找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2351|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

! U9 [3 X1 a4 U% y( x$ j 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 2 N X% A1 c/ c/ N* g1 J0 R

/ c/ y% C+ ~1 {" \

8 P: u. d+ C( y2 q& G1 u 众亦信安,中意你啊!
; M6 Z7 g n/ j+ A$ }8 @* h
6 S1 u W5 ?* L4 A2 L3 HingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
) ^0 ?9 \4 u$ j5 a' x/ b( O: P- F) @7 D

$ m% { E7 u# ^3 y# B1 U

$ f8 {9 p1 q" q( I' q4 @( h. ` ingFang SC,serif;">0 n3 f1 k8 F/ Y+ b$ B z4 x& V

% f$ `4 [: R: _8 S
5 i) B7 [" `2 J* @) d4 y0 c0 g9 A

1 \% ^/ L0 C- C( s; o1 q$ o 众亦信安 8 r/ L% U; N$ T; n7 X

4 {9 U9 ~$ g9 _# _1 |

& h e n' v; x e" D" m$ h 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> + \& a3 y9 {& O( A. [

3 r" B9 b* X6 f$ ]2 p# G% w2 g R

9 g7 M1 b7 L" x' U4 c ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> t( S( m# o% ~! \1 Y- n

* f' r. F6 w) |

- m3 G9 W6 s7 H- N 公众号ingFang SC,serif;"> : X3 g$ o; f5 X3 }6 C+ ^% k

, T9 ?7 V0 l& m; F; F

9 o/ l P$ U# N: }4 i" Y' l
. n9 R5 Z4 L" R* o! [4 B
: J' | Y( C: n m' z- n7 Z% c* t
/ I( C5 S% P" b; l2 K% f" w" f# d

* _! u, U7 W% P, R ]5 _) W4 F
点不了吃亏,点不了上当,设置星标,方能无恙! 1 v. J; [/ L) s% b3 N8 c

9 l/ J9 N3 j" l; M$ B$ D$ E ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  0 x% j: n. Z3 i4 Y

, K8 y( l% N# f; F8 n

2 d6 |- x: Z% ]/ ?# J- \# G 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 , R' |! {) r3 `) u2 h

" P% i$ J. \9 x( ~8 h; u

( x* R2 e, C4 K7 f9 R+ d1 B   0 W) d; L# Y( n4 E9 {0 n$ u+ O4 d

) h* a! e# W p! \
* Z1 W6 X. Q) n# a5 @ { / f9 Y$ e# V+ ^. J

0 R6 v0 m/ n! V% I( B6 ?5 g1 k+ i 无线or有线 3 W5 e. D5 _% \/ N

8 ^* z" E9 a- L; z7 `2 \; q
5 H a* a' t& S1 A \( E6 v
& `1 S' r* ]# e; E1 O: g9 T M- F* K, a0 s5 {" r3 j

: s- L# }/ \8 F& K 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 # t6 R6 _. x* W- Q

9 G5 ^* v& c: c& ^: \3 ?% k

% b9 a2 N; n% S4 o- P& m 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 ( R% C! W. j S0 G; J: U

4 R$ ~8 V& s$ S0 B

W- G2 u0 ]* N& S vshapes= . k) R& [5 I- \& u" R1 w

# ?; g1 N! m# v: L: J# i/ h. |

! v+ s; m; Q2 x* V vshapes= ) q2 [, a9 x/ d" K

" K2 D% u3 u& O% c* }* v

( f% w% X7 I7 B+ i6 v1 U" } 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 7 I; c1 S( Z2 Q) A4 ^

+ ^1 C% S3 X; U! j

! I3 }' \5 H0 h: r7 J. i/ V/ ? vshapes= ! B- Z! _6 N9 H

/ k- r% Y, K7 q6 r( V6 Z

$ b" k/ W$ D$ u# @: z: t& u& Y2 N 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 , U5 A0 Z! c- o) ^9 S

2 Q' a3 [4 s7 S2 ^* \

7 Z* u' X, p( Y& I vshapes= . b7 u3 @/ ~% H

: U" o' n' L% i

0 f' B( y: }' D* I' Y 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 * h% U4 V! {! C& t4 b* @

6 u' C- u! a0 g4 v% |7 _

$ l5 C+ X# D! v0 a% x" c 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= " h5 q: P: a- y3 |6 v. ~/ K

$ {0 a! H' H) v1 D* z; i7 `5 ]

# I: ]8 [$ t: a' V! S$ p4 U2 J 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) \1 Q1 i( _' Y4 r u. M

! H6 W) ~* h) i: N
1 z6 M5 d. Z% _3 w! C) a5 G 0 h$ q6 z: T Y" J

2 _9 Q; C" C1 c, C) Z 内网渗透 6 ^( _# X% ]1 F3 q* J

' z( L) S4 J/ u: @
}% b' W5 O( u1 E1 H3 K f) F
; s, n8 P( @; r, e$ {( d2 m4 Y - v/ u4 p. D2 n- @- s" j1 k) W# d

2 v4 \3 v3 n7 Z( y3 c- ], Q win下搭建cslinux类似。 ! p0 u* z2 j; \8 o. {7 I6 |

& m) z) p) m5 i* [, R3 [/ J
. S; g" s: S" t c7 G
teamserver.bat + ip + 密码
% ^0 x/ K7 w1 k1 n
; U" l0 b6 v5 \- G

) E6 K1 e% T" H6 d* q( ^/ r vshapes= 1 d) ?1 `! W9 B* x* g S

! C' M7 O' a5 A7 ~/ T0 B% |

* R' d K8 _" W3 j9 H- J2 ` fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) # y! s" d7 F8 X- ?2 A _# x3 h, Q

3 X5 z) ^! s7 p

9 U3 X& P4 C8 C& g vshapes= ; J' ^$ c; F/ d4 R6 b& \

, Q8 n) E+ {5 A5 C

3 X; a( w6 h' c& v9 L, J1 e vshapes= , i2 ?/ f; {' m/ K2 s

' M9 M: s1 e3 J; y% x9 z& e

6 Q* }. g8 G! h- F* \% H! W 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
" Z! C, Z) l6 R
) E. ?$ C/ D1 y0 I, `: ^
2 e9 b+ ~& C! a

2 Y& V7 C, U; W3 I

6 j! b0 Y' v5 m: Y! [ vshapes= 2 V5 a8 H! |/ f% ]+ i

4 e( e/ i. n: l+ j

& B! X9 u( w6 w9 w: p fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 $ t/ g V/ V4 ^2 f! B3 s3 ?

* _7 b0 E8 |2 a+ s. C

1 D1 v" d. k2 ]% M; I a PACS系统 8 c; l2 B, E! n1 |! j

& A0 z' H P" I+ K

0 u- A6 \1 _) M2 N) y% Y vshapes= 5 O" |! \1 |1 ~# ]& q

9 m/ H; z1 }( R& @1 z

! p" `5 u: d3 T3 H- p# v8 B/ o vshapes=
' k9 F1 } | T1 T1 W- E2 J: P8 w
. _+ E: G0 n5 ~8 W5 k6 S6 I
, G, X- W8 t5 [7 |' M3 {

/ b0 q1 _. g/ u' H

+ M, m" f% B0 |; W8 J2 S8 s9 ~ HIS系统 ( n' g5 R% @( z/ c0 }1 J

2 T, }8 W& N( r9 m5 {6 g

- M; q& Y4 c; J vshapes= - h* X6 a3 [, X$ y2 D0 d* X

. `9 r8 ?4 @8 L4 @* s- o8 v- F; l

. Y. n3 L3 J3 g2 {/ S   ( d! I9 z- W w3 I- Z8 R5 P8 _

; i, S0 W! Y! h; N$ T

$ [- E, U1 W$ g3 b3 P vshapes= 0 ~, M# d; k; m! K9 \# H; V* q

2 |! I, i4 C, Q# F" D

9 o' d' {- H" u: R5 q 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 ' `& U# L% H S6 u

: }1 Y$ {4 @# r1 |' L! Y9 }

4 a. c- y0 h3 x: u+ w* h
$ u: j1 L, H: V# G/ Y% ^
* D* z4 j3 J; y% p! C- I5 X* E
+ K! U: H( t# c! H5 W

9 [9 j1 z5 d- s' S& S: K0 w2 D

* l0 A( }" n2 w W 后话 . L G: L- |* u6 a# u2 U

4 j g3 r0 c& q O* z+ ~

3 {, [& I6 P$ | 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 : j, S, C8 J: w. F

1 c: }+ a. e2 z8 \$ Y4 `5 E
( U- ~2 Z4 E$ A' f 7 Q+ g" G" n! E. ?, r: u& X! e. C
+ R, u' y$ b( f" Y1 r- z' ~7 W
7 h; h/ Y- b A7 v" O: o0 M
* R( Y% C' w+ N! ?$ j 6 G% K/ z% ?5 b; ]

' M7 i0 E3 b9 D% b; {! Q 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 % Q$ X( M! o6 J6 ]9 o

0 P5 |6 |1 P* U3 ? u8 p" `4 ?( {

' L& ~" \" w- r7 `8 v a8 M3 {+ ?7 _   " h9 b% U& j" W, q8 Z: _: I% U

) V& p$ Y( B7 J, j5 d
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表