找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2471|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

. o4 u; x* N; {! L- ]2 r1 Y 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 p( M z2 B% ?* a s+ H$ @

$ ?1 f7 f7 l* R9 e8 h6 N2 b

6 V3 }# c, C7 v2 W3 `' \. o, W 众亦信安,中意你啊!
1 p, U2 V. V5 _8 y4 L1 X
, r6 c4 E y' d/ ^% | ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
( e; S. \( | ?

/ V1 a9 r& i u# G3 J2 f- H

) ^' X' k4 O* t( g ingFang SC,serif;"> F4 ~" B ?, e

& t2 B4 F j7 @8 r# B
- a9 K# g( s$ m5 z; X( q$ {

& E9 W; Z( U9 p& }2 ~, y9 k 众亦信安 ( c+ K7 J3 n3 H" q9 X4 x

5 L& k- c- n) S/ @0 a7 W

3 D* H. R! B1 ]: D 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 4 \+ y, [" Y8 f9 K" {$ ]9 q

6 J: u9 U: `( s0 V5 i

2 O# p6 \! V/ I) f ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> & r) R9 U7 ^0 X/ S: r5 C+ V2 R

% S4 f8 M. j+ V2 k2 T( }3 ~9 z2 o& j3 r

/ I3 ^: {5 Q# l7 `+ \9 E 公众号ingFang SC,serif;"> ! \ T, s+ G6 \9 x& _. J# P% y

. s) {3 a2 e$ y" @

2 ?- Q( s$ ]; H2 q
9 S+ `1 F$ l/ c5 m5 Q; @/ _/ }
$ b: s& p1 a! l6 P5 Y
* l! u M, z% D4 l$ X, ]. ^: ^. X

) C" h% _' D! G/ g6 x5 P1 j. @4 F, A
点不了吃亏,点不了上当,设置星标,方能无恙! 5 V! B o4 \8 G4 {2 ]7 l+ o

! ?$ Q- I8 R0 V" [9 v: V ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  + h# m. V1 U8 M1 e. U6 w& o

$ F0 {) O6 X4 n: h: Q9 M: S# T

& i% T$ K, N# J+ N: N4 F1 R. _ 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 6 x( V" Q. `; v. q; ^

6 }1 O$ l7 d* j- ?4 d7 W

1 k1 ]5 m6 u1 N! ~% O/ B   - u) X* g6 X0 c) Q9 K) o/ c

C6 \" O- J; R
# R/ V0 y$ V0 }% {* f 5 O8 G/ ]4 d, p) O: F/ o

( c+ v: J( p* R 无线or有线 : I) b9 Z+ Q) l: t. v: O7 N' N

6 U2 `( \, z! \$ T" X% s _" y
) Y( [3 g% V4 t: e* v, p: G& |
% s. H8 u B# s3 Q 1 y. A) E9 h; ?- {5 C

2 N9 i8 B; R" C: U) s$ j ] 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 1 i: T5 M. V. ]

2 ?. b9 r4 Y' j! W. u( h+ T

& c/ S, e+ V! \( Q 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 4 }0 A- `& a# ]" ]$ U

% U5 c# ]1 A4 Q) q) [6 b/ o; v% W( I

4 M; N3 W, q! M5 W1 o vshapes= + X& g1 C) a7 D" o6 ]$ a `

; ~8 U1 L* l! N S

; a" U7 U0 W3 p ~# j# X vshapes= 6 `7 U" F; G. x$ E0 Y9 }8 Y

5 y1 z& w" V, z6 f* s4 k

$ m1 n! a! T% d$ c 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 ! \4 E0 t# x* b3 b2 u$ ]0 B3 P- T. }

6 o6 o( L: ~( B, w3 R

* L! @- ?1 Y& d! x9 ~3 U% _3 ] vshapes= 7 B0 D6 s' E k! q" ], m7 J! P2 J

( d5 E$ u$ @1 F8 k) p

+ o7 Z. g5 p# o) K. i 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 & x: T y0 G7 D6 B# `

4 y7 e4 K: D+ `5 ]9 \# r

% p7 Q9 F8 c" b- R4 j vshapes= 5 S" ^6 ^2 @& T5 g0 d t( @- h; a8 J

& \0 \, b7 c; e- w8 q! k; Z

. ]6 I) [' U) v% l8 S" G3 [ 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 / A7 u* C9 F" c) x3 e3 C; J

, R( m* H: N2 U8 C0 ^& w X

; A# j- e% }. D, w% O4 V 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= $ D, v6 v/ k7 e# e# s& ?* x

! }) a3 g1 E" q. [

f5 j. k9 R L: Z 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) . q6 ^& B |3 Z( r! F; S

" _- r( r4 \; ?5 c+ F9 B
6 m' j9 t3 ]' L% x ( O2 _; Z4 r4 ~+ [9 F

0 H5 n- @5 Z) k, V 内网渗透' t8 ^6 ]) c% M( i) b

+ Q0 \. d( C9 [! k$ P) ]- H# i
T- l7 M/ n9 y- L
. H1 r" F9 l1 ~1 e8 T- |7 C! W ( b; n7 O$ p- \

) \: H# o: k' p, x0 N+ R. i win下搭建cslinux类似。 2 Z9 G: Q o2 h8 \+ A; j

* x! g$ j0 V* D
! D$ i ?/ k" D, U. @3 m
teamserver.bat + ip + 密码
/ d( y1 {8 _; q1 G0 @
( }+ e0 t0 c6 P4 b, F# M# d

p3 p9 J1 d7 n& X; ^) ?/ ? vshapes= # B. e6 {" w) ?, W2 _

# L# X; s1 y( z$ J8 z9 T

7 F1 n; k* E$ H2 l/ \7 h fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) 3 c( ?! t4 l+ U' ^( T$ }) C

' }' K8 `6 ? a/ L

% P6 d4 Q' h$ `9 Y" b. o vshapes= + Y4 H/ k+ w8 X6 [/ o6 ]

( v& A9 f4 G; e" x L2 Y

7 q; L+ G- G3 l$ V( } ` vshapes= : N; `& j# x/ P, u& f; G

! u; {$ J) \# G) u: H

' M+ s$ [& E; |( l- g+ l! m 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
6 z; C8 J/ Q6 D7 Z& l
: |: N# z9 O l7 \' g
& f& Z4 R1 w2 L

& L- R6 @- ]' S, |2 H I, Y

# E! T* f9 x" y$ G vshapes= 1 l( \2 U& Q" ^2 F3 A

+ F) n( P2 @9 J+ j8 m

' ~; n# y4 g8 S2 K7 d, f- K fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 . Y9 \+ f0 ~2 H+ l. f2 N

" W3 F5 R+ m4 [

0 W- g' }" W* x1 z8 q; \+ F PACS系统 1 P) ?6 O6 Q$ a7 {, }

3 `$ g+ h" v" y3 Q2 b5 Y- ~7 a

- }* _6 D9 E) y# H( u( l. G vshapes= & w2 Y, U( I2 [* i% H) v: v( j4 V

+ H; A+ N# E( `7 O

/ Z- Q. a4 X9 {- o vshapes=
' O2 d9 C# Z; |& Q. ~
9 C$ @* R. A* |1 v1 a( F, D
* j/ u4 X( k+ |* K

4 q4 ^4 |& u5 J3 ?5 W

. a7 p- k$ u. B8 d) I2 z; E HIS系统 , {' E% m! }0 b3 ^

9 d4 @2 C6 u9 P) H2 ^

7 A. I( e* s$ `" ^9 W vshapes= 7 x" w- [7 [, C7 ]2 Q4 l8 m

0 D, i4 Z a; C6 _7 w

5 z# ]3 `3 P( F5 o% D   7 a3 [8 n1 U; P. Z6 p# F2 D# v

9 A! y" r: i( P4 \4 L

4 e4 S2 c+ y7 s: S vshapes= : d; V- s' S7 _* R

9 D0 l0 { D4 ]1 `4 O- s0 D

$ z( v2 j# y0 m; u' v- c& j( c 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 1 W8 ~7 L! e2 }. v- _

) C$ R: d' Z3 O. F

" _7 y0 D1 Q- X# Q/ C$ G
( | H9 v/ c- p, n; [' J) X
$ b: d2 b' i0 x6 d5 Q* k9 S
; x$ T' s+ b4 n' R6 S5 P% f( Z+ Z ~

7 k3 K, e) u/ ~% c& ?+ D

# B( ?* e$ `* U- {1 ~7 h 后话 0 j- n/ @( ^: [* A7 l8 r

& |: }1 Q, y0 b+ X

5 n+ k( v2 F+ p7 a, ~, s/ i 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 $ J" {) }5 A7 j

- V8 {' j; P& |$ ^2 W
$ E; F7 f( }+ n }! [; m5 o / {2 P. S6 G/ W2 j
* \% d- ]" g. J+ I7 G0 h
% i: f0 B$ q* M) D- y
8 q3 G; A7 o2 I' J* f1 N) i # q; `& b; c4 S& o, X

7 q# |( _9 s' ~# } 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 5 M' k, L6 M8 u

) c2 k0 k5 o3 X7 Z

" z7 A6 P" p8 c( g6 O   . v2 {- ~& ?* S' g8 X3 f

& ]$ A. y1 o- Y
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表