记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

; Y/ U1 ^8 s2 \. N 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 8 f2 G! u0 Q( D. ^" i5 |" z8 C

+ n3 B! b( I$ v7 E7 K+ \7 v 众亦信安，中意你啊！
! s- C. h5 E. q0 M' n2 W
7 K' k6 q# m6 y+ O- f. q/ r ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 4 k2 R' V/ V7 \ A4 K, q3 _

# v$ d4 Z% \5 m* ?3 h! L4 |# j: S7 H ingFang SC,serif;">: e. S" H5 D1 m7 J

8 \7 U" g3 ~9 X7 N
, k! P5 L2 ]: c k$ g8 O 众亦信安 J9 k- W3 s+ K4 P* n
2 `; \8 L: W j2 O0 a8 t: ]' x: q
: S, h& E) N9 v( K 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 1 N' N8 ]8 q( |" h# s5 \2 D4 j5 e
/ V1 h6 I: N) W+ a
/ @; f0 a( T; e3 t8 B4 N+ X3 j9 g" n ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> _8 E/ r2 I6 x+ c
$ T! ?! P, a! U' L6 u
+ h1 X: R* h# F0 @! {- U 公众号ingFang SC,serif;"> - z* y8 m1 }- [+ ]
( n# H# E/ }# n1 {; @' o( ]. r
( ]/ W0 f# g. B4 Q
$ F; r# l5 L6 V% ~( K
- m$ c N" o4 c: u: y( H" e9 |2 A* l1 V& [( Q; \+ E0 m, m
) A, G+ _3 ~9 u% l! g" w! W" _
点不了吃亏，点不了上当，设置星标，方能无恙！ 9 B# ~9 a, W3 I' Z& Q5 |8 c
8 d; C4 a) Q" b; i ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> & p) b2 m- i* ^! {; `
( M3 f1 V6 `+ _* J1 r; k; ^" Y
. F+ ?/ Q+ ~1 m$ z; d 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 / g* U' |2 N6 E1 ?* U: F- U) m( {
# y" V, k( B' x
9 `1 i/ b/ r, r$ c% m9 |4 M 9 `; o/ N% h7 p1 {- d: `
3 X( b& x8 q/ v% _& d9 }
4 d3 H9 e4 u9 y) S/ Y9 t2 F; ^ 4 o& B+ N7 l6 j
5 r% @& N' [" O1 V) ?9 z: z- d# l 无线or有线 9 ~6 y8 S9 z5 I9 N- @
4 ~! x9 l* Q1 o 8 ?' ]8 w3 l+ I* b, u
+ H* G7 U" x' f8 `6 Y: C , f% L3 O$ O( Y: R; r2 l$ s. @ j
+ O4 i0 u) z. o. H# i6 G; ?3 Q 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 . B! D# h! X. Q2 j! @4 [- P
" f$ P2 k/ X* T% u$ M
# o. C* F8 n" v$ u3 ] 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 3 O" O2 @! a n
" y: j. v/ n f& L, e
: m6 s! U7 j3 w# }/ \4 ? 2 V/ g7 ]1 \* u+ a: g/ Z4 t
/ l' C- u/ x& ?3 r: g. Q3 ^
- u, q# O0 ~0 o$ ~, N5 p& T1 } % \ @( {; M/ H; q
3 T9 R/ I0 t% P8 o; H
0 v2 b7 R+ ^) n0 ?, M 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 4 t5 x G! n7 J7 {
; q2 [- H8 b. }: f+ t- @# U, |: T/ ]
: _- u s5 A/ y& s " d. N4 s2 `2 t4 i; e& V
: u$ u! r9 U1 }- x" K* D- }9 i" S7 x
6 V) c, [" G ]- B/ M; D6 c 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） & n; j. y% S% L2 y2 h
m9 }0 [9 k3 V
v5 H* M# o5 r 7 S7 L' S$ _$ x9 b3 d
& W5 t6 a4 G0 s0 A, m4 ^) l& e
# W& v0 L- O# i# E. x" ^% N 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 5 r" D9 I; @/ o9 s z4 x
" z2 y: _+ T, c8 |. a
+ q3 i. `3 W# [: z8 V7 }0 N" ^5 s3 S7 m 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 0 o# s: y% e7 t8 J0 L
' t: k9 r1 P9 h3 c% y# L3 u7 ]
! U$ L8 Q' S5 c# w, t0 B 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 % S5 j2 |* _4 e# R; q
T) F7 g2 p0 d3 A7 w6 f
5 x8 _# {1 G, F8 j 1 }. [: m% \! y6 m' _9 D
7 ~% j' b! T2 m5 d' K 内网渗透" R5 z9 }3 a' A5 E& ^+ V" S
2 L" i O/ A; M7 x 4 \0 n1 P" K: N2 {
z( Q" {' x4 a- _- l ! {) a `7 V( t) m0 d
' c; j0 D1 ?* x+ q+ ^7 K8 G$ M win下搭建cs和linux类似。 / Z4 K1 N# C7 }3 Z; n. E( K* K3 |
4 b3 a, N* S% T. Z) E; |
; h" ^: T) b' \; Q. K+ N- {
teamserver.bat + ip + 密码
# g1 Z% c9 d; u
1 P6 _. c, f, z% x' A
+ m/ [, L- E; }7 r" B m+ B ( H% V: g! z& D7 Y) f. y& } R; }* x
- ]! g6 ~+ {* ^" `$ v! s) _
) @3 |5 F$ X9 w' A: s fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 1 A7 P( J8 k8 _4 ] E
8 `4 F5 }9 `! ?* r, ?: _' t5 j' Z
9 W2 ?2 I) Q) C, |3 K! l6 z " }3 u$ p* w% p1 e( s/ z; ~+ {
0 A; ^) _% i! _' Z
8 j3 F8 `! X# C9 q s # B# L" z+ G% j5 V( S+ n
0 T; ^3 R0 ^) v4 |
& T" j' L+ W( { 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
: c# ?- I* J2 o; j* o3 V
9 }3 h' i4 N+ h6 M7 Z , v7 m8 p G2 K& B- r2 T }# c0 @
* x9 t; b3 d* v6 X) o, v
$ P) e) f# O* r5 O, k) _ / K, a/ a7 Z# u1 y4 g9 K2 c
: D" a, |+ `( D
4 W; Y" q8 r0 z( Q, ]4 r% M' j fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ( }" w' k: m9 d1 Q' q) H9 y \+ w3 c
A8 Y* p& r+ _7 G8 i
$ O! @( E1 h j7 h PACS系统 * E+ H1 z7 h. Y
# b2 l; P; ^, g J# y
) W8 X# F, s" m. j# {" A ; F- ]% G$ n$ L7 r; X
( ^2 S. L _# P. W; f( l- F3 B
* r6 d3 i3 |6 n# t' ^
* V4 [ Y3 k4 R `
; t q% u5 F; J( a4 @ 4 u# F2 K3 A0 ]. L0 j; ~2 j* `
5 K9 `, u4 y" }3 y7 \3 K9 h# ~$ k
7 L3 r3 I4 \5 j# `; a: V HIS系统 7 I0 \1 m6 O, G5 G1 Z6 M% s
$ n$ B0 }4 V" B
6 O9 T# e1 m3 d1 p, |; a8 o 6 b# }, F6 }. b3 e0 T% ]
8 E6 h% a0 |9 y- N& i
8 \5 c; d e$ h. N; o 0 {9 n |% `# k3 \- P
2 g7 i8 _0 |* z- Z
/ P; Y: @& Z z9 G N7 C ' L$ }8 X# W/ Y( Z" s i
+ }2 E- L" q. D8 D6 ~
7 C+ k9 o: H) ^/ l 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ; F: e) T( c/ J7 n8 K6 l
# l* ? n. c0 a) P- w4 p4 v
6 l2 K# V o# n( @
. [8 z* ~; j7 ]5 `
+ b! ]8 y r T ; s f |1 t/ `& Q+ g
4 \5 l( b x' h/ Q7 C, N l
$ q" l* y* ?' s! \2 z: r 后话 + c" ^& M% @7 P
* @4 M9 ^. g* a0 b$ A$ G
$ {6 x* x5 _) R( ?% w7 J 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 R* M+ k+ S+ F
0 g5 ~9 l1 ~0 u7 O8 z) \
1 e. ^$ e) y2 o# ?: k ( C' l- ^: i+ x& M: b6 Z
2 W: Y6 l: y3 b# d) s. x* Z0 H $ e7 R2 [; ~$ }0 O
$ m5 I0 I& B7 J' y+ g5 B8 c( ~ ) \4 b. o5 r: [2 i) F
; r m% P# @6 N: \ 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ) Y" N8 P! L7 m9 g: _
' U }4 ^- S5 P- U( L4 r, {8 g
# v5 ]# ~- B% \; f $ b! {# n) j1 i
; K! w; }, k6 O- e5 [