找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 记一次某医院渗透(近源)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2268|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

X+ T f8 h. U- ` 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 , a& H& G0 e& u; k+ u/ A

" ?( t3 B3 }/ Z+ T+ ]; X

" F; u& @3 O5 \; u5 W 众亦信安,中意你啊!
t; Q- E6 O! G& D- y p5 x
# s+ Z A9 L) y7 Q; q; y/ b ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> & r- E7 x9 |4 U* g' R9 q% r) J8 X* U

- l4 N( y1 A5 E. Y3 N

+ n9 a' @: Q5 ?5 r ingFang SC,serif;">% I) f; s, C+ Q

( j1 z8 n$ Q; S* f1 s+ d* | f
8 S( a5 Q4 e$ p

7 t- R6 ?4 U+ w \# j6 O7 N- b 众亦信安 1 ^4 j6 a" y8 I9 Z# l5 ?

; H; w: T5 h% X

6 D, k0 D$ G2 p 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 5 o) i* D: W8 _- o

- f# G: M. O0 [0 M

* @" c; A0 K, k, D3 G, K7 P ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ( ~$ o' k2 I/ B3 n1 K

) R0 s/ }+ v3 C9 a7 v6 L

( X5 E1 ^% Q2 r 公众号ingFang SC,serif;"> * ]$ ^7 s9 e1 f, ~4 H) u

0 { I$ O$ H" {& z) c" V

% O5 G: i/ u; H
3 Q4 E9 i I4 W1 y& J2 A6 s4 W9 K
: U8 [6 K) f: k- y x' t+ n * l% ^/ c2 J% J, J d: ~: E% u

. f2 L0 j& A. l; B: q$ \' S7 [
点不了吃亏,点不了上当,设置星标,方能无恙! ( Q+ O3 \: O! Z l; l

9 C+ j K5 \1 P" }; T8 X3 J4 ^. i ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  ! T+ f( v6 x! K. H% v: v/ R

) x' C* F! @% a! R/ N5 h

( X6 a' W7 d7 @$ d; ]% G- o" Y 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 ( o4 R) c: P7 ]9 g' z$ a' }

% Z- N2 O! k6 W% g' J5 n

( o u+ \, K. L: v4 w8 x   . t( m/ L4 ], K7 F- J

7 m. X: J' B8 K- E( Z& B! R
$ t; l5 L9 z3 u5 d - I, c9 [$ b0 T- p

3 i$ _8 |: N( O y 无线or有线 z5 K% _, i% B

+ A( E) [+ I# i ) m2 Q* S/ a, J6 D: n; @
7 n5 D) D5 T# N0 @) P- x, t- E 2 Q+ X5 d$ s z! \+ k& c9 R

6 x) y- b3 l# E- I+ r/ L( _9 [ 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 , R& O6 R6 ^" v

3 y% P$ s( p3 |

D0 O3 ]" J( f+ Q6 N 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 3 Z3 N" o) m2 X8 S( |

Y! J6 N3 @! h. e& P+ {9 V) ?& I

4 c. M3 V$ E D* n, ~ vshapes= % L7 h' S. o! k% ?- `3 d

2 ^* g; n( {! t% n. Y5 C! O

& k* c- w7 C' E vshapes= & ^6 l9 r+ M; W

' L, f7 B5 [' r( J" p

! }6 Q" L; ], c; N7 t$ h 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 $ n8 ?9 o2 O4 j7 I* @

& P& t$ Z# R8 ?8 N( a: w6 ?

' u- T2 a8 e( Q# {, s9 U vshapes= 0 R% H" Q* R+ n, ~# U

3 M* Z- B& p, F' E* W

8 \4 h0 Z( s( g3 n2 L 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 9 L! N! u% [& W- t+ M( W5 h

, ]' k: K9 P$ X! [! a

( i% ~) p6 X! w; E; d" v# e- i vshapes= ) R& d s7 s5 i9 L

3 g& b# n0 ~5 P/ E" M

, M2 L3 d& B! y# e9 X 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 $ I/ \1 R. U1 P5 H+ ^8 B! G V

/ ?. [6 J1 M% ~! A

6 d9 S4 B; _/ A 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= ( b0 h+ S* b/ R' y2 H0 B

4 D* p) E: l5 X M- W

8 Z4 S$ S6 D x8 m0 G# i( p 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) " `$ }/ D# Z" X" z$ P

3 j. Q) {. {% @' |
, {/ z+ F0 _: s, s) S$ n2 t* }( ^ # a9 z5 \- O* q+ ]$ Y; u9 @; ^

& @4 a# s4 S6 w" s1 n6 i 内网渗透 L4 `3 t/ P5 w$ t

5 [' W$ b* U$ x! b! Z F( R! S* j5 |$ t3 l, R
8 R' [' d$ C0 F * i8 W; e. d5 v% Z: `

, A9 b0 P2 x( q5 ?8 p win下搭建cslinux类似。 3 \: l) m7 O9 e r B, [

* ]9 v5 K2 s \$ P2 s
8 i m( I7 k0 e1 @( V6 H( F1 ]% t
teamserver.bat + ip + 密码
% f* @3 _- k( k* T z( ^: T
: C) p# }- l" q* z

9 ~5 P. M: o: W! [. V vshapes= ' q4 p& W n3 O8 U

; s4 g3 f3 M2 I$ f( e: E3 r2 A

: X: y* Z; D! X! _+ Y# N1 F4 [ fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) ! |8 S% _- E. e9 J9 C/ j8 l

- T" }6 {; [. T3 b' \

# S5 J8 J* P# ^. u vshapes= ; G' B$ U% N+ L: I) ~9 F& P5 D5 f+ q

9 D9 n& B2 }3 x% d( K4 A

; B) C8 r- h- O+ Q$ B7 C* @3 N vshapes= . c- H0 V+ }5 m8 Z+ e* r

' N/ m; A: L, A. B5 J* z: [. t, L

0 ^' p; O t" v 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
% u1 `5 I3 G+ z( X7 W
! Q# p. T2 {0 Y/ d9 u ' M+ K0 z0 q$ T% D6 |( \5 D

+ A' Z3 X' a+ d% S

5 A8 z/ V3 `3 p1 t* F( x- P3 o vshapes= & u3 X. m2 x$ s ]6 q9 j

5 b0 |3 X( L0 s3 C8 }% P

, M5 w: q- \3 }. Q2 q* U fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 . G: m: j; {% C) ]; i1 \/ R! e* J

; f1 U9 U1 }1 @: Z1 U

" \! c; @7 D. p% I1 u PACS系统 * ]5 o1 R* z! [0 E. |4 c! L- z

5 i) k- N. H& [! d! i$ N

& E* W( ?7 v K vshapes= ! H% I1 ^2 l, ~, n7 X/ w( c2 v: }

# I% N7 g! I& \

f$ w( E w7 y! | vshapes=
6 K6 w, ]6 ], R/ m4 i5 v
. A+ P! e" \7 c7 v5 Q$ X$ a! U 4 v" s6 V1 _$ M% y( z" u

4 ~8 @, X1 }; N2 ?: G5 l( t# w

- L% J' R0 q2 J0 D% f6 k) m; w HIS系统 1 w+ V2 R, i6 J V6 @- u

* b$ _) r* }" U0 v+ { l' k

' O. y @- n1 l3 u. r vshapes= ; Q7 F. F6 ^ M

! `# s$ O/ }* G0 {, ~5 V

! J' V o9 x1 Q/ C# E3 u' c0 t+ p   . V5 o. ?- g2 `7 W5 `& K# S" x$ G

8 {; P) C% \+ k4 x- D* T' f

' i8 B6 P2 t8 J8 B' ]9 i# p vshapes= ; s& D* b& h4 r+ ?- O" w

* c/ ?. h6 X5 x) G, Y( {( n

+ [% d' K. Q7 w, v 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 / @% Q7 ^( C* J# ?; r6 {; ?* H

3 ?& Y- |$ I$ R. A7 h/ T: j; r

7 K5 Q; H" L8 F( d9 h; ~
6 m3 m- ?$ a% b/ B( ~0 R X8 a
0 y3 v7 F/ c7 f0 P0 Y7 T. b : X; k4 m5 I# N( a9 ~/ _" ?

% W/ D/ E* n# P% Z

8 l6 l3 q- j! J! x0 s# R 后话 - b1 S5 v. v4 v y! F& [- @' m

& j5 H T% B# F* s

6 g$ \7 t# s x5 M 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 , [2 A( n$ Y x0 ?! C& P2 |

) L8 a0 z7 A, R; |* A' T
0 W/ W1 z5 M5 q# C4 q: h# N0 D, e: N ' U( Q& G" C, H& W- j& `# {0 A# l
% Y1 p# I& W$ t2 H7 [ / w2 C- ^ X n
1 Z! [# P9 q$ P: o6 b: d1 D , a7 f7 O$ B: m$ B% A

. I% [# R5 z9 ?. Y9 S \' O8 Z 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 & F1 Z5 R! p+ Z4 I+ {0 L: i

' A+ T/ q7 d2 B' b; K6 C* I

$ k- u3 o* H2 v) I   5 n! r8 ~3 ]5 s6 Y

; f3 W; B( E; r5 I7 G5 c
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表