记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

* A% Y0 y" t# g4 @# [: n3 ] 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 & ~$ `/ X, ]; O6 J+ v, s

4 m. ?$ M2 z0 k0 \; d3 L 众亦信安，中意你啊！
9 h0 ]! X' A6 O) u
, g/ O# p) W6 s6 F" L; [ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 2 L1 f. h6 Q) T m+ V

A! x+ g; g4 W ingFang SC,serif;">; S1 A% P2 v# ?1 B. x+ H

4 ^& f4 W6 x+ _8 a
( B5 y+ X0 u D5 C- D7 h5 Y 众亦信安 7 Q" U0 v- ?% M# r
. O; R2 K: p1 O% Y0 d% {& n6 z
+ \6 U. o# H, _ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> " {0 e4 g) D- U
6 v7 k$ V) T' x% m) w& r2 l+ E$ \
% N6 t: b/ F& d$ t. a" v: N: g ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 8 T' ]& |* ?" p* Q" q! T
2 |% C1 ~5 Z9 q' Q
! m3 s% ]1 w" K; z0 M" G& y 公众号ingFang SC,serif;"> 2 ~6 G) C- }6 m# N/ |5 @! n
' m; P* Y6 S3 s; W# o" |
* B2 R+ Y3 A8 i
5 A; H, Y+ T0 `3 H7 X# [
: v& i1 t( n( u/ A1 Y7 u5 k" u. n! ^# g1 {
: J I8 X% }% N- n5 o1 O* x
点不了吃亏，点不了上当，设置星标，方能无恙！ ) [& F1 p4 d3 O: N+ |8 O, D, K
5 J+ ~6 ], i9 M% X, W+ Y5 k7 f ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> * z# }) l1 q" n7 `
! |8 @$ j# n: j" m& b* X. O
$ H5 F* V) H; T: [$ R6 ?4 f D 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 4 y1 u5 p8 d2 F7 ^. d* a
, e1 M7 z r" E$ c" `, o3 u! y
7 d: P: n& H) l" Q4 W 5 m! J' \1 _5 ?& a) b, z* k
( g9 K9 g: ^$ J( ^. ?
: @: Z4 |. P, E3 e' t8 a0 S 0 Q* L; G& t8 y3 B K
6 \; T: t* ~3 f; I 无线or有线 7 P( \. c& h3 v3 U7 O0 [9 i. u2 k
6 I" q- V9 }* @ 6 L K9 B7 L3 p
7 t! w6 z4 X; S. U1 @5 |9 U) u 5 ]3 r5 s5 r1 ]
" K$ X8 Z# x! e$ J 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 8 q% d* a0 W7 X+ {' z/ R
# ^6 H) X+ b( Q( ]# n% \
2 t v! H* m ? 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 # Q. ]- r- j* { P! B! H2 @
: j! b# Z6 } R; K! h7 B: ?
4 e9 l/ M) n" A6 w$ z$ G9 O% w ) {* u1 u* x- c) F% i$ [; @1 e
1 J: g% ^2 p3 ]
& b3 J5 X) \) U) n: R t% s- K 8 Y/ {" o+ r1 ~6 R
1 a$ W& I9 Z- b0 B% o
C( g' }, d4 Q9 T 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 : P {! v* c4 h+ H& \6 B2 ~' _
. N) W, ^$ r) K' K4 S" e
7 X, J0 ?! n% B5 C : d$ w" o1 L- Y" ~9 Q6 ]
{( U/ u3 j3 k4 u# Y: ]( w/ J0 K8 ^
% R& x( N0 _0 \6 r T* m- i3 o 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） . r( p# C* e7 c9 f
# M; H9 l/ G# r/ \/ ?4 J
# o7 I9 Z9 c# X3 R2 a1 r % I5 P* A: |0 e+ @8 l4 F0 v
$ }9 v. X3 S/ E# z H' c' ^
b! \6 [' g* q y9 M1 j 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 : p% Z9 q( E1 Q% g% ~/ t
' D- V' `7 G& F8 h' q1 ?
K1 @. L, p$ f z 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 6 ^0 Z; M2 a) L* H1 _
$ V3 Z) z- x0 y- _" X
3 S- F% g% Z D/ z 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ( K1 ^1 P( h2 x9 b/ M
: J7 X$ D$ E4 ], r) d/ ~. E& Y
5 X1 g8 R/ C7 p, k/ U' z: z' ` , q" M- c# c4 Y4 U- {
3 R6 g% x7 U5 ]" ? 内网渗透1 R1 E- A2 c6 ]
" H+ N) h2 _4 S' L 1 U; a+ u; w6 ~* T# k$ u
" r5 @+ c2 }( ]- H5 `9 p : n/ c U! f6 h: ^. X; s* G. R
/ s% F2 \; F7 k [ win下搭建cs和linux类似。 , O6 M% H! U) U1 f
9 \0 N* g3 U% `2 p, W% L9 g3 V
4 J5 K2 ~9 B( X; v G1 y' G
teamserver.bat + ip + 密码
$ a+ p m# {1 W. p8 S B% }6 y3 b+ q
' [# W0 s/ Z6 y2 G' C6 @
3 {2 ]) \9 Y, i& v7 f 2 N. `5 ~$ M: q f& L6 X/ t
& I0 m& J+ G4 W+ G" E" X- d
0 e. L, b, U# C; Y fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） # w( C( g1 E* n( V2 S% X
' U- [' o1 i' ^
9 ]9 n5 B: I6 j. K0 F9 D$ w9 F / }8 u% @4 r$ s
. S* h- G9 T% `- S5 m+ i3 y
8 o) w+ n9 H3 S* Q j' I$ F& n9 ^* z ( h9 E; R, J3 D6 `. I* U1 j
, E B9 e. j; m; y& e4 {7 ~% o
& U. P6 {2 X- r4 D7 r 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
4 a" x' K0 x& ~; o" c' C
$ f. K0 ]- S( u0 | y $ k7 v @; y" `
8 r# J( O6 J, P) f$ _- |3 m1 s
9 w7 E8 G) H* a7 I 3 K2 T9 t# A" m% O4 Q; {/ e
& j7 ] l" K+ \( b5 N! H& G
+ h+ P% n( X5 C; q- A fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 3 q8 k9 y8 ^" L2 f' f- K1 g
6 E8 a) ?7 c, D1 D
0 b0 W* L5 T; t) c" T( ~1 M PACS系统 0 m) \2 v; o+ w& u6 N
* [9 r# l/ @ U% [* Q
" }" ]1 e& ?3 E* \; n& I 8 N4 ^0 s/ I1 W
/ s; ?6 O* d. B; A8 |( ^
9 u9 `/ m' H) O: X5 ^! O( N
/ N3 o$ [ F$ U& u8 t
6 n8 w) D" z5 f y b1 V8 ?. O8 i, J9 `. K8 P/ @
# Z' o' @- s$ s1 R I, G4 Z
5 m- ?7 h0 x) \% }- A; Q HIS系统 ) y% _# |1 ?5 E
: T) m. R1 ~4 o
8 u* v& h: W9 z8 _: W 2 S8 `3 [4 N6 V4 r7 e
2 r2 K5 c1 V( F [$ Z# Y
" H3 ?0 U5 q3 k8 u; c. X7 h+ w" R ( e1 a3 i% L8 `% S3 h
; e& J; I4 Q1 m9 R1 x
1 l: L! { t* d 9 T2 z! g" k; O4 Q$ O
# R+ N6 q3 M5 s$ c) Q; ?* z* Y2 G/ i
, j7 e2 p) C" i* a+ @% k; p* V0 `$ F, @ 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 j1 ?. _0 `" P! J+ Q# w& ~
4 G9 I! v) q3 S0 e7 a( Z5 Z
+ M! i, _- K, L* {- y3 H* C
& |! e* Q, P* q& M3 x, m( a
+ M' G; Z% H% q5 K5 L8 Q$ m" w : q% D1 i& b. o& a5 P6 z3 C7 a' l
1 Y" B& V% p$ [4 g. Y% ~& z/ E
4 b5 O2 ~9 H% l 后话 7 P) Q6 b% [! ~4 h# T; Y
) }8 R9 L' o$ r2 Q4 {- A: e
# Q# O0 s9 b7 ~' s) H 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 9 s4 u1 H2 C2 L/ M+ A
% ]% G& B ^6 Z, k+ b- k; v
, F6 r% a" a7 R' i 5 J8 g" x# y i7 L% Y# g$ H
' e& D5 x5 P* z9 ?0 h2 {. K' [ + x* y$ |1 `1 o5 G! R
: V/ w, ?6 O! Q; }2 u2 v# i 6 `* `6 d! d# n' I9 V2 l5 v) f
5 d% N! F4 S% \! O 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 : P3 d! i5 m( P+ v" i
: a/ u) R3 D5 Q; ?
+ m' `! V6 k* w8 J( y# e , `8 n# J( K, N# `- H5 `
9 w: ^/ c/ P9 Z- n) ?* K* T