记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

: `8 n. J8 A0 q1 h# Z6 h 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 |' M+ r+ m6 x

" N5 x! r" n2 }) K4 u( Q' [ 众亦信安，中意你啊！
9 u4 S4 ]) v( U K) C5 {
5 M A) m) I1 q. SingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> * b j$ X% h+ _/ P4 T3 E% F) @' n2 v' B

/ C) s5 w: y" E( x& q ingFang SC,serif;">/ h$ x+ i' ^! W7 D: R

4 `9 ~% ]& F. z1 T
. C# {# {& o* Q( e2 ]! R5 T8 B 众亦信安 8 R$ f) \9 v$ i
2 x s: b5 y2 H1 H$ j+ w
$ j* L% V; H9 {1 @( p 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 7 E+ q2 O, P$ l1 F
! ~3 Q' o9 n8 k# C( {- f
9 ~0 |$ I3 q- I( m0 o ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> # C3 ~6 z# x; G6 |* u) J
% H8 b+ |* \* O6 W& K# N7 M
L, s1 x3 X5 y* A7 R: N% d 公众号ingFang SC,serif;"> , i" U* X. Z/ I$ W9 A. G
: k8 e/ c" u0 Y2 w# {3 V
! L6 S; A/ @; v$ R
0 I* }7 l, ?4 F* K' Z5 k& N0 [
9 y7 |; k1 u! e" t : y6 t; b& ]- y$ T6 t, B
' E6 ]! [9 D2 D# h! [
点不了吃亏，点不了上当，设置星标，方能无恙！ % g0 B1 o# t: v: O+ S/ s
7 V( s: l3 z4 |! X) y- ?/ s ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> + N4 z& P- U; x. Q: o+ E, r/ J
% D- E( x8 J4 D" D( f1 \
% ~5 E9 n3 ?1 c+ X! n/ K 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ' T& C5 u' O1 h) w' s; O. i: Y) ~
7 q- Y; A5 {9 m E
4 _- S) X# j; O# r% A3 K) k 1 b- z8 i' E! E1 h: h
2 ^6 G& u0 E Y; ?" T; j
; ]% v( F8 E. \: c! K& e. ? 6 o6 B6 W3 e' s o. }
/ F* g9 I3 [8 D# H% Y 无线or有线$ E& G0 g3 M( I
( P/ W: B8 x# D- R% V1 H5 t/ R% b ! D" ~9 r9 m- J4 {3 o. i
, F4 j" P8 |2 N 8 L% m$ P( c! U4 Z$ J* p2 z5 @
7 e+ M" \/ _! O 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 , W3 f' p8 z, N$ H$ a
, w8 I6 o# U0 R
1 O* W$ V2 t& a& y" W4 C 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 + T) Q" X% E v3 I! A+ j5 |. y
7 s$ l% [3 E- b5 A+ M
) @9 `# X$ B+ _# D 5 h5 e) I5 }& z
* q: m8 q0 M f7 b, ` B. T
+ b6 Z) U5 z- @ N3 e# }1 |+ o . A: `* x+ }: x7 U' o) V4 B
- @1 Q4 P! S1 c" X+ A; [
+ N+ p5 Q8 i+ }2 [9 B" t 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 " u" H) ?2 S4 m+ K
7 f5 Y* |- G+ V( [. E
! ~- G& b G) d+ U- Q+ Y9 B * E! C. D7 B& L ~5 Q
4 _! i B5 W4 K8 x
# w& i1 P# M1 X/ G) U 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 4 {+ d# L& G+ A& V
E/ t0 G. [/ x+ T5 L Y/ T
9 s) s9 G% k! p 2 r3 g) [1 a% r S- T5 E
2 z$ s" n/ W U+ }( x6 z
* ^+ V9 ?8 {, X& ?( o: e 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 : X M- N' [; _7 {) f4 ]6 J
+ l' G' l7 R: G& k) i8 H9 D9 q
" g* z$ m$ \- d6 m: N9 U 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 / p1 V3 m: F$ o i
2 P! m" C# p. E
1 g6 [8 Y5 [: O, p 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 7 c" W4 Q! b5 Z! f( A/ R2 {# k
# r9 ~ E" I9 T+ x7 x
" ^: y2 ?( f# w/ h8 B; [' c 6 u% o, y9 ~# V9 X0 U" u
. H3 m$ w% P5 R x9 z 内网渗透 6 m$ K. @; k8 O& X* p6 B- z
) m, t# T6 x6 d 9 J. V2 G, {6 X
0 ` E& o) b6 K1 y: S 9 u9 ?2 X9 b8 N \
6 N# z7 @; a% K2 |$ P7 D win下搭建cs和linux类似。 % D, m' K1 B* x+ C. Y8 `* Q
% k, J0 ^( N9 [1 c0 H/ }
- ]& B C4 I* q I- m! W
teamserver.bat + ip + 密码
& F: P& @7 Y9 N4 I9 m5 U0 k8 i
, ]$ v9 h- B$ e1 X5 {
$ O" M/ w# k9 o* H6 d & k( } W% Q# A3 f
" U& {3 P# u X- \3 G
1 }: ^' M; M- A" s fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） + ^! D5 r; S1 D8 Q$ L) w G
: A9 {3 p5 f# E" z* s9 y
* u K$ u# u, i - w+ A! j* |$ I0 e- B/ o7 P; D
" b w! d8 E" Z7 t! u, }$ R
4 r% U ]0 H- x7 F5 { f7 T% F2 g& z- s
" F$ t( Y( H0 S5 h
n; C( @& H' J2 T 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
# I z: ~ R8 Q3 [
& v6 M: ?, z" b' ] 7 \( |) u+ E9 _
- O0 g" F0 ^3 r; c a, {
4 {0 @ m# y) n X& a3 a % n- m! D" x5 L9 W% }) z
( D0 g: z& ~/ x5 F% K9 S
3 }/ T& E3 n: x9 w' A fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 : G Q$ P( ^1 O, ~4 B: u( i
/ P( s) r) v' s! K
; m; ?4 E& x) ]; U6 O$ c( e0 _ PACS系统 3 n' \' J2 W6 d) m8 G
( [/ O9 Y: M& N* x2 E
' w$ W5 K2 T) ?. H I, V. o/ K6 k. {$ ?3 w% e
9 X" I! b& }& s2 L
; ]- \- T2 L! b4 e2 m/ }
8 |) a+ x2 @% V( P* I' @
3 @! t0 G4 I, }: g3 J * h$ y4 j8 S' [; ?) V
3 L6 H+ B* y0 g8 {' \& ~; J/ j2 P& h$ a
8 s+ F, [- q5 y. D, A, q: n HIS系统 $ |- R" U% a4 n% L% K/ j3 ?! v; \
2 W8 Q! ]4 v% j3 @
$ `2 h$ [, w8 k, N4 S9 N0 Y ! o: w" h$ ?9 C( q: o
) ?8 J4 e2 U+ _/ M# J
% @% c- X5 f# R) G $ _' b5 C( a1 f! Q0 k
- Y1 P5 S6 h# x2 S% j3 }7 s; i# S
8 z' F8 L2 ^- p; f7 @- m/ I 4 {7 Y# V7 P3 R: K8 X5 b
4 u; @) [; ^( w3 B+ F" S% O# N) L
" w, [1 V4 L# a0 A, }( A 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 3 t" A$ O: o5 z+ ]: S% k- d" R
' y( r5 t0 r( j* H z
' K' `( |5 j* k2 ?6 S+ ?
l( _5 J; T' f" Q$ E7 F0 X
1 A0 i4 w: D5 ]! e) f) C5 E1 \: s 5 U& k: M/ y r O+ Y- Z0 L$ p
% t7 D8 b8 W% V6 J
& g( f( q- U7 G- n/ c' z 后话 : p$ l& F/ R3 ?7 M# W2 f6 P7 `; g
) {* K7 f: x! w7 H$ E2 e+ q# Y$ _
$ H5 S* l+ q/ N5 N 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 0 Z0 [8 p& F- e- r
; v0 {8 }# A* c' d
2 a( q& ?. r. d% N, y: \ . k. s9 B9 ?" K
" Q2 t N2 W( b. H + c% U, ]& M1 F# j' r% S( Z6 h
7 Y5 u+ p* v7 E1 w5 Y+ J" d 6 z2 a4 K: i$ T# {
1 K1 W. q+ ] z- V 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 " U6 L F8 B$ s; m- N+ ^: }, E
# j+ W5 ?/ _& c- n; l# m) V
9 p- h. P! b& G 5 h9 s( C# j# S. e0 u( l- m
5 s, S! c* Q, f; m8 G e