记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

" K' g$ N6 Y* f5 r+ y8 q, W" a 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 # l3 U m% K6 }. a* p. e

0 _$ v* Z6 q3 n" i 众亦信安，中意你啊！
1 @+ {# h, g( x! T6 s; i7 y
, _+ T8 O7 A& y0 p! o: p7 F$ ]" BingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 p$ k/ z/ N4 |8 V

% s( k% T( a U4 u" x5 V! M ingFang SC,serif;">% n& z: J, l$ _% Z! C- `5 ]0 X

& \9 f$ }8 v/ D/ b) R- f
! ^/ I" D3 {& w, G' U' p 众亦信安 1 a0 q7 ^/ S; M: _
3 _" q" V' C/ P! I% [0 \9 P
3 o# J$ N. O+ u6 `9 ?. F 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> + |* ?% _" `) c, W# r
$ N: v: [7 y6 R7 [, M
% G- L5 {4 u8 Z" W4 a ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ) }2 ]) c' B" h
9 ?! m& @( y( ?# h9 c3 h1 r
7 Q+ G+ x9 s. Q# I6 s$ L& H# o 公众号ingFang SC,serif;"> 1 G% J! C6 g9 e7 Y0 z( }
! E3 O& b3 S V- `- \7 {% ^
/ U& ]$ t+ G( U# i4 W. T( }
2 T- \% l! b2 L
/ P7 }+ ?* T( @: V: a 7 Q% x' I5 S' Y$ O z; P4 x
: z' K! W* o W2 w# ?2 |. o" [
点不了吃亏，点不了上当，设置星标，方能无恙！ 1 ?; o5 [9 v3 A! C1 R
& ~. W/ r- E" k: w2 Y0 J ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> & d( o1 z) l* L9 m
0 l; R$ ?7 j9 I* R* W* \
. U" g6 ~, D, n5 o( r+ y; Y 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 _4 K# Y' e7 Z7 {+ S& z+ C* b
! T, K; C/ o, W$ ~
2 n$ H+ U% }5 `8 I5 Z% a# h ' K4 A' R4 x! m' m: Z
1 e/ e6 }7 W( P. Z
( e$ N+ f6 g8 m 8 T5 g# S7 d3 _& @+ K: p
3 S2 D' O( Q9 g& o 无线or有线3 C% y% M, W; H& `# p- Y
9 S. t- X; D6 F( e* V5 P. D % |$ H' w$ n" _1 o+ ?; v+ O* T4 W
4 ?, f" S; [( U 7 _/ f! |& V$ m0 V' x
+ S. g& L+ F) w# l+ h' `/ O 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 1 T& E6 B7 s8 V8 j) P4 T2 q
1 J4 O) q* J8 V3 N/ R' r
( s8 V# |( V( n9 @" G' H 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 " i; o u: n4 v7 O, w7 e9 S" m
) {7 F+ v( F# D: H+ e, Q# E# Z( e' o
, R) w h T* B* D- d" S + C% L7 s" e- v7 m( M! `# u T/ n2 j
4 r) h0 t# G, H" W$ @
' d- E4 I, t- K- K. _; `0 E9 K p) t& F9 @8 j- J. Z( d# W
9 x, d7 }# o, d r6 o# O# |
1 q5 p8 E3 r4 s* d6 Q! L* l! J" O 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ( I* W; l& _0 g. r# v6 G
2 [& q9 ~8 Z- p
% I$ {0 `: G5 Y9 I* b * T: u# @, z, Y9 u" b I6 B' Z! Q; a
' i _6 o8 |8 S. j
. s; S5 ]$ l; I! D 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 1 K3 H0 Q6 j8 v( z! h
4 e% P% g5 A2 v4 Y" I. x; u r
2 k1 \# D! Q7 K$ K4 p* B* N ( k* P* J0 y) s1 _
# C9 P, c) Y% g0 I" |5 X2 ^
; { e" U! d3 ^' Z! {& _0 a 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 - l* G" f0 L" A6 R) U/ Q0 J
5 d6 m9 E9 E7 O8 C& C
0 R! ]9 |6 W. n) M( ^' z# s: o 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 5 u' C, g. \8 m0 V. K
! A3 j# r) o" {) Y: f1 s; I+ q# ~
7 m$ O9 `+ r h, W! u 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 3 u1 P# B% @% ^2 x( _
# p; J( g8 ]3 f+ g7 J
* `0 v5 h" y( r9 L% O6 v $ N& X6 s4 H, e) _. e: A
" o9 Q% i% Q) G3 o 内网渗透 : R" S6 t$ X8 p! T- R
4 `( E8 I$ U; ?4 \ 0 e& r* ^1 K$ k0 Q
- f' e$ e4 s, b+ c7 I z: _7 e* t; I% b
1 ^3 {) e$ |$ \7 H7 S win下搭建cs和linux类似。 ( U3 j/ s9 z { q' B! G! Z' X
6 J5 X$ H u0 P* W
, l/ X1 U' m) |# W+ q0 W
teamserver.bat + ip + 密码
4 \ G3 i3 N; {% w# {( q; o
' l$ _8 q1 `: ?2 s
( N( t# G- r; E8 K % o! W8 l% B4 E4 z: I5 `
* {; e4 @5 B6 l* C
$ I6 @; T3 v3 S$ T fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 2 l" i. k! A) Y
1 A! j6 L, ~0 v$ ^
$ h3 V: a9 L! w# i* J. V) b 9 ?& P8 O4 Q3 s- w2 @
5 ]6 g% v; _3 d" u% w& `; E
: i# m" M/ O+ }* }: } r & [" t+ m$ q- Q# q4 L' E+ K
* |* o ?* l: B" ?( v, ^
8 {+ ]; @7 l! }4 ~% h9 e 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
# x" x' T A6 U% @( @
# Y" v# k: ?' K1 [8 w $ F! o/ A* L" D% P- U( c* {0 o
' m* ~4 n+ @. E7 J9 ?. Z0 m
5 O* C) ~9 e0 @& b4 t + i* L* w$ N: c& f
! D- |7 `2 {# {; `% {* l
; l) Q2 `# f% r" I4 i! q fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 . ~, |0 w+ e. e% l p- l/ f3 M
4 L4 ?1 U$ J0 b9 x) x) ^0 A8 n/ Y
. y2 F( x' Z/ Q) Y1 U, G* J) F& _* a' N PACS系统 * e" W L# X* I) i* W9 A
7 g9 T0 j/ K' [5 F: X% q$ c( Z* i
2 s- L8 v+ ^/ d4 R8 K% A 6 \/ B7 Q& e6 f. b- y* C: a. s9 f1 p
' X0 l% }5 j) B9 @! Q; {; I1 h
. ~$ O: X; s I5 j' Z z
o" {2 P1 y# f
6 R; A' X7 m8 [, d* p' k1 { ; F" R$ R& W* ?" e/ h
. ?; Q( U/ r5 J: G2 K
: L. ~2 c% r: O h# f& C/ O/ ^ HIS系统 & Y( h2 ?' f; m( \3 U1 o
$ Z# d( S8 G3 s* q1 y$ F
9 ]8 g7 e- \; G( J0 ? , E5 {5 ~6 o3 G1 h/ I7 o2 F: _$ F
$ Y5 K' Z$ a3 H1 V; c0 H0 e; ^; J" x
* } H9 v; ~4 a1 R" ^% E/ s1 C ; x8 x9 @7 _. k: B2 I: l# P
* V' q6 ?/ e' f; H
* o: k" d6 ?' R0 L: \ & N0 h$ R g0 J9 a' a' s- P: O, @
% {1 Y& k; d7 f' c
1 Y* \7 O: T. b9 V+ T9 X$ q 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 9 s* `0 V$ L* n7 x2 N- F) h- s$ S
6 B) \- ~; L/ C! i
" F6 d( A/ |5 ? V6 d" \( a/ D
3 z, g7 W" f$ w( ~) L
. `/ `6 H: M$ Y7 I( }( u+ j ) r: M% M5 f8 V, R1 d( B2 Z* {$ Z3 [1 G
3 B! H0 n! e4 |( D+ n) c
3 U$ F5 |( j% c* w6 M# \" [ 后话 ' V# c: C5 w. W6 s5 K. w' U1 H
" I$ f6 a$ G) Y' w! V
& A; V- V" g( \" P+ M 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 + @4 X0 w1 d' m; P: u# b C
; }; H0 m5 Y1 Y$ R. _# l6 ]; m
# i' l* T& x6 v& e + C$ G' [& Q8 d0 ^# Q
1 {0 s6 N% b1 n# J6 ?, S $ t" @. P! c+ \7 a
' j- R! \- t3 Y/ `: C: w; F % x) j+ w: j* D! S$ G
3 ^5 [' D( P! L. V 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 - Z2 Z+ q) g6 J7 P. E
. X/ e" Z5 }7 r9 O: j: Y+ v
# A# Q, p7 Z+ y4 e- o/ ^4 J ; B1 }1 ]. v5 j6 ~- @* H
( X/ k8 u9 t: T6 Y6 V

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

3 S2 D' O( Q9 g& o 无线or有线3 C% y% M, W; H& `# p- Y

" o9 Q% i% Q) G3 o 内网渗透 : R" S6 t$ X8 p! T- R