记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

4 O5 ?' w6 F" C! J4 q% x9 b j 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 + f$ a' N, l: P' t9 u

0 ]9 U/ t# E" Z1 M9 F# ~5 Z X 众亦信安，中意你啊！
. I* g! Q% z) }& K# r) V( s
8 ^1 a4 b5 q) ~: i' n- M ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 b3 z# x; a' b& m. L4 G

8 j9 v+ F3 i1 X6 B2 E0 k: A ingFang SC,serif;"> & Q! `1 ?9 ^# t! Q) v

6 K, [, G' }, ~: F* D3 C
5 S7 b i: x) J- S8 C" ^% B 众亦信安 % ]. i6 V: J, D$ f
6 O5 b6 Z: F- d. Z8 o
7 u3 ^5 L2 N$ t3 i+ T5 C 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> j6 _$ v4 A% X
7 n9 s Q, m: d+ C/ w, s/ y
2 x. E" f1 t# T0 _# E4 e7 K( F2 |4 L ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> % o3 z: G% p! s, ~; _. S
8 F z% }- ^( `4 z1 L9 m0 V2 g
! N# G2 u" I' A' l& R 公众号ingFang SC,serif;"> $ x+ @/ I- B5 L4 j& f4 ?. k
! q- L0 U5 E& d/ z3 b0 p" Y; P
' C/ x8 @; M( `, T. t% E0 g) D/ z
4 Q x1 W$ d G9 q4 J+ K
+ {4 U/ J8 G) X 0 V1 L. C4 R3 G' }+ Y; A
( [/ ^6 P2 ]% l; b0 W
点不了吃亏，点不了上当，设置星标，方能无恙！ ; M1 V6 `4 V+ {) j0 l N; `/ R
+ m/ J8 z& M7 K ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> # [4 N# r# n) }0 E, \ ^
L# W1 @+ y( w+ p- `: Q1 {: o7 T
& I* |3 ^; f" Z4 d2 T0 h 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 * q% x; o; F5 T$ b. l
$ c# ?2 M' L# Q9 x
% J" y2 ~$ [6 Y- A9 h3 S8 t4 l & R6 @! d A( h3 X/ V0 c
; X1 Y+ J' U0 q: P2 c$ X/ r0 `
6 F* c) j1 U9 ~; k) W) {3 z $ [6 B6 ~. U v1 }
6 G* P, ^6 B: j- R. y0 ]( D 无线or有线; v0 o* c6 S( K% E' d
8 @: u# v9 `1 i ! i7 S" m9 ~- Z2 }2 j' X: n7 X( g& V
8 l, b. J# K9 o8 C) z ' `9 t) `) u# J% m
7 {; {& K/ h" d 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 4 h, {) h9 V4 A$ A/ m3 P
7 x9 Q+ e- W1 ~. u8 U( c: g" b
$ S0 d7 F) n Q 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 . W8 ^9 Y& X2 R6 u u4 D
( s! c) {- V! _) _! @" V3 ^3 q
, w8 _( [8 ?1 q, n1 K- [ $ d7 e3 r9 H" o: X" K
* K" y3 g& l0 [
+ Z. ?- h9 c5 E " v2 V, T5 A$ H
4 w$ T/ Q: v$ ^
0 \6 n0 a& o- k) w8 X8 X/ q$ E+ V 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 # G; H0 e" m& n# I. e8 N
' {4 R+ A) ?- d
! l% }: w) G7 c( }, r8 J7 X 5 X' e b. Z& P1 J' w% o1 X
5 d0 W4 q5 s& G7 e! j) i: s
V& b( g9 k# W3 E; a 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） " `: J& h- K# ~& G" i/ i) c
. \6 M) b" t: S8 o# u; U
0 y, X0 X ^# v5 ~( F: j) t4 ] 7 ]# S- M, I3 ~ Y O
! |0 I$ \" M6 C: u
- ?9 U& g+ V/ A- k' c( V1 e$ e3 x 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 # r, A3 ~+ U7 v- n7 f0 O g
+ |( y) B2 r- Q# C; G' r1 ]
/ l: P' f `: Q+ f/ I6 K' y4 W6 W5 K 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 6 P( o/ c9 t1 M0 m
& y: p# Z- F0 l4 G2 t
! M$ ~% f$ x; o: n3 `, @2 W 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 6 C6 K% q/ j3 O+ v: r- J- _7 u
2 I. p1 y; P) N7 s0 l
" ^% Q, H/ [: B 9 O/ F5 z0 l5 f$ ?
8 F, R) E; @& {7 g& Q 内网渗透8 Y( S: `8 y( Q$ o2 J
: K* x7 J: }" D& r . k7 q. k% Q8 u; v, ~
4 u0 {% h3 k7 O& M* _6 v, }1 L6 R 5 J- E y4 E; Y3 W( D2 {, J
F; W& X9 T( u. }2 A) ` win下搭建cs和linux类似。 + h+ M; X& v! W3 m+ m* l! ? h* ^
+ `" h& m$ a/ S7 m
5 f1 E5 {1 i/ G$ y
teamserver.bat + ip + 密码
% r+ c g0 p: _0 x: |6 T7 Y* k
4 S! i" }' r5 T' k& Y
9 z3 u3 Z1 l0 c6 o8 x; H 8 |' T( j9 @: h) A& o1 X: s$ Q
) \5 v8 K& Q6 ?& h5 s5 {, P# a- H
% ^0 ~1 A0 U7 P fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） % A j6 p1 \: X1 d
1 D' W* t8 Y( H* N4 q* {+ h" [( C
* L- ?; I% e$ @5 `9 S2 w ; m: |* ^; z+ R
/ ?6 R0 f8 c1 C+ J$ y5 w
! @ W! \* a# w" U/ F1 c T( w : Z- V H; J9 u/ z# ]
7 ~9 _' C l1 U
+ ?8 W9 Y0 q& ]/ t) ^" z* O$ {$ I 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
6 b- `0 T2 U9 {* X5 L1 d* H3 J
3 k+ ~3 n, x4 j8 ? 0 X) p# C) M# y, N- A5 b3 E( t' y% D
$ B- V0 L& D6 Y5 }5 a% _" _
' q6 [- b8 G2 @4 m g! x 1 S3 B/ I- ~7 Z
v% w7 T4 k3 |6 Q% _
: P. ~, Y" H1 m, V1 z fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 5 S+ q7 s; a# h' p3 b k
$ ?2 a, [& f# Y7 c/ P
1 U! z' g A( E' i& X* H, E' f PACS系统 , s, s; C9 j: \: }4 i1 h% Z8 r
% L5 U2 ~0 W4 J" z0 F$ K9 D: f
) [' b" z/ t- G7 ] g9 ^) U - v+ a% E4 O, L N* h8 S
1 J, }+ F/ M( N$ W4 V9 ?
4 V9 z& Q. _+ C& M }; E
) G1 E1 i6 R7 I7 Z
9 k; V. M ~' T6 I 6 p! y. e4 y7 ?/ p; g
/ e l/ X- N7 O* f9 e! R' n
^) C l# E, m$ F0 O* u HIS系统 ! y& S( k0 ]* o
) Q6 b3 T" s8 A* O$ e" H" z
% |' v3 ]+ D/ x3 C# H 1 q* }) x5 f: U0 b7 D9 q6 @
`, [# x3 u8 K* _; `
: Y; i5 J0 S. u) e+ r " h' f- m7 u% |# h; Q% m% j; h
6 ^0 c; V; ~5 D
3 h. s, }$ o1 [5 i , S- f H: k! R% z, ?0 c" U: ]6 X
1 `: v( i. F6 w0 `8 Y0 I
- i, I2 k( X# r3 G2 |" ^3 r 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ; L5 F% E o+ L
7 C- J, q3 G: W* k
$ R1 @" H% I1 e$ m1 |
2 [5 z# J: [$ P" B
( H9 _, x7 b* ?7 s% ~ 8 |+ d4 Q/ Y$ G
% n v5 i9 J2 l7 `
# v; r2 M' z4 u5 ? 后话 / M( Y1 o7 g! E) D/ v
6 J3 ?$ _& m6 l7 k
4 _% V- R2 S) \9 Q 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 : Q1 w; y0 g2 i! |4 a! U
5 k' S- \1 }" e# A; R$ O( {
: L i' |8 N* s5 d7 N' z & N! Y. {( V- t! h7 G; Y
2 r$ {( t% ]! L) D i 0 Y/ D9 A3 ?: |
) R% f8 n8 |. D$ c% l8 T - r& c/ `6 ]1 i; ?7 [ v9 ^- m# o
) s6 ?' o! j0 o6 f {7 s 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ' U8 k0 ~, {3 R8 d L5 O1 I9 v! }
2 S) }& G: g( T3 `9 O/ ~- y+ k
& D8 g/ W) c0 v# S/ `, C- B * T1 B* Y) M1 a
- a8 u f$ A# S& t$ B2 F6 w5 G

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

6 G* P, ^6 B: j- R. y0 ]( D 无线or有线; v0 o* c6 S( K% E' d

8 F, R) E; @& {7 g& Q 内网渗透8 Y( S: `8 y( Q$ o2 J