找回密码
 立即注册
查看: 3281|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

) \) A5 e) k" L! Y 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 0 h* F$ N* t. Q5 y/ o

/ p: t; b% G; Y' J4 ^3 `) R* q, T# ?

2 _- u4 k* n; o 众亦信安,中意你啊!
6 ~& I8 I/ z% P
* r! b) q. `- Z1 i- k, l6 k) XingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
9 Z# f8 C; u. \+ @

s" D4 y( ]8 m3 }

9 l* I- r- G. J$ P3 S3 W/ U; R4 [- G ingFang SC,serif;">5 p F3 h$ Q2 u8 i! l3 b4 ^7 u3 [% }! Q" `

: r$ Y/ B' f2 I4 ?# d
: x; L# z0 V- k6 C+ \) f6 T

$ ?3 {( r$ B; o0 {7 n 众亦信安 8 ]3 i ~$ \$ z6 O6 q& P

" X4 i+ [* g1 `$ A1 q" L/ S1 c

5 J) R! S. u! }+ Q1 p8 b# c 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 6 r2 e+ }2 _% I `

: z# n o/ ^# I" @- v* G6 P& P; Z1 j/ Y

8 X" d6 t5 j8 _5 Q ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 8 }! N- ~( t/ {

/ e) c+ {$ L! x

, I2 u* x, Y5 W7 `; M6 q 公众号ingFang SC,serif;"> ( n$ T6 s0 R; X$ v1 ?+ t

1 i1 \! O, E$ _: Z

; u# E" a( A7 j. J9 a% v# g# t
: H- }: ^4 O$ o0 r4 d& s/ r
5 e& s R7 n/ G& d
5 O) I, l5 W; z# y3 _ ?

s8 v, k m( B" n7 I
点不了吃亏,点不了上当,设置星标,方能无恙! U8 \5 _% ~6 ~; g# v5 ]0 F

5 ~% W$ E; j7 i; H% [ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  9 u# V# M' O7 Z# l- J: l

0 a8 u" C: l- G0 x0 ]6 p2 {

8 V+ x V# h" Y+ U) c( W0 E: N 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 ) I+ @2 f* ]8 i# c5 u) O

, {8 ^+ d, i0 x! z( C' p1 t8 R6 m

0 C; _. F0 v& ]( _# j   ( |9 n! `; H- l) i$ s* e/ J

3 r& m5 R1 u: m& x
/ f5 w. V R1 }: f1 P$ @ 0 `* l3 I9 s9 O

* D( N( f( S8 k/ l; \2 { 无线or有线* s! e2 t9 [4 C' f$ y3 p- y

$ ~% @8 a6 K4 @& O4 p/ m
, t u/ B1 G1 W9 Y
5 Y- H( T0 a% R, X1 k* b 8 f7 E5 m) z% N* B3 z

; |$ i% t" W8 t8 l+ C 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ; [* Z" v, R' ~% |- W8 C E

+ ~5 B3 l1 H. l

/ r9 a# b3 O- j) z9 O) e, \7 t 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 ( y7 ?$ u- B% I2 a/ s

! X; u/ n- B3 {9 l

. a/ q' J" ^* F+ w: E vshapes= 0 w( b; }1 ~4 y% ^$ ?! a3 p) C

0 ?+ j" i) ^0 {. }

4 |9 w1 F. F. J' ~, m( a vshapes= : {4 }+ K+ S C" E

7 U) H+ [5 G6 R4 \/ ~. R4 `

* Y: ?' v$ k3 {4 Z% G9 M 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 ) R9 p8 P1 [: V( E, N

8 V5 C9 Y) h; _) R% ~- [' @; Z

- T0 d* z+ R2 |$ I vshapes= 3 U2 H" p7 h% P* q' |% t; J9 y( i

6 I/ W- H! |" ]% P8 ~: O3 d

w5 J- x! A6 ] 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 2 s4 p" w. z& O& e% d. o. t+ L; s

* Y" D3 _% v' \" j, }2 `* B+ z7 E% g

, M; d5 _$ n1 [% h. r7 K5 k8 K vshapes= + O7 s$ D" B; m" f* C8 Y! G' [2 n

: M7 Y: z& [ O; X3 k3 ~

4 l# C; i/ i/ ^2 }- T 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 1 I) E6 _' K$ R6 v

" W" q7 u! E+ L" R7 o

. [) z |, `8 `! P/ v8 S 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 5 R2 @2 J1 W0 ~. ~' l I0 w

% N- ]' F0 ]& t( R# ~; q: f

- [$ P* @' B6 k4 s+ n 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) 7 F+ q3 X5 V3 u4 S* o

7 U, s5 b; ?0 r! _
: x [3 C! ]/ W5 u , N' y! u# s2 i

! ]0 g4 c2 [- Y3 N5 f/ m1 G0 M 内网渗透 ! h" x; M C4 g4 P

( o# H- Y `6 F! u% v" u
* D2 e6 V4 l+ J2 g/ U j, g
" p$ s! L2 ~' E$ h! p 1 k2 _4 \5 T1 I0 g( q: C

' I [' z+ H( @9 N/ r* J$ } win下搭建cslinux类似。 $ x3 c' s6 A' W1 H* N# i

1 C0 A3 m7 u9 ?+ D7 K
9 i; R6 I+ Y' F6 ]2 L7 L
teamserver.bat + ip + 密码
, S/ r( s- }$ j* |
: V- U! t; n( j. _( ^0 S6 k) N: g9 L6 n

* s: A1 v# U( C) I" O* { vshapes= 3 H7 X$ ]9 M; @( F7 e" S

% R+ m8 U9 Q. A; g

/ U- x G @7 ]7 d6 N fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) " P+ M6 u) S$ F3 Y$ c; j H o

: s: y4 H. g$ ^4 B$ ?/ K

* D& v, w/ f, Z$ [+ P0 |! G; { vshapes= # U4 t( t! c: D+ }/ T

! D5 P4 C6 \ S7 h

/ G6 q9 j" W) g! j; n vshapes= - l2 e9 n! x. W9 y4 j

' f- X t8 Z9 |4 D4 W: n# X( P

o: M& { T0 V; q 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
) L1 K8 d9 b+ M, H
0 s2 N* |, S" G
, c D& q8 S+ O9 Z1 v. a

1 j9 _- D: _4 s& l2 B2 L* N

% B& P9 ?, ^8 P: M, y vshapes= 3 o: A) y" I7 e) T4 t

/ U3 W! ^- j/ {" Y+ U' W# _

O( t% G3 b1 S8 g fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 0 Y) I! f" {" M4 a6 T6 V# u

6 h+ Q! n8 V* @

; W: @$ e: |! E+ j, b PACS系统 & a) |; y- U2 k! E7 m* l1 O; o7 k

) ~. r( S$ ^1 C' N) a% O; }

( Q7 `; X( s8 N0 N# E* Y8 S vshapes= 3 j! R% b" G2 [: W. h, t

( m: a( P9 A& u% n

[0 Y j/ x& X) p9 ?; T vshapes=
: P _& k/ G2 `1 B( ~/ V, k
E* H/ q. l) L# q8 H. I
1 [' g/ a6 P& X" t. d# L

: j9 C& m! U+ k! ?3 Y; M" h

) \+ i; l. q1 K9 x, D" O# ] HIS系统 9 q3 k/ ^9 u# e: w" v$ Z

5 K* J, v* R0 y/ U' G- F V1 Z

5 b' t" W0 Q) R- c vshapes= 8 [; R% i8 t( T4 h

, t; }! M* T: R: D( J1 x$ t8 }

. q$ }3 u4 N+ i' s9 f5 |" ^   ( g Q( [6 P8 K$ j9 R/ _

5 L8 t* \8 t1 _" @

) E. ?8 n3 z) j' y* M$ b vshapes= : _! |- W4 _/ c

7 H8 @( \! H* A$ E5 z$ j9 T

+ L0 H% p/ G# i' x7 ?; U* d 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 # Z1 g3 u' w( \9 {3 {

% }& @" [1 P7 e' L7 } D. T7 g6 I' G

/ J, [/ q* t) v$ p* `
; v8 i) T# N& i0 d7 A3 |1 a* M
- s& e1 {9 \4 E
* {6 ^. n: ]2 z4 O

& [- i8 ]: |6 _, _1 V& _# m

* S8 E' X, H. [6 |* J 后话 $ ^. O! F1 q' Z/ Q- b8 Z

# W# T# h) C/ Z( Z

% C) i7 N$ U* q+ e$ T- I 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 2 I4 z: G* ]" }6 e5 k

7 X# q. y" U7 ^7 z
! R8 d, `- U, b& g; u" i% P7 q6 k # |6 e$ O. a8 U7 A N3 H' a X; Q
$ E7 i5 a8 s k" {( V
q: O7 x. I( l5 S0 V+ Y
2 ]) C% K9 b7 M2 m9 V' @ / c: J6 X" \. H* Z. b* X$ B

3 O- h: ]; T* P! Z% m- D 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 + b1 t5 u1 K0 o

7 i+ d+ p/ l4 q) _$ k' e; E2 T/ l

& }+ w% D* m0 x+ m2 r- ]   . X$ l' F) q3 O& U

" S2 l$ _7 j9 f/ o9 c
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表