记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

6 Q/ t7 i( C. d1 E7 m 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ( W8 o4 j- i4 U: ]) j

) ?0 W/ F) @, l1 n" f5 j2 @: B ^ 众亦信安，中意你啊！
/ j4 P9 w5 w0 a& }/ } `8 x4 V
, ?% D- U5 @9 x. m% X+ g, K ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ( |8 `! v$ X; P Z) T! N

' Z, C* o- f7 M4 }9 E, n o ingFang SC,serif;"> 1 ~" i/ o J E( G9 I! x6 K

' B/ L+ S. O4 S, W
* P* [& |+ c N T) G 众亦信安 4 p2 O5 q4 Z7 H# J' E, E( V3 b
. n- C1 m& S& i& d' M
A# ^6 C8 p2 J$ u/ y- c 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> , ]* O3 s4 c. k# d- w2 m
4 ?' @$ F' f4 ?8 v, Z% J; r
% |/ L1 b: T- ^" u ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> h! z5 ] Z' h; P: x8 ~% r
' _/ c9 t0 t' \0 z
, C4 i, ^/ A$ w, j9 p+ O0 {( O, b 公众号ingFang SC,serif;"> ~2 F/ R2 \* w
1 m L3 B4 ?7 J6 f( ]/ ~0 l- W
( \& T2 a }8 Q
3 N; v! s& h0 q5 d
/ N& Q6 v3 O1 @9 b2 J, _ 7 l! i4 M* L/ |: J' w
" L2 v( r7 H+ k8 s
点不了吃亏，点不了上当，设置星标，方能无恙！ - b9 r0 `: z6 ]
) Y# `8 d& t# Q ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 9 H. K H; C* ]- k
* j# N" Y! I: j3 K1 h1 T _
: g/ D4 w3 m }% S( `* G7 ? 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 9 U4 q9 g* ~; W* d' r
6 a6 u9 v3 M5 l
8 t0 p+ ^3 W H( ]* ^' b : H1 S" }% @2 Y1 ~# f' L
, d. B, q) w7 z( f0 {
* Y. ~* n5 x0 Q r6 S2 \+ d8 a" b# X' ~( V1 S
7 B& P, | A3 d( r3 E p 无线or有线 $ G/ ~% O6 Z- o$ ]
5 B. n5 N* I, `, {5 V* c$ h8 t2 { ; [2 m8 O! p# ]9 L
! O5 c3 Y& ^4 l" B( s' O: O; [ i. Y. r5 k( F% O# Q2 x' f
' g5 q1 {% g' x 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ; z7 B; h& l! u0 y
6 x: ~/ F0 T" D& t- o# j
% G0 a) P/ t; k5 k0 Q; d! @7 ? 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 2 h# t ]( V; u
6 X% x7 Y2 L, Z/ q
6 X2 K7 z: C# O8 l) S7 O: Q: e # a% e0 z5 G8 F. k( D
* E% ^. t. Y; T
2 {9 R* V; |" g3 z1 ]( V 4 U& q w- e! I1 ^2 g+ V! u( s; C/ |
. u! B) l5 C6 R. D& j( C! q$ T
9 b: B" S( _1 O a/ a+ `6 ~ 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 6 a, ?' T! T) P c1 F1 ]
" I2 M& g) e+ s* R
" ?6 k b; \4 l4 J5 t& x- w! O; \ ( A2 j0 ^# n8 l! c# z) m' d1 Z
# U0 c( k0 O6 }) L; o$ b5 P
7 ^( }# l9 v, f7 x* Y1 y, @8 w; k 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 0 ?6 m/ F; @6 p2 j$ V- t$ M; ?0 f
. k* c" c1 {0 N9 ?6 M" k2 N
" c. M _& M% P3 W1 d* B 0 Z- P0 g, Q: Q% w
9 s8 m# q# Y4 j5 m
0 P) \2 [' R" i 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 9 ?" l! @0 U4 E. }# s
' n% T7 {! s$ v% x% ^$ W
, ~1 U9 W* Y% ?2 y 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 % d' O/ P" p6 M% m$ k7 y$ W3 s& C8 U
# G$ [9 V5 k+ T2 }: C
3 D5 E3 i" n# [" u 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 : L8 V* }. R# e! o$ Z' \& S
2 F$ l: x/ z; W9 p2 T& I
% H M* D) K# ~7 I P a ! e; f* l5 H& X# ?- f! G* u( g' Y
5 [$ }2 @! `$ n; l 内网渗透 % L- c/ _0 ^9 K+ l, C- E- `/ \: L
3 e) |3 W' B, e, j1 T; _! r( u 9 }+ _, }( {' G# e1 G( K& P) m7 ]
# P, i0 u) M$ f* J6 j- m ! ^, J% [1 y$ [
' j- e8 w4 x }; l( r6 J. b( D win下搭建cs和linux类似。 1 c8 S$ L( D F4 o
! `+ @6 G; Q$ f+ H) _$ M* ^
c" e# q& A& m/ f' @6 C
teamserver.bat + ip + 密码
# G" k/ d. P8 @8 W, X
2 m8 `- [3 u4 z$ g, ~
: G' K8 V0 t7 [1 \* g* h ) F; K% k% L0 H3 X( i1 d$ E0 B5 i
9 t" F. g+ y2 n( z+ N3 ~
& w6 c! b" d* `& M c) T* y% R fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ! d7 @+ X9 ~: C, }; t
- g9 G8 K# y/ t: a$ G
7 D" `$ e$ s1 ^( r! A 6 D. L0 N n0 ?6 v) X
5 l& K w! L: m! e8 p1 c; U
" G/ D6 [! [# }* Y6 {- O( G 7 W9 k" K5 I$ ^9 E1 @
# J2 e$ }2 O5 h/ b' P
6 n# I ~2 ^4 q! ]/ W; R 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
6 ]$ v4 s( m5 D# w7 o$ _* _' E% L
) W: R* ]' A% }, ?# V! r' | " s0 z. k/ R* d! o# B7 E
! [/ o! g ~& l2 _ v
' _0 Z: G9 D% @ + n Y. L E6 c/ E& x
5 O, S% I3 O- @5 h
8 M) s& y6 A2 m# T" h" L fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 * N1 W8 {' L7 O
F4 }& L8 b: `( b
! E2 b. S% R4 `3 D# w. K6 X% n PACS系统 ) \. {; S5 a( b8 \
9 c* H- F1 E8 p$ n/ z3 o
$ `4 V u8 p( Y0 s8 L 9 g1 V! Z0 _1 h+ y D+ V# f
$ _/ L) a4 j' ]1 {2 Z# ]
& T6 ]4 g4 } f0 h
* N8 M1 U; o! n. ]% Q0 q' ~
; b2 X3 ]0 q$ k3 F2 w& L ( n( H. ~' [: e+ s, N4 k U
% G% z" `* F( k' D7 _0 D U
. W; X# y3 c7 c; M HIS系统 8 `- {" ?! z+ }( Z$ C. b
/ I) @. r/ P; h) i" z6 Y* O/ I% s
; H/ g: f: \, I2 c % ~; Z6 U& m' Y5 O
7 T' m4 _- _8 ^3 m+ y3 p2 |
5 W/ F' ?' d$ R1 ]: Z 6 w* {4 E1 C' a; ~/ A y( W( q9 h. _
" f' }, ]# f9 g W) S3 o: p
' e/ Z$ }+ A3 D4 } 0 {2 t* ?$ i" k: H. ~. x6 @* t
- T/ X" V4 C& f0 B: {/ m
2 p; _* C: `+ r9 S3 r; q 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 7 F2 m( T! F) Q6 k/ s3 z% R
9 o7 i" x1 y$ q# S3 s% b& }# z2 E
2 D/ [7 Q) j! w7 O) \. E
1 I1 U! M0 C5 y7 j
9 ? R1 G2 M# e) {& h7 u: c } : l. @6 o2 @; A' u0 H
5 P: ?/ u! Y; k2 F& w, x+ Z
0 }% n, O* ?0 d! U% ?% w 后话 ( b- e) A: g$ f* h9 w
: P& q+ ?: }) c6 ~8 q+ B% z
) Z8 s* N0 }3 ]2 M6 f1 L 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 - Z* P% Y1 f |) @6 }/ J+ B% a* t
# A6 `' T6 z2 h, M+ Y* ?& x; h$ g- f
! u9 h+ {+ G( j, G$ |% y + D5 o7 U: `6 ^6 V+ o
! S6 ] C2 w. | 9 `" D5 V, m b% _% _* p9 D
+ I* G8 @/ t5 y: Z: j' D1 _ # `" T" l. y' b
& y2 m2 k3 q$ R0 T: E3 O) ]3 c" b 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 & d+ [9 y; k4 s' G. c0 x
2 e! [! X k4 m a
. P+ w* w7 X/ e- h% E 7 E( k3 P& L7 `1 s4 E" ~ q3 S
6 u5 ?2 M6 o3 L0 c0 N