记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

) \) A5 e) k" L! Y 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 0 h* F$ N* t. Q5 y/ o

2 _- u4 k* n; o 众亦信安，中意你啊！
6 ~& I8 I/ z% P
* r! b) q. `- Z1 i- k, l6 k) XingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 9 Z# f8 C; u. \+ @

9 l* I- r- G. J$ P3 S3 W/ U; R4 [- G ingFang SC,serif;">5 p F3 h$ Q2 u8 i! l3 b4 ^7 u3 [% }! Q" `

: x; L# z0 V- k6 C+ \) f6 T
$ ?3 {( r$ B; o0 {7 n 众亦信安 8 ]3 i ~$ \$ z6 O6 q& P
" X4 i+ [* g1 `$ A1 q" L/ S1 c
5 J) R! S. u! }+ Q1 p8 b# c 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 6 r2 e+ }2 _% I `
: z# n o/ ^# I" @- v* G6 P& P; Z1 j/ Y
8 X" d6 t5 j8 _5 Q ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 8 }! N- ~( t/ {
/ e) c+ {$ L! x
, I2 u* x, Y5 W7 `; M6 q 公众号ingFang SC,serif;"> ( n$ T6 s0 R; X$ v1 ?+ t
1 i1 \! O, E$ _: Z
; u# E" a( A7 j. J9 a% v# g# t
: H- }: ^4 O$ o0 r4 d& s/ r
5 e& s R7 n/ G& d 5 O) I, l5 W; z# y3 _ ?
s8 v, k m( B" n7 I
点不了吃亏，点不了上当，设置星标，方能无恙！ U8 \5 _% ~6 ~; g# v5 ]0 F
5 ~% W$ E; j7 i; H% [ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 9 u# V# M' O7 Z# l- J: l
0 a8 u" C: l- G0 x0 ]6 p2 {
8 V+ x V# h" Y+ U) c( W0 E: N 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ) I+ @2 f* ]8 i# c5 u) O
, {8 ^+ d, i0 x! z( C' p1 t8 R6 m
0 C; _. F0 v& ]( _# j ( |9 n! `; H- l) i$ s* e/ J
3 r& m5 R1 u: m& x
/ f5 w. V R1 }: f1 P$ @ 0 `* l3 I9 s9 O
* D( N( f( S8 k/ l; \2 { 无线or有线* s! e2 t9 [4 C' f$ y3 p- y
$ ~% @8 a6 K4 @& O4 p/ m , t u/ B1 G1 W9 Y
5 Y- H( T0 a% R, X1 k* b 8 f7 E5 m) z% N* B3 z
; |$ i% t" W8 t8 l+ C 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ; [* Z" v, R' ~% |- W8 C E
+ ~5 B3 l1 H. l
/ r9 a# b3 O- j) z9 O) e, \7 t 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ( y7 ?$ u- B% I2 a/ s
! X; u/ n- B3 {9 l
. a/ q' J" ^* F+ w: E 0 w( b; }1 ~4 y% ^$ ?! a3 p) C
0 ?+ j" i) ^0 {. }
4 |9 w1 F. F. J' ~, m( a : {4 }+ K+ S C" E
7 U) H+ [5 G6 R4 \/ ~. R4 `
* Y: ?' v$ k3 {4 Z% G9 M 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ) R9 p8 P1 [: V( E, N
8 V5 C9 Y) h; _) R% ~- [' @; Z
- T0 d* z+ R2 |$ I 3 U2 H" p7 h% P* q' |% t; J9 y( i
6 I/ W- H! |" ]% P8 ~: O3 d
w5 J- x! A6 ] 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 2 s4 p" w. z& O& e% d. o. t+ L; s
* Y" D3 _% v' \" j, }2 `* B+ z7 E% g
, M; d5 _$ n1 [% h. r7 K5 k8 K + O7 s$ D" B; m" f* C8 Y! G' [2 n
: M7 Y: z& [ O; X3 k3 ~
4 l# C; i/ i/ ^2 }- T 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 1 I) E6 _' K$ R6 v
" W" q7 u! E+ L" R7 o
. [) z |, `8 `! P/ v8 S 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 5 R2 @2 J1 W0 ~. ~' l I0 w
% N- ]' F0 ]& t( R# ~; q: f
- [$ P* @' B6 k4 s+ n 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 7 F+ q3 X5 V3 u4 S* o
7 U, s5 b; ?0 r! _
: x [3 C! ]/ W5 u , N' y! u# s2 i
! ]0 g4 c2 [- Y3 N5 f/ m1 G0 M 内网渗透 ! h" x; M C4 g4 P
( o# H- Y `6 F! u% v" u * D2 e6 V4 l+ J2 g/ U j, g
" p$ s! L2 ~' E$ h! p 1 k2 _4 \5 T1 I0 g( q: C
' I [' z+ H( @9 N/ r* J$ } win下搭建cs和linux类似。 $ x3 c' s6 A' W1 H* N# i
1 C0 A3 m7 u9 ?+ D7 K
9 i; R6 I+ Y' F6 ]2 L7 L
teamserver.bat + ip + 密码
, S/ r( s- }$ j* |
: V- U! t; n( j. _( ^0 S6 k) N: g9 L6 n
* s: A1 v# U( C) I" O* { 3 H7 X$ ]9 M; @( F7 e" S
% R+ m8 U9 Q. A; g
/ U- x G @7 ]7 d6 N fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） " P+ M6 u) S$ F3 Y$ c; j H o
: s: y4 H. g$ ^4 B$ ?/ K
* D& v, w/ f, Z$ [+ P0 |! G; { # U4 t( t! c: D+ }/ T
! D5 P4 C6 \ S7 h
/ G6 q9 j" W) g! j; n - l2 e9 n! x. W9 y4 j
' f- X t8 Z9 |4 D4 W: n# X( P
o: M& { T0 V; q 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
) L1 K8 d9 b+ M, H
0 s2 N* |, S" G , c D& q8 S+ O9 Z1 v. a
1 j9 _- D: _4 s& l2 B2 L* N
% B& P9 ?, ^8 P: M, y 3 o: A) y" I7 e) T4 t
/ U3 W! ^- j/ {" Y+ U' W# _
O( t% G3 b1 S8 g fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 0 Y) I! f" {" M4 a6 T6 V# u
6 h+ Q! n8 V* @
; W: @$ e: |! E+ j, b PACS系统 & a) |; y- U2 k! E7 m* l1 O; o7 k
) ~. r( S$ ^1 C' N) a% O; }
( Q7 `; X( s8 N0 N# E* Y8 S 3 j! R% b" G2 [: W. h, t
( m: a( P9 A& u% n
[0 Y j/ x& X) p9 ?; T
: P _& k/ G2 `1 B( ~/ V, k
E* H/ q. l) L# q8 H. I 1 [' g/ a6 P& X" t. d# L
: j9 C& m! U+ k! ?3 Y; M" h
) \+ i; l. q1 K9 x, D" O# ] HIS系统 9 q3 k/ ^9 u# e: w" v$ Z
5 K* J, v* R0 y/ U' G- F V1 Z
5 b' t" W0 Q) R- c 8 [; R% i8 t( T4 h
, t; }! M* T: R: D( J1 x$ t8 }
. q$ }3 u4 N+ i' s9 f5 |" ^ ( g Q( [6 P8 K$ j9 R/ _
5 L8 t* \8 t1 _" @
) E. ?8 n3 z) j' y* M$ b : _! |- W4 _/ c
7 H8 @( \! H* A$ E5 z$ j9 T
+ L0 H% p/ G# i' x7 ?; U* d 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 # Z1 g3 u' w( \9 {3 {
% }& @" [1 P7 e' L7 } D. T7 g6 I' G
/ J, [/ q* t) v$ p* `
; v8 i) T# N& i0 d7 A3 |1 a* M
- s& e1 {9 \4 E* {6 ^. n: ]2 z4 O
& [- i8 ]: |6 _, _1 V& _# m
* S8 E' X, H. [6 |* J 后话 $ ^. O! F1 q' Z/ Q- b8 Z
# W# T# h) C/ Z( Z
% C) i7 N$ U* q+ e$ T- I 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 2 I4 z: G* ]" }6 e5 k
7 X# q. y" U7 ^7 z
! R8 d, `- U, b& g; u" i% P7 q6 k # |6 e$ O. a8 U7 A N3 H' a X; Q
$ E7 i5 a8 s k" {( V q: O7 x. I( l5 S0 V+ Y
2 ]) C% K9 b7 M2 m9 V' @ / c: J6 X" \. H* Z. b* X$ B
3 O- h: ]; T* P! Z% m- D 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 + b1 t5 u1 K0 o
7 i+ d+ p/ l4 q) _$ k' e; E2 T/ l
& }+ w% D* m0 x+ m2 r- ] . X$ l' F) q3 O& U
" S2 l$ _7 j9 f/ o9 c

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

* D( N( f( S8 k/ l; \2 { 无线or有线* s! e2 t9 [4 C' f$ y3 p- y

! ]0 g4 c2 [- Y3 N5 f/ m1 G0 M 内网渗透 ! h" x; M C4 g4 P