记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

6 @: Z: ?9 a% t# W' L7 z) Q 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 : y! r! K9 A) t/ n

2 d$ |" k9 A2 Q1 c' C0 _/ R 众亦信安，中意你啊！
- X1 ]! J: c, ]% s+ m
W9 g1 W4 a. NingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> * @! F1 U" W1 [- ?

. ~. O3 H9 ?1 D4 H3 s4 } ingFang SC,serif;"> 6 V; C( N& j; T2 i- c

! L/ J3 F' z6 |" S! Y j& D
D% p0 M8 _5 ?8 @, f( \ 众亦信安 ' H" N# S3 l* U
4 `" A* g& u8 L4 R) j+ h! y7 L
+ y- P: _0 v% X7 G5 F0 g4 q 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> - j6 J4 A# P7 T: L
5 P& ?: e% t- T( [' N+ F
' ~$ L; i ?7 u4 X- L ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ! {) ^! p3 q/ E
8 R4 r( v! i& U) N0 F9 Q
* q; `3 b* K* x( @" k7 @" B: `$ i$ S h 公众号ingFang SC,serif;"> O9 L5 G# U! ]
' ?/ x6 J$ ?- g! U/ ^0 y* B- m
( Q) O. V; ]: F/ _- Z
. ^) @' F5 s' u. l
7 N- d! d, ]; B/ K; w% y4 t , H7 e& M0 G1 y4 [& J1 j N6 M' R+ s
% z" }% ?* C7 k' p, W3 c4 W0 t
点不了吃亏，点不了上当，设置星标，方能无恙！ ) M3 ~ ]/ a4 i% |
" r3 w$ K3 U; [: j0 S! d ` ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> " i# E y: m# Q5 ]
( ~7 M- f8 V. @7 h: C
) s! c* U8 v! p0 J 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 " C3 y& ^$ H. I _4 L
% J* t% J8 x/ z8 l _. y* W! z0 h
# b/ L& k! v3 j$ c/ F5 E . e7 {& ?; ~+ P8 T1 ~& B
, n2 t/ N4 Y5 _ l7 t& j
- p+ G/ p* j& _& h$ f7 A . s' B% W/ r6 l- C. m
: I+ u! l, V1 V; l/ A 无线or有线' L: [% q* r. o6 h: J
& ?& v2 M6 d: Q# w# [ 9 w$ r% [3 q, R# b5 x# L
4 I' {! O! s1 u ( g ]2 K# \) a, Z3 F$ F
, h U2 E8 x: Q3 X) |# {+ }1 O7 O! E 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 1 p0 |2 H1 R0 ]$ m3 Q
; K" |* A! W& Y- \8 X1 H
7 B* Y5 A( h- R* G& R6 o 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 2 b6 g- A+ ?, ~3 A6 s# A6 L) a
0 @( O8 K) b1 F0 C/ f% J
' p9 o! G0 _6 g1 {- o- ^ 7 O7 i' g" Z1 T' M0 [4 O
6 a. B! D! ?+ M
4 ^6 H3 R$ A) y. p4 a1 Q! @ - c% ^% R; X( u: c& n9 `9 @! p7 W9 {; w
8 F; J" Q! h2 N4 g B* O# l' p v% ?
7 i9 ~2 S" f2 @* _8 | 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ! r; D% o6 z. _0 z e: H
9 `8 i$ ?0 @7 N5 k( v
( t$ C! u" q( ` ! b4 U" {. L6 s/ W
% I) i0 |+ V+ E
# l* Q" R5 L) P! ]; F: {; f 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 1 ?( x1 X& v$ [$ _ D, R
6 _, Q( v) g3 }. j
$ W2 P7 R% X# i + y9 b' c' p; Z& Q. a
- y' \3 `. h* w9 _
; L g& c: N5 R/ h 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ! _3 N! t4 j: m
4 e2 A5 ~! f* C- [/ [$ E
6 J: t' I& q6 K$ V& g7 s) z% i 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 5 P" N* X1 |# S8 k3 u, O
0 k' C) n# r4 @* B' y
% w5 {, l9 Y& T 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 # t; l: O6 F) W- S, ~7 `
F, d: V, Y4 D2 t8 v: M
7 L" d: i' O6 U( M # |. f5 B, P! k0 ]" c( o' k+ |
8 }5 g1 T$ i8 F+ B, u/ Y 内网渗透 0 J6 g2 k- u4 o7 u
9 ^0 g* w( \( P; `+ n C 5 v2 m% a6 Q1 [, ~. _: \. L
1 h: m/ @/ A! D- J3 d Z- |$ p4 j, l & d/ n' d: ], ?: _
- }" ?9 [$ l8 s3 Q" z! }9 n! E win下搭建cs和linux类似。 + A, E5 ]0 |6 N9 w) H# f8 x8 h
3 }0 k5 W2 A) ?9 L
2 M. u8 \8 c1 D5 E% ]/ q
teamserver.bat + ip + 密码
& c+ q. s& Q% ?5 N& r
, c2 O# E6 A, `5 t: Q( M a" Z a
+ n* N* m; C0 I6 x ! s% x0 L; P$ z1 J# T" z4 {
) l3 W3 i' D$ {# t; {3 C
. j0 _. |& L' d' f fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 4 _$ L6 D* }' s- D
1 Y- E' e9 @8 l/ u9 C. r
+ }1 c- N& G8 ]% ? * W z8 F4 N3 E. }' w
6 E2 I, \2 ?( q4 G
- h# H A( q' w$ H+ _ 4 T3 o, L" m$ |% C; O$ J
& p1 R4 ?4 N$ w1 N4 y6 x4 Y7 l9 N
4 ]3 `; m. i8 ^ 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
" ]5 |& k* {/ C: w( }# q0 L- t. |5 X
0 a( v1 t7 G9 g6 }1 S4 H9 v5 o) I3 ?! J# S+ z) u
7 }/ N3 ? C% ?* i+ T) q# t9 ^
/ f3 y. z0 W, n 3 W* u* L; ~* W5 O# p m
, i8 e3 I) R( c' u. g7 I
5 u8 }3 E: |/ f2 \3 e fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 , R% q1 o7 \8 h" ?+ E' f
/ ] ]: y8 q3 a/ p" R
; l, J& d! Q! X4 @9 E/ ^4 o PACS系统 1 R! x* v& P4 Y4 ^
" E0 {5 k4 {3 d' Z1 {* B8 l5 o
/ k: X r5 [! F2 R0 u 6 O' }& G c6 ?
: { U( Q$ P! F& ~
/ z/ n _1 S7 d6 Z! U/ D
! c+ Q6 P( K& `2 V* e; N
3 a2 S3 _+ F4 [' K; o4 I& g" o+ E 3 I6 A1 V0 \ q" a ~
; P7 L( K" r4 A. s# B4 y
) f* V& O5 F( |0 S) d HIS系统 9 B, m# i, [* i$ A# H; l: a8 C
) S; O5 N. z4 V$ }7 ?: Q! o" [0 O
: D/ ~9 E' I: V$ F) [# h# r: B 3 O) }5 n4 ^, N( I1 C; S, f- N$ V
& p; [, t% K; M
d* q/ p& }: M& }2 g: Z : o# }1 e g4 o: m
; Y% Q$ N: R0 W8 B b0 N2 M& G
* h7 z% n- A- {" k . C/ w- p8 t2 S
. D/ M $ w8 L2 K
( V' g( n) y& v& Z1 ` 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 / K2 b" _7 e8 u/ _; R
/ b5 [) T( p' Y* [5 y: Y9 l
# p6 K7 B! F8 P5 Q! t
: E( y: S. m v, I: Y
4 f1 W2 @3 n* H: v9 i) a5 A / t, G6 {- k# ?( |
* P6 L2 P) s: b( `) E
) a+ `+ W; [! V9 Z# y/ x 后话 T% S, K, N0 A/ d& u8 i
, n/ Q/ v- c: T
3 b5 B) d4 K" m! w& H+ a9 x* {; N 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 9 I5 d" v7 c% o9 N' e: ^. Y
9 a, z9 B3 ?6 P3 B* {- c
: |$ a" u$ ~! Z l- K & M; d3 F9 V. u) v, \& b: M" \+ ]8 A
) X! g! P( u* C; C 8 X6 i, R2 l0 P8 o) w% C* |
* S: $ B3 S* _1 L$ X3 w - r6 Z1 e% B8 u* K8 h0 y
0 v K3 P3 j' F( y 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 8 Q$ ^: ]6 g6 h' P$ i% s; V
$ H/ S" A4 A7 ?6 H
- M ^. v: x2 a2 ?1 x8 ? % T0 \9 V. |: H2 t4 d3 t
, k- o7 t6 ]) k( t. h7 E

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

: I+ u! l, V1 V; l/ A 无线or有线' L: [% q* r. o6 h: J

8 }5 g1 T$ i8 F+ B, u/ Y 内网渗透 0 J6 g2 k- u4 o7 u