找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2571|回复: 0

记一次某医院渗透(近源)

[复制链接]
发表于 2024-3-1 20:15:03 | 显示全部楼层 |阅读模式

' |0 [; V" i$ {0 T. z 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 - e3 j6 R7 U* V7 D6 K

! J3 A( m: \7 T0 ~* P' ~ ^7 |$ ?# R

0 } J S& M) w" u {6 M 众亦信安,中意你啊!
! W) @( r9 L" O& s
( w' W% u( n. k, u: v3 ] ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
- E: T+ Q4 W+ _/ g+ Q' Q5 _/ _+ ?+ [7 W

, d9 |3 m1 I. _: g1 S& @

6 e7 I! M) w$ U; m& W$ ~, p) {9 ^ ingFang SC,serif;">+ B( L4 ?- C7 ]* h3 i0 ^% _

6 h* W" f3 |! \, A
1 A. U7 Z7 J. ^+ j( D2 H

% v6 n. Y* o F9 i$ J& Q% Y$ M 众亦信安 5 n- U& M: t- `+ t* `0 W% l

; L/ ^% u7 W2 j1 Y& G( r7 }

/ f1 a7 G0 g/ U4 g. x% g 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 7 M$ t3 {3 e- l6 J W% j x

& M! ^5 [' A* i8 E# v

( D/ _- o7 [. J$ f; ^( y& J8 K8 { ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ' ?# L7 N. g3 r. |7 c/ {

$ r/ ^. O& p" b& L" t/ y

' e4 I% }. `1 u; A: r 公众号ingFang SC,serif;"> 1 g, X1 F0 G3 x9 M+ L+ ^% z

6 z, D: t+ j3 w( o+ Q; ~( i

9 e- o" ~* G- A( M* Z: B: M
7 z P) I! Z/ s! F( {' w
: b+ K8 m3 b& s; b. j1 J
! P9 ?* k% \9 s! ?5 ?

3 D/ {6 l% }4 u ?$ Z6 l1 [
点不了吃亏,点不了上当,设置星标,方能无恙! + l4 N; [; G7 p! E _2 q

" H; P/ {4 Z' O) q ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  3 X" I' Q5 Q7 a: F! Q* o

( [, G/ g) E: L' c

3 N! Z( ]' }% r# p2 V1 \3 c* p; y. N 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 9 b D) m1 o% @4 t

% G& X2 O4 Z7 b. b4 K) C

5 [9 G$ [# y/ O& y1 R   3 t. m# Y" ~6 S: H( }+ L3 V# D

3 `+ x6 f+ x. G% i, h# w
& F2 G: e, |5 K, a 9 |- h( c1 }, w( U. Z# {# L% I

/ ?0 n) b- w9 y5 U" ?% D$ e$ ^/ @ 无线or有线; A! q! M3 b) {7 j4 J1 W$ l

2 o5 |% s0 Z+ _0 D6 f
* ^9 l q J. i1 W
* X* G3 x: M% h+ [2 ]+ S. x$ G # ^/ U- I3 P0 @, i

, ]$ E* Z$ U+ t. Q# T 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ! B) E7 R7 a* E7 T6 x

x4 l$ ^3 e/ B! m

/ V$ ~$ t7 [5 s. B+ ?4 m/ Z3 u! D. ~ 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 + W2 F& U3 S+ ^) L' O& k! I

0 a% p) @ O$ b1 u7 w9 ?" h

4 s$ i. J) V# S# s4 {, Y vshapes= 0 ]' {# {; g" ^ V2 q1 Q9 `5 S& T

/ J6 h& R: n1 L) u& f

0 h- G$ M: Z5 F6 e' Y8 Z3 m' d vshapes= ) U* M0 ?, S* X: n4 [

: {' Q7 P( M, D. X; {

7 a9 l* o7 e6 z 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 , r. b) _$ L `& H5 b: Y( i) c# `5 s

4 z6 Q' m" C8 P( m$ U. y3 W

& e3 ]/ }+ p) d vshapes= 4 W6 C/ C3 y+ H2 {

' F8 |( C7 {. J* e; p7 D/ Y

* S+ I6 Y" X; V0 E" }5 V4 d2 @ 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 " Q( }. ?' t4 I4 M( s _

) `4 I& I+ f, o* g+ d

6 q7 b: t! {6 o, U vshapes= ; e/ L6 q: u$ z, s

( m0 X4 ]2 D! I {# y% R

/ H+ B# y, W. Y2 a 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 - x, v8 [3 h9 }% ]

9 D: g9 N# g f* \0 Q- R; B0 H

3 J) ?% R3 S$ R& J- k$ m% ] 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= ; ^' z" D2 U. x) X) ~. ~

1 V# o1 [0 ]9 j, ~/ D

& g- {% {6 \. A5 n+ |; X- g 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) # u5 e3 e1 R4 {& X' \

5 q! A7 U' d( ^/ A1 |
2 |. u1 k! E9 S) g. Y - P- X9 U- a# B' v

9 B9 F1 c0 g! f 内网渗透 ) ?) N* n7 I X) d% V- B `0 @* L

+ D1 m; r( I1 F5 \3 i! |! v, M
" y; j3 m N1 D1 j) a
( q& B3 G0 q% ^ 7 N& W. f2 Q( Q0 k+ Q" y/ J4 D

/ e ?& S' b( ~ win下搭建cslinux类似。 ) c- C$ W! i) o, m: X. M

) M3 X+ J8 X% u& W f
, q; p' n! R; z9 b
teamserver.bat + ip + 密码
- E% x. P) b0 [0 K# }
3 ^ K7 m7 C8 J8 K, p1 B& R

7 [8 B6 W" v! A' E vshapes= 5 M! b* \) ^9 h3 O# X3 K1 v$ c8 S

Q- Y; u5 y; c/ @

+ E; f: D) ^+ Q fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) / z, f+ |& v. `) b; o9 @( s7 u

2 p! b" u/ C6 r' j3 h

/ R1 r. u8 Z4 C" f6 [, u8 W6 V1 M vshapes= 4 k! l: Y* L2 b* p5 {6 F: x( Y! D

0 s' f3 Q% Y: J1 k) D2 O% t( G! e

0 D/ g0 ~1 K) d8 z vshapes= 6 \' B' I! `, m

. W7 y" I' B( K3 ^5 U E

0 s) M r- o% H% h$ T! B$ f3 ` 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
+ [' x, H2 j, ^$ M! P% Y V0 ^2 {
# f& K' k. _# n6 A
# T9 e; V' i/ K6 W

, @- u: E' g8 W: ^

7 }- S: {4 f6 R: G+ R% G( Y vshapes= 9 g$ W) X: F; ~- U

9 M6 [/ o1 d8 `- Q

9 y. M2 t/ K J5 V9 R7 N fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 3 {* e, c& p/ a; @3 d

' G Q f# g' ^; F

3 k/ {# n7 o. V# A& {1 v PACS系统 # j# D) t) h, v* `% n4 Y$ x1 W3 J

3 u7 }5 Y( ~. C8 g1 i0 H

. }) p( @* P' ]4 x vshapes= 6 E$ n* D' Z4 a3 r0 f

1 b+ H0 W/ f( m9 d! Y! n* P r

: n4 u9 A! |5 _ X0 {, O: T2 q vshapes=
+ t0 J+ ?" t% q
6 M- I+ s8 J$ h" c
6 P& A; T+ X) i9 W; I

$ J& s0 F9 P& e7 X5 S( d4 _

, \( S, |( {/ d3 T HIS系统 % l/ Z$ @- Z8 s1 O' @9 M+ v# {

5 @. X/ s3 Q0 }. A2 a

3 w7 q: J T5 E8 g% _ vshapes= ' N0 Q( _3 R+ y! a' v$ }

4 W- I M& K7 z) d

9 v' q3 S; d$ ?0 k   * a, r/ O& ^( a7 D- r

/ Z) B: Q# |$ J( |+ W* W; s7 ]

9 e6 g I0 H+ o: i* S; w! _ vshapes= 1 u) f" R' P, T* A8 d1 T( W- L

& J# C3 F% b" Z( a' H4 n

2 z* R- P( q3 b; H 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 , V$ d. J3 @, m- ]# a% Z

/ n" H7 G) Z* f9 i; i M

& J6 D5 u/ y; h& I
2 K* q$ s# w1 k( Y t0 T1 ?
4 | r9 a5 G3 H: U
2 i/ k: v5 W. A1 Q) ^

2 P8 k6 x' _' A' r, v

! @2 x2 | E. k0 S/ J 后话 ; G8 B4 S2 J/ o6 l

9 m, s$ [9 U. q8 O3 g7 x

7 {: v, `4 J$ Y) D 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 4 s2 t% N1 K! i7 o

7 {7 P; s! E9 o; M* V. h
0 D5 b9 ]0 e2 C3 A O, \; W( N( }' @
& {* \! j2 l; R# N+ Z' E
8 q( Q, a. L6 `5 G* R" [
& M' Z/ ]1 F* k 2 N; ~6 i. x/ }- u& U }

/ I& _/ ` ]6 u6 f( s, v) Q 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 9 j3 |8 |8 Z n$ f! Y z

k t! w3 B7 L9 _

! J o: I& Y+ T* `   9 I# \# o# w! P

! [' ^! F) S( T* d+ G9 t( D
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表