找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 记一次某医院渗透(近源)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1946|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

8 R3 ^+ t9 q7 S5 f1 } R2 L3 V 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 6 ~* i7 q$ D2 g5 r" N4 B

" H/ ~5 o6 y" m/ g0 U+ Z

F5 v# I1 l$ P% \ 众亦信安,中意你啊!
2 I. J) T( G) a7 F d4 ^& S
. a3 k" \# J: H5 C/ I: ringFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 4 Y7 d8 `% n9 `+ y

3 E6 z1 @$ p+ z n( L

+ h# n4 Y k1 \" i! d& r ingFang SC,serif;"> 9 W, C+ s8 n' X

3 y3 ~' b7 e1 Q- B
2 H& a. o3 q& Z. F

$ B, f/ ]' F' g1 D 众亦信安 9 L: e' f9 Y* {

9 M7 t0 u* M5 c' P. |/ X7 P

: q7 i2 t" u. ]' m 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> . R$ n6 t% L2 ^

2 O y \0 d% @4 ?& w( j* X

: [4 e4 {- S6 Y5 M- C5 [) Q ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ) o" U0 @6 m$ {

6 l* ^+ n9 \: b. p( ?3 Q8 N: a- \

& r t- }0 U) ^- I 公众号ingFang SC,serif;"> 0 q4 ~+ A. R* I3 {2 `

( N j3 O3 q$ b- h5 w& _

6 G+ t0 W: C! l7 A) p3 ?
1 F( Y4 ]6 I) m5 C
, y" z" N2 D( t0 f 3 o+ r# S8 l3 z7 c9 t6 B. d

! G$ g: l' D7 D, B- H
点不了吃亏,点不了上当,设置星标,方能无恙! % ]- f A- _) C/ E7 o

. e" {' V6 [3 ^3 w, g/ { ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  $ @1 t' [# ~) w; s V( F: A4 Q

* d* Z" s. e5 v; b* \$ v& q

0 n0 C& u* z5 L1 J 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 - B0 N. \$ {: s5 U5 M

6 ~/ t' h7 ~; ]! `

! D( P0 d4 E# Q; s   # z, G$ q) h! `; b: B0 O

- j* o: s A, X( m8 p
6 ^/ L! ?( \3 `. W2 M- p , l! E5 G0 |- F; ~% q3 V1 G$ x& x3 a

8 a: k. q$ D/ m: x" ]# k' { 无线or有线) A( E2 P, b! @/ p& h

, ~ N Q# B# F% Z# ?' ?" K+ U - X& g2 g7 V1 [8 v! k e
( C) Y, X& `1 h0 u! l0 { 1 q4 G. b7 E1 z3 O+ Q; A4 P

; w" ?! z9 X- k: E* o% p 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 + \8 U$ B$ U% O: k$ D" z- o

' \( P0 X3 G5 g8 v- ?: X

. ~3 o. _. x- g, {4 T+ Z+ v8 F 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 ' `+ V0 L# d8 O

& P3 S6 [, B! M2 `. u% j/ Q

8 n: ?' c2 B7 P+ G3 T. P0 M vshapes= 5 m" t0 ]4 t' r( c

1 S" w: m1 f$ |

/ b, g: z: ?5 k2 F vshapes= 1 ]5 `0 c+ H% |+ K. S- H8 F

1 H1 L* }. {, X( }" H! K1 Z; {$ J U! F

6 ~) p' O$ Z% f2 p 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 3 k5 O% k; d" y$ D) V7 H7 j& d

4 K0 T8 t8 @+ ~0 x( G

; \, c- J4 z- l- R vshapes= ' b3 O! O6 N# F

9 J* O9 v% g0 c& R( V

' T: M* A9 c: G 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 ; y1 B; t F( X: \

+ z1 E9 }( M) f+ Q' [

3 J. [$ k5 g# N, X: J8 F- P9 P vshapes= * R; [$ e' [) H1 t& \

$ @0 R) a- c( v8 E. A" w i

2 E, U) z, _2 Y9 W; C* y* h3 C! ] 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 * r% W# c" x P% L

9 O5 v p$ f7 J9 A

$ J0 p; a: a! o; L$ |& K 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= / ~2 }! s, s) j+ T, f; R

, U% M$ s0 `: M* H3 s

, z& x" R+ ?: ]. b# h 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) , W0 K* Y9 p9 v) z/ Q/ [! [7 f" r

# Q$ p# \' t5 d6 b% {6 E
! j# ~1 ?9 Y8 Y5 K8 x 7 _' @6 b* K6 b2 u& b+ L

8 k: B# g( s# i 内网渗透) Y/ P) [: R1 A. c E* H- J

: ~3 y% i7 q" ^% a: U # p2 |8 l5 T3 c7 _
4 \4 b* W7 n6 p0 G+ ~' N: s & }; d/ \# b; @+ x, r8 s( m

3 z/ P% ?7 P( f* S6 s% q7 R win下搭建cslinux类似。 1 S. W7 b `1 M( s; [' ~

; N2 \# n1 `( O) R
/ Y- {, k+ |3 F- K% T" A6 b b 
teamserver.bat + ip + 密码
. |( H d, N1 T9 Q
* j4 ?/ ~% e R! g4 A

# M* V; E0 p1 \! b# D1 N vshapes= 7 |$ f9 c! Z# N2 k5 \

- C8 r5 d- h) [' \

$ G0 e$ x2 G5 }# _3 p fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) / y2 R% z* X$ z1 x+ |1 q

, B) S( }! o7 U2 Z! W! G/ r

* Q0 i5 P& r, S; Y4 ^6 C: A vshapes= / l4 L. g4 J7 P, b/ M" y A3 O

, H# C: X! O* T) h* G: b

. J6 A2 R( _0 K. n/ o7 w( Z7 A vshapes= ! L. h6 \: p: A* V% \

' r u7 F! n0 e/ J* L

' P; F9 g" P9 D+ [ 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
& s5 i4 p/ ?" N: A# z
$ O! c/ f( c0 h4 _4 }- b % d7 N. A. a6 i

& l6 x1 l% M p9 l8 M, l% `6 k

& i) w6 ]4 ^) m6 O. } vshapes= 9 V( o/ G: E8 g

- y4 g# J& o6 M% T

! G) Y2 k7 J/ `+ Y$ O- |; Z& r4 b fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 . h; P$ Q$ v. G+ R: [

, @1 G6 a( L2 R1 L. Y. {- o

4 {+ N( I4 E6 h0 v1 O0 H PACS系统 - M4 D5 r9 u; E" N% r) v1 P( x

& a+ X4 M# C5 O+ R% |8 i; C k

; G6 e/ H1 k( d) A) ^ vshapes= ! {# O: A8 q& x2 B" s

: x2 R% b( r0 ? G& w8 z d- J& r, U

n$ d4 G+ b/ W/ x! j+ ^/ t Y9 j vshapes=
, Q; |+ A8 H' S. ]' ]6 P4 J* C
' H" B' K3 J4 q" n1 L / C9 b; ?/ H" \$ `4 t

6 f4 }; g' {% D7 K

& p8 a6 y. H7 @7 C HIS系统 + L- A2 j" j: e" h. [$ t

6 n. f* ]' I% w* e* i4 w( v4 W

, I4 `1 r* P3 i4 G8 f vshapes= $ ^! E+ d7 s1 v- o- K* B$ S

7 B( }5 Y$ Y: M0 v6 H

8 C0 o5 H/ }# c! x9 y c   7 U( b/ M# k& o2 y, ^

9 B; a/ K+ E6 o; F" _

* a+ Q. B! s% a) M; u3 [ vshapes= 6 f1 m: d/ S& g4 n; C: m) n4 P8 O

; k' j$ ?3 f* O3 y" l4 e: j

1 U0 _" V# |! ^' D! { 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 % k; @$ Z# j1 w4 }

5 C* n% q6 S/ K- {* Z

* @) q) q' k8 L9 W" Y
$ z; w- {$ N$ w& j
; F0 A) }1 w! [) |" F! ^3 \/ U " ]7 h( f) \0 y

; |( J" e& w; `+ ]- w4 |! T5 y

% @% x( x; ~0 u) t 后话 % q" y7 ?; f: R

6 l) H. B3 t. a: o4 M3 u2 F1 L

; ~5 `' U0 I- [/ ^; C4 L; @ 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 1 H7 n0 @ t+ ]1 f

5 C8 E5 s9 B ^! g1 {
4 v5 O8 k! f' `) y `* W; z, K1 ] * S4 T" n! K9 D+ a! W2 @6 @
7 H% c& r0 ^# Z& Q. C% u 1 L, n" z8 |& I6 H! J
# g; U! R2 S/ Q4 g 9 V7 Z' m: _& I# E6 _

/ N I6 w5 a6 x/ H# j 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 $ \# a: z: q. L8 w0 j' p- X

6 T" K/ E$ k+ Z4 t) U

& {% I8 R& Q+ l   ! v! I; m* s8 W# p ]

' z ?/ W9 W7 E! F
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表