找回密码
 立即注册
查看: 3614|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

J5 B; J8 [ ] 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 $ v8 ]9 K- O/ A1 N- H9 S& t' j

- s1 d+ z" D. _5 {

/ z3 {9 ~$ |: T4 E* o 众亦信安,中意你啊!
$ H' E' V6 `: ?+ N8 X: c( T
5 l9 m' D0 D: u( r ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
7 @2 x2 k/ ?0 B# u

/ E9 H& Y( S; F

; i2 j2 y* S( R) f ingFang SC,serif;">! W: A$ k: }! V. `) i4 m9 {0 k

8 w5 Q5 |$ N# {+ g" ^
8 B6 y/ m& g5 }, O2 W% s" N

. |) ?& e8 ]" e4 X5 U- ~ 众亦信安 $ G5 u0 T7 I, v) F. m

: [1 { r3 |' h$ I

, M9 \: c+ c1 k- x7 K$ O) k 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 3 v! E1 K* i u( |" d

6 q: X0 s+ [6 M: } B/ x# D# k% C

4 i( O& q9 [- y! j ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> s3 n4 j9 |9 f

/ A# b/ k; ~2 h6 B8 T

) R9 C3 q9 Z1 L1 C 公众号ingFang SC,serif;"> " i. A2 O2 A# E

+ }2 ~; ]4 z( z; ^5 f2 m' d8 A

1 F" K' C& w" B3 x0 |
9 t; _4 X3 u6 M) G+ v: r6 A/ M
8 L1 q5 `# P" u
/ M; `! x0 A& @5 h

, E+ x* d2 i8 {, H5 @4 v, B
点不了吃亏,点不了上当,设置星标,方能无恙! 7 e* e4 b' H3 G! J, w

% d- N/ n: V; @6 M$ \6 Z% ~! u ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  + g+ {4 {& f$ C; P# S

; c1 M, F' ` r

$ c4 a! [" W1 Z9 `5 D* Y; n' e 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 4 ~& C: f# y" a: ]& q2 {2 Q" {! u

2 c0 k# @. D, g

" V* U7 v4 Z: S# U- j% |5 P- H   o" X% [+ ]) R

1 Q0 h6 B/ a$ \: S* y# D
9 \# D6 U: \+ e) t 8 Q8 S K) p. {

1 o* k' w5 ]- J 无线or有线6 B8 G; @2 W" j

$ e. K4 L: e1 k* @$ ~& J. B
N6 [5 m& `2 V" R$ }
! I5 k- ]) [6 |) W3 E! L ! e( W. g* C6 g5 S

1 `3 H, m7 r9 y) a0 P) x 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 . _. z3 Z I1 K9 I

$ G8 e* W; b: `3 U% O, y: p

" q$ G8 [5 m8 s2 y$ S' I" c 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 * I8 N3 _8 N8 n

+ i5 s t8 W8 _: {

" _% ]9 o& M- O; w: Q- T& o* w% I0 z vshapes= & K0 |. @4 h$ D5 N

* P& S/ k" v1 d- w8 N

4 L( W! }) f4 _; |5 Q vshapes= + T5 \, } W* P% r, T$ d

) y9 T. |5 M: _1 H8 f( ^

; O/ ~! P( `( `/ p [2 _ 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 / d, ?0 Q' f* |7 s+ \1 b- _

. q5 B6 l! g; a1 M2 b

/ a( a+ ~6 r9 c h, q vshapes= 6 T( z* ~) W8 X. d& n) I: e; K

5 {4 Y9 i# H: [3 Q- R! X

! P* w: w/ {: O( e* F. H5 A 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 1 ^" I( v+ }3 r0 k0 `# {

. q+ r, S- k' R! q

0 Q$ U7 q$ u, e0 e/ d+ l vshapes= ^, b9 F) n& {4 X

# K/ ^* L' G3 A3 d

4 e( J5 z2 m% V' } 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 9 u: _ u1 p0 Z' {/ ~

1 t- y1 j2 Y: c* ?1 r6 z3 a, @( ^

/ d: G" N7 `- Z/ g$ m 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= ) w% A) Q/ H3 N" G+ W7 J' l

0 u+ U' y2 t4 Q: n/ k

" t' c/ o& W, q+ [) v 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) 3 N5 C5 H$ h" T# r" p; D: b0 t

1 P |- E* ~. b% l
$ ]- w2 A. o/ y5 }2 [0 i z5 Y1 i 1 `) k4 s9 Y( r7 b0 W# K5 ~& o

4 X" `. ^9 Q! w8 q# ~% r& @ 内网渗透 ; |' S5 B+ V5 i9 t- o

1 D1 f, p3 P0 D$ G: P7 F) f6 @" |
; T- q# N& c% b3 n6 Y4 G
" l! a0 v$ i9 C # u) v7 U! q2 f+ g

7 j2 j. w1 X4 C; W3 V: l win下搭建cslinux类似。 + B# T+ ]7 X; \ M5 S

& |+ J% r- c5 Y
, L+ v' w- l- A k
teamserver.bat + ip + 密码
1 b$ z# H+ S3 o( C2 A0 x% x
5 p* ]: T- g5 ~

4 y: Q( R2 X* ?5 Y" Y vshapes= + A5 L+ x6 q1 o2 z( i

, ]- c/ X, S6 j* D9 P) M

3 N5 J/ T2 p- K3 C$ O2 M fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) 6 x! k" L( |% d7 O% [

7 E* G6 e3 D6 e- {" }

& g1 ^7 W! Q5 R- i1 m2 K8 d vshapes= 4 K; @" S* N+ V

/ D0 D, I! q) g' M: C$ K: {

/ m2 W9 p+ f b: R vshapes= . L' }, { s9 T4 `0 T* Q

0 R+ A& ?" j) J M

- f J! T/ _7 M$ c9 ]8 S1 _" I2 h 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
9 @; _2 \# x* ~$ W5 N$ [# v
" q$ v- y6 @ E$ s9 ^6 K* {
* R2 c5 X7 G: K

1 u& \, M. M" A6 W% s( [

# ~1 t% i# k+ D$ f+ _% n% ~ vshapes= - E; R& B5 l6 m X

& ~5 J' V: ]6 y- s1 Q

4 j8 |4 k4 _' P% }1 X: Y+ c fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 0 y0 r/ f9 r2 O& n& b

) ~) [ j9 A+ Z @ G: Q

& m6 s$ J; p( S" _$ s. a, W PACS系统 6 L' i7 N! d( `' }+ z0 k

$ f# f- @. l: e( @5 I1 }

! ?% x. q5 J6 W, ]7 t: K/ R3 U4 ]) M vshapes= $ X- q k7 \$ @& Q

* L/ C1 z4 T/ Q, q, {! {

( `) r" l% i5 Q* K% { vshapes=
2 ^, T" ?. e/ Q& ~7 M
& ?5 v3 T* s7 s0 ^3 G3 o+ W8 p* c
5 w* G. G# u+ H; M

j0 l/ g0 |! e9 j

+ P% j6 y" b2 z" M5 E0 _; Q HIS系统 % P' Z c+ U1 h

$ w- X$ j4 X/ x( @3 s' i, R

) a1 H, K' I4 M g vshapes= . o! j7 ~$ \3 D' g7 X3 U" s" c3 m

' Y% Q! @( D% f$ e1 B0 {. ^

$ l- k- C8 o A4 C7 x, F/ K, v   8 n* A8 D2 @# k( X3 Q2 M) h8 n

c+ H/ U& l* R. z) |! m

8 ^4 z3 w: W% T) n8 d vshapes= ; q( Y3 U2 n# ^* P) g1 F4 u

* Y% _6 z" H4 Y3 h. Z% ^3 D* m1 B

; |- O, g2 h6 E2 k( \ P$ v 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 7 ~* {8 X' N3 A

4 K2 X+ r5 j/ ]6 n

+ S% Q( _' j h8 F' m, @( d
: L r4 o& u* C1 P) d
6 |- e) q4 I& k, @& V2 o2 u
9 m( Q* _+ V; ]

) b! r; x* O2 ?/ g

( W7 P7 L7 v) a q% B% a! x& T 后话 % f# {; f9 o6 z; I

. m+ P/ ~& K" E$ j

3 } G2 U2 ~9 ?9 h" y/ p( S/ R 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 / M* h3 W3 Q0 W" @+ y \

+ X! ?/ S3 J% a( r
( t1 R% f0 ~) S6 U* ^2 W% _) A4 l 3 N6 P& }8 x, u( M9 s+ V
/ `) X5 ~' W( e4 ]; A
( R2 x- t" ~( g3 G7 ^+ D% V
: |+ l7 h* G, [ ; C7 k' w* J* p; U

2 @5 z! z" r$ Z9 Z8 Z 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 " Q; r5 N0 r8 z" e" @/ Y. O( p

, t5 x! u$ n( e5 q' a

- ~% q4 a. N- k0 c   5 x, ~! i2 k \: e, a: y

$ p9 ~. }/ V, n e' |
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表