记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

4 T0 O) Q& \! ^" Z) z 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 r* z5 b; a8 v% _/ `( I

2 B4 Q9 i0 b1 @) E# ]: q6 P* L 众亦信安，中意你啊！
, `8 M. ?* m) f' a
3 N" N3 S9 T, a% p" | ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> $ M. d( ]! E/ f5 F' S" Y

) @7 N8 c# d: y3 ~$ Z$ E ingFang SC,serif;"> # o$ d2 C: p3 b. O3 O, Z _

; n) b$ K! j( k
" `" }) S7 }) [$ z6 p" j 众亦信安 # T2 t- W X$ U
0 `2 w$ |8 e! a' { m4 k, g" g
4 i7 o' ^2 I0 Z1 W0 w+ }3 ] 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ! w7 Q+ U% o9 V/ K/ f# x6 ^+ C
6 R5 q6 o8 ]# O$ V. _! ]
; j7 _" _0 P) q2 l2 `# n ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> - f6 l) o* F/ |3 S
% Q1 ^% o% O/ W3 p7 c% k
9 e' @/ E6 \0 Y W- @ 公众号ingFang SC,serif;"> 7 L8 P4 v" Z' @1 k- |3 t
E3 x o# W0 W! K* `
1 e2 m1 _( `- J8 q! P
! g( Q- P9 }7 m! c6 p* B$ O
0 [2 f' X a- {3 \. f) }! {& V; G: e& J# b5 H% {
7 l& Y1 x3 q8 [# u' ^% w6 L. T8 K# Y
点不了吃亏，点不了上当，设置星标，方能无恙！ ; Z% N3 y! c+ m+ C d' `
/ r/ n- T: I4 s) A* t, } ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> % E" g$ x$ u" ]8 Z5 x E; t# |
$ c* N: B& S8 G* u/ j8 S$ R; k) l. e
4 ^2 L- b! [( @- Z j3 y- p 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 . u2 g* U; z9 F" M9 {( i3 v
$ z J# @2 F9 o Z7 J2 J
/ P# Z! o6 H6 l7 Z- B; f Y( Q& h x) h* @9 }) s2 X
0 x5 _) f. ?! @* s& N8 J4 w
* ^& b7 s8 i0 d ~- e+ e" c- Z8 D
; e* v: E, f8 t: v( l. k1 B% p 无线or有线% V( k/ X( T' I R: |+ h1 Q
. M) u# L% M! h/ e4 N! k* v 7 W& y7 O3 m0 V/ [7 I
/ I7 x& C5 e! z7 d- X: } 2 t$ B( h5 ~3 a, }
" k3 X" i8 g1 \6 n3 T 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 , q2 [9 K' p& n4 f. i
% M# g; u7 |: V/ B* `" _3 G: S7 u
7 Y* S4 ^0 D$ A2 s& p) n( J 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 : o, g6 Q, _6 Q* o/ E
: @0 a) H( ~; ]+ B. G8 G9 l
# x( [. \3 c% O* u; K" { : g. P9 c/ P, @3 E6 I; A# d
3 c, |, N4 f' _. M, B+ V
0 P5 V7 u& g. |+ s# f \; E; O# Q9 a) ]1 j
! B4 V; `/ }8 G; D X* r
% h1 |2 }, f! ~ 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 6 s$ V' x: E/ _: H/ F
# n' k, b4 g3 p, `
3 {% V4 X1 E/ ?2 T4 O 8 z0 ~, F: N, h# d; D) S
9 A4 S3 F+ `4 z# h+ S
! r7 r& |0 F v0 B 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） : {& H8 ~$ ^! o, h3 F5 p+ x
+ L- N$ }( V6 R( v) L1 x0 m5 I: \
. m* N7 Q# K1 f& m 8 M; X5 e$ ~, C$ f4 W% S3 O
0 S2 N/ z9 |8 U" J% Y' q
, y0 ^4 N5 ?) ?: }$ g. o 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 7 Q H! w8 w( @
$ p, v; q2 q6 c
! d: x B. b0 K: C7 y+ ^* A0 g 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 3 J' A( K6 G) F- u/ k
4 G/ u1 r9 w8 X: i: X1 s) _- I
/ ^, @" b. S) y 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ( l& O6 i' d; L7 c, \' v- T
* a1 B; s& L; l7 { E8 {: w- p
& Y3 g, N' i7 l( O- N) m 8 U1 B1 W* j, H
' @8 Y; p; U7 ` 内网渗透! |/ M( y$ |2 n1 A# \
6 H; I3 o p: k! R - L8 u" _5 T" a: i* h' H
% K; g- f/ K4 b2 D. L7 }! [ & _9 E0 C1 M4 V; i M( [
) g( j7 w. K b1 b/ ]7 J# l0 e1 y7 z9 c win下搭建cs和linux类似。 9 y, m1 C( f3 W6 C# d
# }2 n2 s$ n: Z X- G/ N
7 C( D+ y, x: A1 Z, l u& w
teamserver.bat + ip + 密码
: c) V) K+ \2 U4 d$ S. ~
& @ F/ X4 x9 j( y" D6 M
$ {; H$ A& d0 k D9 [' z! N 4 K4 m* {7 `4 X5 t
" T& i2 \& ^0 b( m; g- K: m
+ C* e' R* n7 U2 T# E8 B6 L: Q& B5 P fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ! s* I. R/ D' X3 @
5 ?8 k" M2 c0 x+ m
: T! b8 i) ^7 I# s- D " H* `) k! R P1 q
) |+ l! p- b; _
" t* r# x- l/ T 8 ^8 j8 E* ^% x8 F* G9 ?
- S8 H- `8 x& ?$ E9 Y ~$ [" P' G
( D( B0 x+ c" E, q 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
& Q9 H" ]' x, I1 S$ H( D
2 M/ Y6 t9 x$ u3 [5 i* W& y( h + E {) p3 ~" S5 W$ F
% f4 f* o; @; [7 F% s9 q
( q) Q i# m+ g2 u! l 4 A$ A( Y, \, a7 d
/ W# K) N) [8 ^. X% Q4 d- i
* d: V- A. t2 ?& a9 t% _ fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 % S1 a+ H' [' x, W+ R8 X) T
9 r" E- |$ E0 g4 \$ i* x
& n% B* i5 f" J7 e# m. |7 H% k PACS系统 3 V- c% z u. e7 P0 u4 T
8 S: V: d. ?9 W2 Z; L0 e
8 E; ^7 N1 p! _ ' Z2 S2 @2 f( n c: w2 X$ W
- I* Q8 Z" e S2 K8 |
4 K" f$ G4 ]% k3 @7 I# p7 \
9 _) R+ c/ G8 l- A. l
" M+ [. t6 c1 `0 L- X+ [4 g + R8 D0 \0 s- K; m6 r; v5 X) q8 n+ S
2 h- l5 Q2 G. |2 l1 a' x/ R
( v% z2 ~( [* G HIS系统 * j1 K8 Y: j2 \
6 m9 t" E- ]$ L4 t/ o
& m2 Q% U K) n8 [$ P: E - s: Q( ^0 E9 i
/ Y; d' y$ d! i( G8 [7 N: T5 Y5 ]
3 w l; t( m+ l& I. |7 x$ x6 v 0 [, _# ?5 m3 i) I1 f7 y# l8 ~- O
8 |0 v# Y: J/ l3 i, r
. {7 E- m) W6 Z! [6 M0 W1 ~1 X 1 t; q; |( C5 O% L8 Y) q
! {1 e; ]/ G) I q) K7 R) n
/ d! x: x. `! R& k _& l 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 2 W. @3 q( ~1 W- P4 H" T" N
y1 B+ a( g' X j. k. ^4 A/ {+ c" [
! j& E, N3 G; Z6 W' {' O6 }
; N% r) S# S" d: } Y2 v! @# P
# x* d9 B1 Z+ X7 o1 C% H! r6 m% [& p0 Q" k5 H; j
' z8 B9 T, Y5 b( M/ U2 c3 G8 ]
$ f% c! s! {3 Q. v0 k 后话 , q! m0 l. m' C& {5 s
1 g* C7 }% T* B- f$ K* W
m" X n& A6 A0 E* Z 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 / k4 U2 O0 R9 g* M
1 Q/ s3 ]5 K9 Z& N! t
; O3 c) r: w; m$ ]0 ]# t2 R 8 J2 u7 ^0 v8 }" p' [5 m! \
/ E% `$ X5 n; ` S" d! n/ C + J7 \9 \0 K2 O
# v" Z( l4 N) B* @ 1 [4 t p* c% J; H
. ~: A' \7 Z& I) j" @" |+ W 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 # A X* ^$ K8 O/ [* }$ _& ?6 G& h
1 ]3 p& Z' r6 [5 D
$ e/ e _8 {) M * `. O3 l" V! k+ F' K* P: Y
& W; y2 t4 e" d0 b) b

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

; e* v: E, f8 t: v( l. k1 B% p 无线or有线% V( k/ X( T' I R: |+ h1 Q

' @8 Y; p; U7 ` 内网渗透! |/ M( y$ |2 n1 A# \