记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

9 E' _5 ]. x# u( V! k q7 X 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ! C1 Y! p8 `- h, u/ j2 C

5 c2 f/ F y; l) Z6 ~# m p; L( | 众亦信安，中意你啊！
' ~# k: N8 J7 h3 F. [8 C2 t/ B* j
$ m$ X! O6 A* M& v9 MingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 8 Y. e8 I$ z( a1 I' x7 w# e2 X( \

7 N7 z! s; {' O8 S* m4 A: s6 { ingFang SC,serif;">9 j, }; h4 Z+ G& `5 N

7 O* b2 k2 `( G# {
3 Q+ Y+ S0 L; a; p8 M. z2 A 众亦信安 0 Z# L5 X2 J6 {. f* j# ]) W
4 j7 r, o3 p" J1 G L
1 s! K% l, k! q% n% V3 R3 h9 i; `& ^) S 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> " t. ]. ^; k) V9 E7 K( ^( h, f
5 c2 L5 A8 _# @ m1 z/ b
: s! H$ J. H7 t6 D* i ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 3 J) z2 O- W; m6 t/ `
0 G8 Z7 r! D6 c& s8 `
8 Q( A' e& M! {, x! a3 A: ^/ U 公众号ingFang SC,serif;"> $ g" `# H, f* ^+ Q/ T2 Z
- N7 A0 M/ E. W) H8 l
3 g3 F" ~7 z" d$ l3 i, i! O0 F
# f/ `/ r7 D5 T
7 o; u0 i y, H; G( _0 X; O% }/ t+ V% {+ a6 ^3 F8 g6 C3 u
4 I* x; @/ ~1 O6 k0 y
点不了吃亏，点不了上当，设置星标，方能无恙！ 4 G+ I3 n3 r" E* f% J) |
/ G5 @( l; @2 V5 Y ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> + z2 w5 g1 ]+ ]6 y) z+ P
; d( z6 Q9 a& t; c) I' D" g9 K
1 a- H4 ~0 c, L7 x 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 4 n* d, L& f1 |' r: Y+ ^
' C$ s: c2 C; Y
2 Y. W4 H, R) ^$ w 9 F& Q+ i A7 H' W* S: s
/ I1 Y3 M6 M1 a; j9 e. K
% r7 q$ m3 D' Q" y P& ~ % f. |) x1 x* V
9 D, S; x: A1 z, C2 K6 O 无线or有线 . _" S7 k. N [5 c8 B
1 w3 p f: {' K/ U, S) d 8 [1 ^% ^$ @ L6 ?; |% Y
, k5 g/ P. e% P7 }7 T & c( @. w( }! Y" _
1 s2 r$ {9 k7 m) @0 _; X) m* t' R1 N 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 * O. N' x' G: v7 T6 d1 ]
$ v) S. v' ~( p4 a0 {2 J
# k* r) U8 [0 F" _$ h 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 , C3 X7 R5 {' o5 z3 ]$ {
H1 i" ]8 I4 k1 ?
% V' G/ q! @+ @3 | 0 G" E$ l& n# e5 C s
" {$ F$ t6 l) D/ Z6 n. `
( _3 d, R* H' P( T8 J : t7 W# ]! L/ t! d
! {8 o& ^3 L4 h; D* Q- |5 f9 }9 I
0 n- ^. O' a; ?0 T9 l; J) f: \ 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 1 A' Z i- a( ^* E3 l' A" ?
`' P: B% S+ w! D' D3 f
9 `( Q+ f4 z0 ~2 Y* D. m0 i! t 4 ?6 q: `# n$ E, a6 q' J
1 n1 f+ F: L. k5 B; x
3 `8 |! Z, A7 D- Y 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） , A* @% d" @) T) |) X! @# g
" D3 W, @/ d7 E
7 U' H z! t2 v0 \ ' i& A3 q0 d: {# r5 U2 y3 ^
3 `, B% f" k& u- M6 V9 \
: Q4 ~; V& C9 I1 K 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 4 w1 y. [+ ]6 f
% E5 f: I3 X7 s" J
0 U) e9 J" X- e$ w6 T 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 - N% D c [; [" E/ o
" j$ S8 `8 ]$ S* `
: I4 e/ K1 a3 z3 i `! J P' @' W 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 / C. m1 v+ p. |5 _5 h! p6 q2 h
* P/ E1 {7 y1 _
( r3 \7 d; a0 R4 `% ]: N ! N" H( c B n) l" }; c
; K$ E$ h6 v8 f# H& d0 w. o. {: w 内网渗透 * [( f; ^% X- Y
, h4 K# M9 Y/ `) R& C* ? ) l5 V% d; W' C
' L) Q% c1 m3 G. a9 Z ( ~7 G6 {4 X/ q
1 e, C7 Y+ {' _2 z+ S; ?+ A2 N win下搭建cs和linux类似。 ! W3 H: D; {# w2 r: s k; ^# ]* A
! Q, C7 R* w f, s
% S1 o! S2 j% U
teamserver.bat + ip + 密码
1 ~1 `; ]$ z v- F# Q! |2 ]2 u& R
+ K& |& P; P3 y: q
3 b# Z& r/ D2 F2 C $ d$ p0 C$ o' P9 ]
2 T' B" ~& O6 n
( f- y8 ?& B( i9 Z# }5 C fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 1 I+ q" f0 c( q1 A
2 J n- D/ m6 w' l% A
0 H9 ?4 F8 `. o; [' O* U I / b3 _( m; K i7 ?8 ?# n* X
9 N0 g6 c( _" Z1 i
. k& c1 p. k! g5 M% h3 b 9 O" g! A6 x, X0 d
5 D) G& T ?1 e/ a/ l" a9 P" o
; g. {4 g% p% i, a2 f+ F9 v 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
* S3 \, Z+ _$ ]( R. @5 B
4 c; ?0 ~, Q% N7 B9 n3 j* X7 a% f8 E3 ?4 m7 \, _6 x/ }4 ]- E
2 X' @* Q7 ^0 ?
5 i1 x7 v! @8 F 6 U6 P4 B, S! ~8 J. S& I
: e4 G- v0 v0 r8 x- n8 {
4 D6 r% U, i& h* V1 @ fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ) {7 ~; {$ c- }
2 k' s# q5 r& I7 a& Z4 c
0 X1 M) a: y1 q* ] PACS系统 ( X5 C7 y4 `. m, D% i
( c, z h% H, _9 O/ Y
5 `6 o' k' P& z3 \' i- W+ N/ c1 [. H; z- e, b " m0 _8 ?9 ?9 Y. l, {# ]. N( L/ D3 M
! Y8 b4 ]! J$ `4 X' x
3 U$ b5 C$ u- X. C3 y/ x
6 y6 L+ a3 Y9 D N
8 ]; o z3 Y' S+ z* s( N; u ; i- n& }7 N, Z' U: Z
- g8 x9 C$ {( f* |
/ T- _4 K6 u; W/ X$ m HIS系统 7 F1 Q g3 B l% P2 i
6 B# \& R- l* R7 I1 ~* e
+ k- X- K$ @" G" q) g3 M , [8 j* \, o( t, g& {0 b
( T& B, C2 ]3 n" H$ k
3 L4 Z' N7 ?+ z9 A7 |5 K ( W y4 k" z9 J% E& A
- v- f8 t0 Z2 h' O( \7 J. f
. O' ^, p$ B& q N6 t I 8 k+ E# Y* K% b
# U+ c, y; y1 m. N( N+ N
2 H! X& {1 U5 [# z4 |2 h6 N6 I 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 * K( L& g+ Y1 M3 C2 N6 I/ m
5 b* m2 N' H I* J0 J; ^
' F* _; B6 l% @" E2 \; S3 u
" x9 M( A; V- C# Y- i9 g
6 G0 G2 I. Y$ c* _' U + i. L- l+ E: S
. R6 w7 h& V5 ~/ r2 j
2 _2 i7 N0 x, W! ^/ ~. v 后话 : C3 z5 {6 q% J7 p
0 F% u6 J1 ?* C$ L1 w2 x
9 N- \" z0 ^2 v$ J 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 4 m: |- I- q1 H! d4 I# g9 Z
2 S' ?1 G, R7 n/ D9 I0 ^/ B; l
# D7 Q- X1 ~! U- [; e# v% Q4 V3 u 7 ~0 O! L! h$ V9 Q) A- Q& }) {
: t# J# @7 T4 K2 b7 X " \! f0 ]& ^2 ]& ?$ t; S, N
; |5 i/ G2 w e' O $ C6 {0 T3 m$ ~' B0 Z
: u0 V: w& d: r# m) {8 L* D 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 9 d) y2 F; N; j* S4 x6 |2 E
" l, S( _) g/ t9 R; u
) C! e5 m1 P! e / z0 T* i2 |3 _7 o
& {! C% ]) ~, w! t: M, r