记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

9 y0 [/ e5 c' d$ ^ 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 8 q! w) V6 I6 t* [

& S/ R! h9 X3 Q( [# s- Y 众亦信安，中意你啊！
6 t9 m8 L( z }- U( `% B% M2 a
7 _) m, \2 l% T& YingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> + ]/ e4 i& f+ E

; H4 c& P0 U8 Y4 N* S ingFang SC,serif;">4 e" o2 z8 B9 t! \

5 w9 ~+ C- X7 L) m' L5 e9 f( v
7 y, ]; ]6 p* k4 b+ L 众亦信安 % V1 m/ J0 L5 H8 m) P7 ~; t: c) a
; k8 Y# x/ S5 U2 t4 r5 ~$ p
" c& \2 z1 H% O. k% L8 q; x 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 9 k1 c4 k. n L H2 \) P9 ~
; k8 x; r" u3 W9 d
6 T3 k( `! g4 r0 p ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> & `+ l# K/ T# ]4 S" ~
4 U1 r: i3 z7 ?' _
/ I# D0 K% }( M 公众号ingFang SC,serif;"> 7 Z4 x( H; \. T. F
: ]$ F* w6 B9 G1 V
: m$ o% m) a( @9 e4 A
) u0 M5 j& a8 y! ~
9 n1 |( x2 q5 \* _ E" v " @9 Z+ x. O; |* f: L2 o+ j
& h; M7 w0 K7 \, `
点不了吃亏，点不了上当，设置星标，方能无恙！ ; M6 j( }8 k% ]7 }4 v8 B5 @
: R2 V! e4 ^0 g. @# v ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 ~$ ^4 [; V2 h
, P! u5 n5 s3 ~1 A; _ n& P
/ N) k3 _3 \! [# N& Z+ t# P 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 + \, o6 l. Z! N/ U Y
# Y7 R; E) W4 k# m# V# ~
! U+ e+ M/ v: Y- ~, f) w 9 K" |/ x3 a# v- b5 D3 m
7 \8 u" J7 h: c- b
& R& c( \; I" X 7 S. g- {3 u( e. ]2 e& r {
! h: N: [% m% Q0 Q 无线or有线 / k# T* L8 b" z
9 H' e0 R6 X! Q; \ M # Y8 m2 S! C( C3 v0 F& p: O
7 |2 `' {7 C" K5 {% k6 } ; ]$ r; j# ^* h8 k/ e& B6 e+ i: P
4 V/ v, l4 p' K" y( k0 ^ 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 % {# e- \3 c7 p2 b5 B& g! Y3 z
+ |0 M- c) h' X2 F
/ K0 E2 w+ Y; O8 J 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ; ]2 }* |) g: x& R! [8 V) B
5 \5 ?% b& H/ y! Z O% F7 j
$ O8 \4 @* `" v K$ n! H9 G6 X! ^ Z2 p6 v" A# S7 @* x V% _3 `
; c# q- E0 t1 ?, S. P
" S' e" s- |' G6 Q , @( n; Z3 c' s) ]- Y/ U1 Z
9 \9 J, [. `, d4 X
& A0 q' d7 R1 Z. j' ?0 g 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 5 c' g( D. P* \9 P$ o
: \' {# ?' k7 J( Q/ m8 f8 ^
" L9 r* ]7 E' q* t : j: C. R% b6 I
$ Z7 P# f1 Q- v3 }9 W; D
9 o2 G! p: z6 Q& M 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 1 _( n# w5 h- A$ @' H
7 g$ ~" x. M$ \
* a, D1 S; D0 a; v' X5 Y4 \ , w* ~3 H6 h8 T% X+ d
/ h( K9 Z" Y1 {+ I% N V
, a: b& d1 K: c( p" f* \4 T7 p6 [9 b 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 % \7 W* y3 ]4 e0 i6 S
; j6 h# w4 r2 s9 u
, g: N% k9 K$ { 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 . f \5 l! U& H" P% Y
" K2 F9 e' Y! l/ M8 H
- }) x! }7 [ f, | 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 * E+ o: Q" r* u& j7 K
3 K; n: H! i4 A; `1 u
) t- T( c7 Y( u @' u3 x, G; S) {! A, {. o
$ N3 ^6 Y" `6 E' ]. v2 Z" R 内网渗透1 [5 W0 |! ?1 k, C
% r& @- s: e8 I7 X' L' w; v7 w * ~+ ^5 w' K' F
) w: u4 z3 x; v9 l* |4 Z$ _* q 0 V/ C' |2 X7 y* q0 S! U
+ Y! N) L9 [1 }3 D win下搭建cs和linux类似。 _& y: g M* T) x" `0 q9 J
" m, E1 |. U1 D$ a' I8 N3 H
+ j! ^' D3 _$ S' K" A3 {
teamserver.bat + ip + 密码
+ `4 B8 X% z, |# {( K) q9 J" f
- d% {8 _! U- o0 m
$ s! h1 y1 M8 H% a( X* N& U* k) T 4 i. C/ ~0 a+ F* w
- l2 O, q) l( T! n, a& H* t3 s
% X' D; R% c, x fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 8 h+ o0 a l) |' J( d
" e% P: U0 d/ h- `9 q8 E( r
/ F3 {0 m, A/ Y& x _ ) E0 j. Y! R8 Q( {$ e4 Q
: g; [9 D6 Z: |5 F' z
! P5 G# I9 D# @9 F' Z 3 t; s. \6 o/ B) o8 K
, {* m! c1 f; B
+ \) i& Y% l' L' s' _: g5 W# i1 d% x 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
) O) {6 S$ R, B7 i$ e, ^7 V
" [' ]; c# ?: C f& y) U* ]3 O3 v7 I( ?3 s
0 i# | Y4 t% }8 K# @! p
) o0 J1 G2 r# v" v- p; ^ 5 d A' V2 E2 C {7 P- E0 c
7 x) [4 z# w7 P# b" N( g! @
3 r, H9 z4 p; l fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ?1 x1 W* _/ q; P; N
+ u8 V+ I; E; x9 z' f5 S
; D" [+ r. m$ E9 q% @+ p PACS系统 4 \3 G% Q. w% t: J R1 I
& r5 t: G' z8 ` r( i \, p; A
z( O; s: T3 R1 U9 Y & L% n0 f. M0 h4 J6 J5 e
5 K) F' i; X9 R: S, o
$ {0 F% p& |0 a" I, _; F" o8 `( T4 y
Y: H, M- ~$ h/ i$ l7 j; f
$ I* Y8 {" N* }5 ]! C" h# p ; x" @2 X) _& `! S* C
! Z+ b$ V- `% g
% z1 w3 M9 [# |* x" L2 u1 K HIS系统 + d8 w9 t4 j' n6 h2 ?! t
# t4 ?8 ]# E. w9 |
8 l+ v3 |( o! B* B 9 t. z Z3 ]) I8 k
. u0 \% ^6 D8 F1 m
3 }7 ]; F; I! L8 V; V * z1 V- \ X+ j' ^2 o3 E6 S
& y6 ?$ {# n {$ `
: u# j6 u5 j3 U) v 4 g1 N# W0 R4 o2 ?0 i
2 u& Z+ i- |- P) Z- w
f$ V) I6 V% k' G" E/ ^! F 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 0 o( G5 R+ o+ X' J6 g
. r) r; \# _! C7 N! L. X: v
/ A3 O ?+ _" ^2 f
& `7 p1 B6 n+ p9 j2 A
& w; [! p. Z( O5 [& [) B4 Z - @) s$ J% Z6 n9 D8 B
Z& W8 M; m$ [6 o+ W- g- B5 y: f# W
5 ^6 c0 c" v Z/ g% ? 后话 9 _8 v6 I9 r; A/ P" E
) s2 U& o. v8 n- X# L
$ ]4 |. j( n5 ?9 m, {/ e5 a& K 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 9 b) Y+ ^+ n2 i
- H# c% s3 R$ F7 c: o" o
4 g' u/ X; E0 Y) l/ U- ]6 E 3 x( M9 @8 S+ `
: T* f% N$ X" D& K. h % Q! c. u3 t, X. O/ M f
0 ~; |2 U* `, l; x 4 x" o0 \, ~2 U5 t& J
9 z3 x! \# x; k. z 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 * {" Q7 V" f1 A# Z$ L+ a
* N# d- }& V9 y: x0 O
0 u0 Q# j; I# Q% o1 I- Z% w 6 _0 v! {% Q( q1 ?) p
9 P$ z, f" {1 o) O% S4 E! }$ e# H& A

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

! h: N: [% m% Q0 Q 无线or有线 / k# T* L8 b" z

$ N3 ^6 Y" `6 E' ]. v2 Z" R 内网渗透1 [5 W0 |! ?1 k, C