找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1858|回复: 0

记一次某医院渗透(近源)

[复制链接]
发表于 2024-3-1 20:15:03 | 显示全部楼层 |阅读模式

8 _ U6 u* l& ?9 W4 p) E 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 8 Z+ i: P0 X" Z4 s

/ T2 D- U% r- F0 }

1 c: E8 o2 e v: T5 S6 B 众亦信安,中意你啊!
( o0 o# Q& J, ]! j4 |9 U+ ~+ ^
) J& \8 z3 I5 e3 Q: ^ J ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
( i8 s& M# N" C' H- c- ?8 J6 z

( q: |9 b) F0 F" q

- B4 ^1 X! @9 w. a ingFang SC,serif;">$ O8 j4 `" g3 f3 ^8 ?5 E p E

1 G8 u! A4 l. x0 u! ^9 \) m
& F( Z, G e9 ^* f; U

0 d( U! i9 r' {' u6 Z9 a5 p 众亦信安 : c$ n7 x* X1 D1 c4 E' c1 Z w

# V @0 I0 u% o7 _- a

0 o3 F7 ]* {7 e5 `% Z0 e9 ` K, { 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> + Y: B" k9 v$ B; W7 M$ }

2 A% r1 y& F5 n! G3 E3 U

; |2 n9 L W& R9 i4 X4 L* Y ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 1 g! F0 e% w$ ^# F1 F: F( g

. x R- R# W8 _0 C

Y; u8 w6 Z- e. ~0 f' N5 p 公众号ingFang SC,serif;"> 0 e' a9 N$ @. M1 i3 o

4 z7 Q# s% j4 Z3 X& |# J1 a9 W

5 ^; m, d* c5 d: ]
. A. V+ l. g7 I6 e
7 B% C( J0 z6 @/ O1 i
% h. r6 Y# f4 W# I7 y4 B0 h. v8 a

; U( F' r" I Z
点不了吃亏,点不了上当,设置星标,方能无恙! ; J6 u+ M; Y2 V y

- @$ M0 ^4 O& T* [( F! Z; O ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  2 y* G F ?$ i& r& S+ L

1 e0 d8 J2 e' L7 t. m" j9 M( p/ {7 p

1 M, @9 ~5 z+ q8 J 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 . @" E5 \( H. n

* ]$ T+ u' t) ^/ K- e% S6 w4 w

( f0 X, l- h3 N1 i   : f9 {- I; d* V n0 o

, t- {1 z U% ^3 A( ?5 a
3 w5 C* x& ~4 H; ` - {7 F$ U: q6 }. e$ v) e" E

9 w% @, W, w2 ^% i2 L& D 无线or有线* N1 G/ v! L. a# O

4 W4 u; n2 L& v+ O. C0 |& o! F
* ~; Z7 h( L' X# I- t- a
' [+ k/ Q1 a V8 a 4 T# o" A& I# N5 l& e2 l

; S, O0 u Q0 Z5 P1 z( [! Z: N+ j 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 5 G; n& g" N* h* [# n+ C) }! ~

* |4 k! ~/ b, u) i \- D# u; {

. \" M; D+ ^# E1 z 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 2 l/ N/ T- Y7 X7 `$ z

X, t$ ?2 G8 m6 P- T

& T5 g! I" Z% d vshapes= 2 \* I+ m4 u3 w v2 x

- h8 y4 C2 F" Y( H$ L2 r& g/ v$ Q

+ k/ k6 X$ @) e vshapes= W) i' N* ^0 A# x2 g3 g9 M& w# {

. ?9 X! w% O% B& J# G1 ?

6 s/ k X9 e" j7 t9 z- }9 ^ 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 7 _' E4 ~- v: z. z

% r' d {, \ u

% |0 T5 S; P3 I0 G" w7 t* T2 Y vshapes= & c) A! h6 m& A* ~9 R

$ z6 o0 [" F7 v7 n5 O- x

: r7 C) ~( x% u( u% J- N+ a. i 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 % E( m; i' x u B4 \ _( j

3 U. k& m5 ^) ~' k% n8 g% W

$ z2 Q- f) o L0 L vshapes= 3 E# G# w4 L; c+ P- c7 d

$ `. T& i* K) x: U5 W5 P0 f

3 x3 ]6 h- [$ _ 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 % R: ]+ n- B. N. ^! C

' @: p3 M9 A/ _$ h' i u

9 e K3 M& a3 N6 O) X 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 6 N% U0 [5 [( m" ]8 q: q

; I- d! T w* I' V( _+ r9 s

: r. R" h: T8 M# G a1 }$ Y1 ] 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) 6 I# ^# W( x3 X& |- I

. ~8 Q& q+ P4 ~$ H& i! [3 Y
8 ~# \ p& V" Q% ]8 K 2 y; G& z* D; Q$ q2 s- G) T

) Y0 l& s$ \4 _1 h 内网渗透 ' {, c+ Z/ c! O! q

! r: a' V( ~+ i) T4 ]+ S4 I
2 p# X+ l: H& u+ t
7 r6 B+ B& m& E! R0 A * a; i( P' j' w, \8 L/ B1 v

- e/ l, |" N2 L$ } win下搭建cslinux类似。 ; f1 v, s' X% f" d. k/ S

) W! T# x2 m% u
* C# o. R+ A: p' e3 {0 m4 Q o
teamserver.bat + ip + 密码
, ^* B4 B5 u! R! I/ q$ w$ @
% m% ]1 V$ C0 Z& o$ l

& P# }0 m- \* x( D3 f vshapes= 5 M4 d( R& U- x7 G! U, P

5 v; [# D, ?% x1 x( L

) \6 M! ?( G1 G4 P2 O fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) 9 L' t8 p& ?9 V+ B0 _7 H

/ S$ f. B+ O: w* H/ w

8 x8 p b" _! t- U/ B! \2 b8 | vshapes= ! |% E5 b; [; j/ z. ^: c# B% x$ R& n

: t, m, Z1 H" l6 w- F

& W9 C2 G" C0 ~' C1 l) d vshapes= 2 G9 Y2 L+ M( \0 S0 o1 c( Y

6 j1 a: g/ ]/ {$ _ _" a

* P% q+ h; e+ a K3 {; O 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
$ z+ K; j8 R! n. Q$ }
, h$ C+ [ K& X7 @4 v' t* |
* W5 y$ Z, @: `0 M& [ D

% S5 R: ^! u& r. t; ^

6 D+ x% z! D) q1 F* `5 c vshapes= 8 `5 Y. T" o6 E7 C

% }1 s6 e3 T1 k) H

5 _& g4 S" u3 R5 C( J/ ` fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 * E' j3 ~$ V7 x! L

/ S6 j; N1 j5 J. B

$ j; o& c$ g: H( v6 Z PACS系统 , G) h2 l, t+ a; N1 \ M

6 C4 ^( X/ h4 C0 D

' I) C, p/ r% i+ _4 R! T" U* Z vshapes= + E* x& z8 m" H

! @; h6 }& I5 p" M

- A/ Z, x, p9 Z. Z; s8 m1 m# w vshapes=
7 j0 c, B6 F% w" x
: e: y& a, u, Y
K% V5 S( R+ K& R( I

$ [( o/ X% \+ |5 m3 E% B8 y

# h7 |4 g/ g5 ` _3 l0 } HIS系统 9 c1 b( Q1 R6 ~0 L/ {& o1 q

- o+ t8 Q8 P8 m9 t/ f4 |/ ~

: Y% U, d; l# _3 Z9 H+ U! D: K3 q vshapes= & `: j: G: c/ X. z+ G7 h

) `+ q! g+ g5 C9 }7 M7 A3 f, g% g

# A7 t. g, ^% i5 I   : p: ^3 O# R+ U1 Z: b7 r. b) i

& ~5 r) M) W8 z

8 _1 ~% z4 }6 O6 T4 Y+ M7 k vshapes= : i2 b v% L( c3 o0 L

2 ~7 G1 X4 V4 F. ?: m/ ]

7 J" j, {& O9 r4 H& a$ X 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 - x( f& ]' }4 \

1 ?, I; t/ e, S1 b$ S' u5 K" B

2 v" l: C3 C2 d5 w- n, F1 y
) H' _( R; ]% v
2 g# a6 X1 e0 l
3 ?4 Y( f9 @: |6 g" K/ Z& X: K$ U0 y

8 I% p+ R& C0 A% l

4 |2 a) R3 F; L# m# s2 J 后话 c7 o, @& U( Q! y* b, k

% _6 z3 t- X! [

. C. d$ w& {, E6 |: E) X. f 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 % V3 W0 o! U% |0 G" q! l' T

7 _' }2 e$ U* i9 ^
3 x3 M; p2 `) L$ y) y' k , ]5 s' D. c- `8 l6 Y7 i
' u1 p' y6 M0 }7 N# u' s
3 `% L2 `! a) J: i9 B& ]/ Q
) f$ y# m( @/ E) f& p0 i ' y: h' W' Y* k4 Y5 w5 t

- v& q1 i8 i+ s0 t 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 # V# G0 s) z; g' }; W' V$ W' r

" g0 }! y8 j- B6 _: k9 c

) |1 {$ j0 ^' M7 O1 r/ h: U5 u   . ~8 Y$ Y% e7 ]. A+ A

7 L. v. x3 e9 I# ^5 _9 i- }) j
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表