记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

! U9 [3 X1 a4 U% y( x$ j 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 2 N X% A1 c/ c/ N* g1 J0 R

8 P: u. d+ C( y2 q& G1 u 众亦信安，中意你啊！
; M6 Z7 g n/ j+ A$ }8 @* h
6 S1 u W5 ?* L4 A2 L3 HingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ) ^0 ?9 \4 u$ j5 a' x/ b( O: P- F) @7 D

$ f8 {9 p1 q" q( I' q4 @( h. ` ingFang SC,serif;">0 n3 f1 k8 F/ Y+ b$ B z4 x& V

5 i) B7 [" `2 J* @) d4 y0 c0 g9 A
1 \% ^/ L0 C- C( s; o1 q$ o 众亦信安 8 r/ L% U; N$ T; n7 X
4 {9 U9 ~$ g9 _# _1 |
& h e n' v; x e" D" m$ h 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> + \& a3 y9 {& O( A. [
3 r" B9 b* X6 f$ ]2 p# G% w2 g R
9 g7 M1 b7 L" x' U4 c ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> t( S( m# o% ~! \1 Y- n
* f' r. F6 w) |
- m3 G9 W6 s7 H- N 公众号ingFang SC,serif;"> : X3 g$ o; f5 X3 }6 C+ ^% k
, T9 ?7 V0 l& m; F; F
9 o/ l P$ U# N: }4 i" Y' l
. n9 R5 Z4 L" R* o! [4 B
: J' | Y( C: n m' z- n7 Z% c* t/ I( C5 S% P" b; l2 K% f" w" f# d
* _! u, U7 W% P, R ]5 _) W4 F
点不了吃亏，点不了上当，设置星标，方能无恙！ 1 v. J; [/ L) s% b3 N8 c
9 l/ J9 N3 j" l; M$ B$ D$ E ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 0 x% j: n. Z3 i4 Y
, K8 y( l% N# f; F8 n
2 d6 |- x: Z% ]/ ?# J- \# G 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 , R' |! {) r3 `) u2 h
" P% i$ J. \9 x( ~8 h; u
( x* R2 e, C4 K7 f9 R+ d1 B 0 W) d; L# Y( n4 E9 {0 n$ u+ O4 d
) h* a! e# W p! \
* Z1 W6 X. Q) n# a5 @ { / f9 Y$ e# V+ ^. J
0 R6 v0 m/ n! V% I( B6 ?5 g1 k+ i 无线or有线 3 W5 e. D5 _% \/ N
8 ^* z" E9 a- L; z7 `2 \; q 5 H a* a' t& S1 A \( E6 v
& `1 S' r* ]# e; E1 O: g9 T M- F* K, a0 s5 {" r3 j
: s- L# }/ \8 F& K 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 # t6 R6 _. x* W- Q
9 G5 ^* v& c: c& ^: \3 ?% k
% b9 a2 N; n% S4 o- P& m 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ( R% C! W. j S0 G; J: U
4 R$ ~8 V& s$ S0 B
W- G2 u0 ]* N& S . k) R& [5 I- \& u" R1 w
# ?; g1 N! m# v: L: J# i/ h. |
! v+ s; m; Q2 x* V ) q2 [, a9 x/ d" K
" K2 D% u3 u& O% c* }* v
( f% w% X7 I7 B+ i6 v1 U" } 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 7 I; c1 S( Z2 Q) A4 ^
+ ^1 C% S3 X; U! j
! I3 }' \5 H0 h: r7 J. i/ V/ ? ! B- Z! _6 N9 H
/ k- r% Y, K7 q6 r( V6 Z
$ b" k/ W$ D$ u# @: z: t& u& Y2 N 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） , U5 A0 Z! c- o) ^9 S
2 Q' a3 [4 s7 S2 ^* \
7 Z* u' X, p( Y& I . b7 u3 @/ ~% H
: U" o' n' L% i
0 f' B( y: }' D* I' Y 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 * h% U4 V! {! C& t4 b* @
6 u' C- u! a0 g4 v% |7 _
$ l5 C+ X# D! v0 a% x" c 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 " h5 q: P: a- y3 |6 v. ~/ K
$ {0 a! H' H) v1 D* z; i7 `5 ]
# I: ]8 [$ t: a' V! S$ p4 U2 J 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 \1 Q1 i( _' Y4 r u. M
! H6 W) ~* h) i: N
1 z6 M5 d. Z% _3 w! C) a5 G 0 h$ q6 z: T Y" J
2 _9 Q; C" C1 c, C) Z 内网渗透 6 ^( _# X% ]1 F3 q* J
' z( L) S4 J/ u: @ }% b' W5 O( u1 E1 H3 K f) F
; s, n8 P( @; r, e$ {( d2 m4 Y - v/ u4 p. D2 n- @- s" j1 k) W# d
2 v4 \3 v3 n7 Z( y3 c- ], Q win下搭建cs和linux类似。 ! p0 u* z2 j; \8 o. {7 I6 |
& m) z) p) m5 i* [, R3 [/ J
. S; g" s: S" t c7 G
teamserver.bat + ip + 密码
% ^0 x/ K7 w1 k1 n
; U" l0 b6 v5 \- G
) E6 K1 e% T" H6 d* q( ^/ r 1 d) ?1 `! W9 B* x* g S
! C' M7 O' a5 A7 ~/ T0 B% |
* R' d K8 _" W3 j9 H- J2 ` fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） # y! s" d7 F8 X- ?2 A _# x3 h, Q
3 X5 z) ^! s7 p
9 U3 X& P4 C8 C& g ; J' ^$ c; F/ d4 R6 b& \
, Q8 n) E+ {5 A5 C
3 X; a( w6 h' c& v9 L, J1 e , i2 ?/ f; {' m/ K2 s
' M9 M: s1 e3 J; y% x9 z& e
6 Q* }. g8 G! h- F* \% H! W 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
" Z! C, Z) l6 R
) E. ?$ C/ D1 y0 I, `: ^ 2 e9 b+ ~& C! a
2 Y& V7 C, U; W3 I
6 j! b0 Y' v5 m: Y! [ 2 V5 a8 H! |/ f% ]+ i
4 e( e/ i. n: l+ j
& B! X9 u( w6 w9 w: p fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 $ t/ g V/ V4 ^2 f! B3 s3 ?
* _7 b0 E8 |2 a+ s. C
1 D1 v" d. k2 ]% M; I a PACS系统 8 c; l2 B, E! n1 |! j
& A0 z' H P" I+ K
0 u- A6 \1 _) M2 N) y% Y 5 O" |! \1 |1 ~# ]& q
9 m/ H; z1 }( R& @1 z
! p" `5 u: d3 T3 H- p# v8 B/ o
' k9 F1 } | T1 T1 W- E2 J: P8 w
. _+ E: G0 n5 ~8 W5 k6 S6 I , G, X- W8 t5 [7 |' M3 {
/ b0 q1 _. g/ u' H
+ M, m" f% B0 |; W8 J2 S8 s9 ~ HIS系统 ( n' g5 R% @( z/ c0 }1 J
2 T, }8 W& N( r9 m5 {6 g
- M; q& Y4 c; J - h* X6 a3 [, X$ y2 D0 d* X
. `9 r8 ?4 @8 L4 @* s- o8 v- F; l
. Y. n3 L3 J3 g2 {/ S ( d! I9 z- W w3 I- Z8 R5 P8 _
; i, S0 W! Y! h; N$ T
$ [- E, U1 W$ g3 b3 P 0 ~, M# d; k; m! K9 \# H; V* q
2 |! I, i4 C, Q# F" D
9 o' d' {- H" u: R5 q 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ' `& U# L% H S6 u
: }1 Y$ {4 @# r1 |' L! Y9 }
4 a. c- y0 h3 x: u+ w* h
$ u: j1 L, H: V# G/ Y% ^
* D* z4 j3 J; y% p! C- I5 X* E + K! U: H( t# c! H5 W
9 [9 j1 z5 d- s' S& S: K0 w2 D
* l0 A( }" n2 w W 后话 . L G: L- |* u6 a# u2 U
4 j g3 r0 c& q O* z+ ~
3 {, [& I6 P$ | 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 : j, S, C8 J: w. F
1 c: }+ a. e2 z8 \$ Y4 `5 E
( U- ~2 Z4 E$ A' f 7 Q+ g" G" n! E. ?, r: u& X! e. C
+ R, u' y$ b( f" Y1 r- z' ~7 W 7 h; h/ Y- b A7 v" O: o0 M
* R( Y% C' w+ N! ?$ j 6 G% K/ z% ?5 b; ]
' M7 i0 E3 b9 D% b; {! Q 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 % Q$ X( M! o6 J6 ]9 o
0 P5 |6 |1 P* U3 ? u8 p" `4 ?( {
' L& ~" \" w- r7 `8 v a8 M3 {+ ?7 _ " h9 b% U& j" W, q8 Z: _: I% U
) V& p$ Y( B7 J, j5 d

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

0 R6 v0 m/ n! V% I( B6 ?5 g1 k+ i 无线or有线 3 W5 e. D5 _% \/ N

2 _9 Q; C" C1 c, C) Z 内网渗透 6 ^( _# X% ]1 F3 q* J