|
) ?0 t5 b$ i$ @ 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 5 o7 R5 U+ F8 c5 t- h9 s
3 A- u* W* \( c0 P
# j3 v2 `* Q& o 众亦信安,中意你啊!
( _, {- T0 p# b! F+ A- `
" M6 c5 c! n# K: w5 S1 B( uingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
' h, Q$ Z' _! A
8 _2 p9 e0 Q1 n# k# A
) ~' @3 B) g3 ~2 ~ ingFang SC,serif;">
0 c4 \; S T6 i n* O ) m! ` B- Z) F) H6 z2 T* U, b: h
* Q" G. x. ]0 q# A9 V: a8 [
7 z4 d3 t' F/ u- Z T
众亦信安 - |; R4 z) p2 C% h) {9 O
- W1 e+ O, P) E8 r& K% N6 n; B8 |, A( c$ D5 S5 {" }" |- P
红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> : x8 z- i; u9 z/ h! [
2 R% ?6 V' @+ ]$ _
8 c: |9 w: N8 V; P5 O ingFang SC,serif;">26篇原创内容ingFang SC,serif;">
, Q, s6 A% |9 R1 d* q ( R5 `) j2 P! P
# s5 j: C7 o8 C) D. ]! m 公众号ingFang SC,serif;"> 9 c' \; E) \/ s. V
% N7 B" L$ U% h5 k$ {. f4 i/ ?. e* ]! H
# s7 ^8 m, F; {% I7 u
( Y/ X3 Z) `/ Q; P
$ A2 t5 v* F; H+ f, D
5 e* }% b1 O4 V5 i) ]点不了吃亏,点不了上当,设置星标,方能无恙!
: }, l; j- I. q
4 I+ B2 [4 y; i3 M9 N ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
9 _* _# P: v! h; `, k- k: h6 Z: V, [5 |# A' d" r7 X4 C
6 m7 X/ X( I' F) y% d
背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。
& J( u/ x4 D- G$ @ z 5 a+ A( O7 N& t, j
% P$ p1 `& W* T" w
6 ^4 ~% ] x3 Z0 H$ g, H 4 r" j+ c2 }+ g; q
. f- N2 k( z: ~: L7 I/ u3 R1 i9 B$ R' {
# b; j0 w: U8 z" \ 7 K% G( T5 I, o; v3 ^0 t, T
无线or有线
H. O( v4 t: T4 t' x
. c" j9 z m$ V6 ~+ g9 G! @# h
& X) M3 `$ e$ a" M; i% U - b8 G# ?& K" Z" r8 ~% r, \
, r5 `* h! {5 a& }" g: b% H
. w$ F$ V& O) g; q( f 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 1 {) \! J) l+ w) z& p3 N
! C1 q8 n Q0 D" U! P. i' L; g5 L
, l3 B. i) c }
一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 # Z# b& C/ X& Y' X& @+ x
6 A# B8 L- E/ v+ S$ O' w/ E2 } F& T) S# v8 O8 e a o
 * W& ^& s+ r# [ |' r" V+ t
. g, Y A k0 T% r
1 c9 `: ?. j# N1 W) ~; k
1 \; r3 S8 Y6 a6 p+ R! z 0 K9 ?: h3 v3 m3 w
! O( M/ V* L- \* ~# U! i C/ \
这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 & N, I+ K) E# O! w
, R, ]+ ?7 w* w5 l
6 u! S% z6 ^* z; ^5 P 
: ~! L) d/ F& ~ # a7 S* U, P. h
1 l/ c, t+ K4 D% Y; i/ g: y7 {% M 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21)
) q6 w! q3 t9 \2 y/ Q - n: ~, i. p8 X; b' ~: `
# E5 U. V5 f+ Z" u  3 k% P+ N7 ?) d) V0 ~
4 S( j" |! N; f3 H c4 h( n
9 @& }) h3 d* K' Y' \6 U( Q0 \4 C* @+ b 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。
+ C0 W0 v! X6 C3 ]* ?5 z( X; Z
1 d0 _9 _+ t! I& w
& e3 B- R, [4 m$ i$ u3 F 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。
- a3 b N* V1 t1 h
9 P# a8 m2 h2 V5 |; q2 R$ V. f8 [! q8 n/ v8 ^: S/ i6 A" W* |
一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。 % i- T3 B0 ?* ?: Q( b
" q! x [% c( T. t3 e) c
B- f! f7 ]6 }* Z- N
, i$ ~" ^) a# }: [
( Y3 L( M. [* a5 g3 E/ @ 内网渗透
% \% T3 _% D' ^1 M
0 b, n8 S; X. _" n }- I, I5 f
& q3 _1 x$ z6 [3 Q0 t, a$ V, {( U6 C 2 \& ]8 Y, M" _( ^: V) |. D, }
d5 Y8 S" n/ I! G/ V
9 Z& {. s" L0 L
win下搭建cs和linux类似。 5 E6 Y7 T. Q0 Z/ \& T5 x+ R" ]7 V
/ Y2 V/ s. g9 E; Z- a6 ?/ \" [; w' w" P4 s8 _9 r9 g
teamserver.bat + ip + 密码 0 Z3 C7 Y; ~) B: i
* o+ e7 y3 \9 e- [" ?
, v" V& n2 |! N7 l3 k9 r 
8 t: E0 H: l# `
$ ?$ l. ~0 T' E1 N1 h- l- j9 m3 r
( e/ F, Z( m5 D6 J' T/ A fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) : R# p* s# W+ I: ?+ z" n$ M4 I
k# R4 `& Z: F6 n% i
8 ^% q( X+ ?# M4 {9 }: ?2 ?
 # b1 l+ n8 H+ w/ _+ C8 F
, c' Q2 p6 |- M) v7 N
8 X7 A" G( Y& a7 d. b  v0 W; `# W+ y
! k) ]; d; U, m7 X, b
. }5 h1 A5 e& T8 b% r1 _* z
通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
1 G8 Q* @, H6 W. o2 F( R
0 w( N; O d. [( |7 q$ L/ `
' X( J* J3 Z" E/ Q* V. h
; [) L. H- S& x8 u. `
. o% |3 j; \6 \# t, a- p, c! t  * ^$ n3 E2 f2 N0 _$ u x. N
1 v# X$ x. R# N: P/ f
7 M6 U4 f b- n5 E
fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。
! b$ j2 m: `9 G2 D) Q
. h) A! n: ? a K' N8 R% B) K" a) i( {) L
PACS系统 ( y, v/ x0 [4 P
, H* \4 d" ?0 C0 m
) ?6 w3 Q# a/ z7 m# C: K& z3 z$ Z  + C! u, W2 Q! _% v c
& c% T/ o" }5 Y I K. c9 I! S! A6 y$ X
4 U% I* t' I Z0 A' u' s. {5 H
* T1 U* U- o Y/ b6 B4 A5 r, A
- `* p" G2 O& e6 p " x/ q. \- C+ [5 w" g7 s( B. }
8 A" y& R. i, j! f
HIS系统 5 o3 {1 C3 ^' X4 K! a
# |6 X S% Q& y! M
& V% q2 ^$ k' k) C 
6 L; n( D5 w" q0 v3 g& a7 U( a # s; U4 c5 S* ?
& f. T" B7 c/ e$ _7 K [8 b
, }2 }6 i! u$ f
* x0 z5 v/ N' o2 x
" O) q" K8 C; H% D- o; O$ n 
$ H a) b. ]$ H# @9 d$ e) @ ; h# q4 J! p$ S/ C5 s
{$ S& u( n; B/ P
还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 ( ~, |2 k0 {. E+ q1 M# U( d3 C
6 X! m% h5 n( S7 f1 ^
8 [* H* N" x- f/ ^
2 ?5 J( U" W4 t' e) V8 u
& ?+ O1 }# V! @* w
V3 R8 @7 W4 o9 i4 C3 q+ ~ 1 i B! {/ U4 n& M4 u/ Y
7 P' c0 B( \$ \3 J; F+ ? Q# C 后话
4 P e5 g5 S' D
. W$ D. K- H9 ~2 `1 r2 ]
% P% q& \# Y" o& |9 t! k) x 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 # W: S" n+ E/ C5 {0 \
; c7 Q$ ^ Y. g. |
+ G, s" B" x6 Y2 O O* l/ [
' v( [3 b) h1 j
& {3 B+ ~$ n, Z* Y/ S; H; X, n' d ! m$ ]' v1 c; V& K9 S
+ h% P. t X3 }0 @0 t # d% i) L* b$ i$ |; v8 J+ ?
' n/ W5 D* K3 x, I6 M) [ 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。
/ `1 V0 E3 u* u; \; v' v7 y ) `3 m: t# ~( g9 c) R5 d0 I
" Y1 {) A Y! A4 y
8 W9 k: d8 J* A7 p
8 @$ u2 T ]! F8 z, g |
发表于 2024-3-1 20:15:03
收藏
支持
反对