0 |8 n+ f4 V" I' W* ^
9 k: s3 A3 L( S1 V& N; G* V % [) W: F2 [+ J" m3 Y9 ~# J
% {9 D% }3 [. I7 f win下搭建cs和linux类似。 8 ]8 `1 c. D% E% p
8 Z3 O- Y5 U. G! B S& ` U6 a2 ?
! M9 d. M9 [1 T P7 }5 T
teamserver.bat + ip + 密码
H C- L9 `& W$ _8 o2 k1 ~
- X5 p5 x7 z& Q6 D) y; `, e" H, V3 u
0 o* T; f/ ]$ [$ G/ W5 O0 h" P, N1 S " d9 C* N8 A2 o" n7 g% `9 A
8 J1 g0 v3 h5 H {* ^
% O4 ~* N, R( b2 e9 H! i. k& q' d- s fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 4 I! |) w4 @0 \# |4 f
8 }6 r- Q$ [2 s; I' o8 ~( Z& \$ g
) W+ T. a* D- V' K 1 \/ Q9 ]5 z0 [+ W9 M @! _
8 E7 q8 @' x( M1 V% ]
" D3 X, G0 F6 J ' L2 ` B# g. u6 L# F6 z5 R
U/ j: j0 m" A- { l
( ^' _9 S. m9 a- e 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
6 ~ P9 h; W+ G' c+ t
- E' v: O. f: B 7 f( l1 z# O2 i3 a
; Z* E M5 d( a8 d' }
" r" {+ {9 C9 H- J" s 8 t' R+ V! ~ I! a! `& X
- N, G) d" {1 |3 T& x
' I) B8 \/ T# y {4 ~! P fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ! }1 N8 S% \+ n. l
1 C7 P5 ^2 e- l! q- j' ^8 |
! W2 H4 Q3 u6 P6 ? PACS系统 0 Y2 @% C. V; ]7 d, N$ D# v5 b
- k$ Q2 s1 b( \/ `, \. s% ?/ O
& M3 S- e: t2 v) O; ~/ w0 O . M+ J; L: k& p; U8 J2 ~
$ z N5 `5 b" ^* l7 v* O4 }8 ~ w! F% d
, v4 n# z7 i$ f2 k5 ?
: y% q' y8 Z0 y2 m/ x
z# w; H: i. ]9 Y& L - T3 q# {3 T8 m
: P% q! `. o5 O$ C% R! }% S7 `. s
* E3 h6 ^6 ^2 R6 b0 ^" D- A7 { HIS系统 + h) y1 H" g$ y6 F! M3 ?1 e
8 {# J, P# k- v' L( ~- [2 J0 ]
" O t0 C! o5 e' a ! p/ f% Q- n) {( T3 o. R3 O
z* F+ }& O$ @4 _% ?) q
8 L b u* v( C: s ; m% L9 X: a4 `: s k i
7 s. Z8 ?" }5 s: W: M( v4 I
$ V: L& X# Q" t9 k5 A# P& {$ c" e) f & z S n' H4 m, C, n
9 c& A c, g! m! C
6 _' {8 a4 @) K- ^6 ~; F 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 / e4 @! C' W6 v9 l
3 d" k6 f# L# I: y3 n: J D
$ Y- _& T8 I/ ~8 K0 V
6 G$ G. u9 Y, Q$ e) |& D# m
5 k! a+ i' M8 w# H* h+ G( D- X- U' M: q9 O
1 e: W, }7 A- G! _
& J! U$ e6 y+ p, L+ e. h 后话 ! K7 g" m$ x% D
* _$ n6 \+ g( h1 m6 n# g/ c) { t" H
8 R3 u& g& l! b 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 y7 T7 ?3 M8 e3 m3 r$ Z4 x" [
; |8 V+ H0 A) N' u: M
. D0 s( T# [; E% K5 h : q: _: t# o3 J5 E% b E2 K
5 w! M; h% A2 \7 l" g 5 J) j) g6 ?5 ^9 L
3 g+ T% ]8 u4 Z% D. t B " W) T. u. ` }
+ s2 n) m) o) c3 Z: @ 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 4 ]& q& _7 x: r2 Y( A, {
3 ]+ o* B3 @5 z: s, Y6 w
! L* s- q0 {1 i$ O( d1 B, s; G* o 5 H: J6 A9 p" S8 D1 N R) N- M
' y t3 L, t7 l8 w- y1 M3 O; d

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

; Z/ v0 S8 o0 n, ?6 ` 无线or有线& Q; f1 g% J9 z% x3 V6 [2 |& m

# q. y. ^0 U% g x5 K7 S0 j 内网渗透% V q0 f. ]" e4 q; z6 L