记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

! h& N1 }. E: Y 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 7 K( D. ?4 s# s* [$ J8 J' K1 H: U

& x0 V$ \( Q7 j5 E5 \ 众亦信安，中意你啊！
/ o" r) `0 f( Y% t
/ S1 V& P/ @/ t T/ G. l ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> - C9 Q9 G* }3 W8 j; _

# J ^' d% I6 u& B ingFang SC,serif;"> , w8 Z$ Z- Y. p6 U9 u' L: L, U

i; j1 m/ K% b+ b- b5 L' e: q
$ q0 u3 G9 e: c4 s" k2 Y+ j 众亦信安 # `, o6 R k2 k; v
b, {( o4 C( O9 o+ q
7 S4 K2 l- X, q' m$ @3 @8 r 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ; `: E& p8 n8 ]/ ?! \5 X2 w* X0 ]. m
/ o7 Z, W7 w' a: Y" \
. s+ [5 X' Z0 E: M2 c ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 9 W7 k A/ o/ ~
" U \" s) X; A3 Y. d
8 v3 V8 u# y+ \5 [& @* x 公众号ingFang SC,serif;"> + I' m' o9 U% n2 ~9 a
+ p) ]4 n' |" d1 {8 Q. v
3 k6 d/ T8 ?9 G h! ~
# m* Q$ F) w) Z1 C* k- p
! h! V0 ^+ v/ L% O% v ) m$ A, g; N/ {! N) R; Z
. @! s& o4 \, ]& J8 P/ n; R) Q9 \& t
点不了吃亏，点不了上当，设置星标，方能无恙！ 5 U) J/ R! F1 m
g; F6 d3 o9 U% M, \1 `. d ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> & J2 f1 q1 `4 K1 Z
# M% Y: g' w: ?* n
; k5 [ Z5 @0 s$ ]/ G% j3 t; J 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 % f% ]9 G& s$ K
9 {, G; p7 f0 f* j1 u8 `8 l
: n8 S8 ]( r, j3 V& s7 r1 l" o ! ~9 a# m/ I4 j( m- o
; f& G5 w1 z& K0 U$ `
7 \' S* x E0 ~% ? / h L1 E! T5 [8 G) K5 \
! L* [3 Y6 }$ J2 R& E! u* V4 X 无线or有线 % x5 q! n. W" Y2 V
# v6 K* |7 U! P$ ^' N I1 V' s* p7 Q+ [+ l8 `
/ `$ q" K+ l& {: M% i# W% b 8 A* d; w% g2 K: ?( k+ q# I
& \/ |8 A9 _# s8 V; ^1 J 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 $ p9 d& |9 z# i5 r
6 o0 B3 \; @! q) D, ?
) `2 Z7 K9 Q6 N( C m3 b0 I 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 & }' \! P* b4 m e3 Y0 D7 h
9 `4 a, f( c' Q5 {7 J
1 k0 Q8 g' z/ d$ y # ?: p& N- ^7 J6 H u
" P0 S k6 j# w: B
. l& ^+ A9 m4 e; O6 H& b / ]8 x' Z, l; f
, Q$ w4 m- C9 y6 M# V, Y( M7 l& s
- |' C4 m, \( L 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 & d0 V8 K$ S) l
0 p2 r& E F! Z0 ?) ~
; Y) ]/ u' n1 ^4 X M, q* W 7 R4 U. L% o5 A/ W) Y* H0 m
- ^6 j! B: j4 C7 A
7 i) ~# H/ o0 B0 Z1 L9 P, G* } 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ) N$ E8 h$ |# }! T
- @" p( O1 b k$ K
/ M1 S( i8 {( P6 n% C: h. ?+ } $ V- A* v4 \. J2 j
* [8 \: M( |- u# S' [: L+ g
* u3 I: W) s; h! K 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 & I0 S. o# F6 E: P- ~
! q6 O; h/ h! ]& j; S; l
% X; S' @6 O0 ~$ [) j- ~ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 3 U2 g7 k' n- [7 z' V% ]7 d
: c* A" d" ]6 q) D5 k/ o5 J
4 v9 {. f) A, i- i" b( P 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ! U% J) f5 X9 m. x; B1 c
% A9 n5 Z5 o2 [: c* {
5 [% Q% l' n# C# E$ P! E, ` . J" R" d" E' w8 y4 P' x5 Y# m
! W1 W$ h0 C( z" U2 X X O: z 内网渗透 / a+ m Q5 x: ?4 d
' t% {. N# L! Y2 w " g- T2 K+ w& \5 G
# q2 x* X/ A( |; A 5 a9 I& @1 r& w3 ]1 J7 _* M
4 Y8 k+ w9 t0 n2 ^) ] win下搭建cs和linux类似。 + B! H7 Z+ o2 V* ]; l4 f$ z
1 u% Y+ U# I& g1 W. e0 P; E/ G
/ i& @; N" x! g0 a- @5 s
teamserver.bat + ip + 密码
* U6 T+ O. a" f1 {$ V1 @
/ A8 T, S& M8 I3 C% U. o: J/ |
; s7 C) z" `! P7 G0 _* [3 Y 3 H; |; K2 H0 O, F4 D
1 z( E7 B/ t& T5 F( l9 C- e5 [
) Z' o, m; U0 y4 t fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 7 I/ L' r% v1 l2 H4 J) N# ?5 V
: N8 j3 l2 u+ ^) t7 f$ e3 v
- g- @% n/ V. N7 | ( o( F/ n( j' i* K
# J. s# ^2 q% z0 w& r# }) F- z" v
. b2 ]1 ^# w1 C- N u4 p1 S3 k. d 3 @$ V5 C3 \" ?1 i1 O
4 M% K. _) D6 A# _9 F! @; g
" ?& p% ~/ |# e8 l& U$ f 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
7 D# \* }# C" o2 }; u
4 h& V& i& W: k- f- t8 Y- S 1 \7 i4 v- n0 n/ k: r; l# M' N7 n
' ]! ~+ q! U' a. \) w& d
5 Q4 f1 Q# o! N A& J 3 a/ k- x, O/ _* J% k+ x- d
' ~( S' J. C8 {' ^/ L% u5 C
9 t( f, r5 @8 W1 g- Z+ V fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 1 ]5 ?, E X2 ?8 i) ]' T7 U
1 i1 a" N3 w% W8 S$ m" H q+ q
6 v: y! m: D; ] PACS系统 ) w0 c6 Z+ f) ?- k* q: q6 W; ]1 v: r
/ u. D% Q( F) B* I% @# `
% W' K8 U8 e/ o8 c. j / {& J+ k" T. h" J) R% P
( Q1 l' l s0 S: ?1 [' R7 N4 B
/ U9 n; g+ e* [1 I% P( B
& g- C4 u9 c7 n/ M4 }- e% a
( M. v( x+ q j4 v " X$ l# D( F2 z: ~
. X+ {+ |& _2 A" k% N: \$ q" O; |
" e. Y d4 M4 e; ?3 s4 a0 Q% [ HIS系统 " a5 [: O) l# G* s# h+ F
+ L9 Q' H2 K: x/ J5 q1 {* T
6 }9 ?* _, W% h0 I* p1 n: L 3 ^+ g5 F4 |+ Q n
0 _& }; k1 h6 g8 s- S% D; ^
+ Y' p4 {7 j0 V. o7 G/ o ) D" ]( v. D# O' {$ T1 y
9 k* J5 U& f7 E [" W0 r0 k e9 m
; R; Y+ d$ E W7 \9 M; j / F& [- N7 B3 k9 M& M
: j# J$ l; I3 e7 M
p q$ B; U6 p2 X0 O5 i 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 0 Y. r0 c5 E1 p9 |3 a- H
. W$ p0 c8 a, |. u# C
, i% [% J( ?0 I
4 f0 G: B4 g0 [' @
4 O9 Q2 w/ W; b( A ' e+ q7 q' [0 [* w- b. t" F, W' k
1 k6 Z* e- e8 Y! q7 R/ i& L' t
3 D9 P! J! X1 b( s/ F( o 后话 & _( o/ A; a; O! Z1 U# G$ E7 y- @
4 X% @6 V. G' |, N
" _+ H& I* C% l# T Z0 h 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 7 ^( k9 ^1 ~' {' t4 r
9 `2 z/ A( e# S( e/ p: X9 J1 T
/ L" m9 z, G. ?& t2 G, Y) Z9 w % i7 h" t( u$ d7 |2 D3 ~; A
; ?. F( F+ \! r3 b0 E , p4 \2 @" L3 t$ V T
' \* U" P& a8 t6 k4 ] 8 n0 e' b i/ ~% i2 o7 p! {7 u
2 H* v$ B; e% x$ D 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ) |0 q- E$ S% `' l& o: ^
2 G$ z2 S1 j. j, T# W
! }. p; N4 Q) ^, E n + s5 M6 ?8 q1 F# j
4 z3 J9 _9 M& \. x8 L7 u1 {

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

! L* [3 Y6 }$ J2 R& E! u* V4 X 无线or有线 % x5 q! n. W" Y2 V

! W1 W$ h0 C( z" U2 X X O: z 内网渗透 / a+ m Q5 x: ?4 d