记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

, l5 v6 S" N9 v6 t4 G& d 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 . U: B/ h6 b$ J. T7 Z) W9 I7 X: ?7 {

$ s( ~7 Q0 x1 q9 @+ h 众亦信安，中意你啊！
, A! Z7 g, g) s7 h- g
$ C$ o; m% R# R7 C' vingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ( h$ g5 |) @7 v" D$ X- J/ {% T

9 x# K% k1 S1 k* R8 s) O9 U ingFang SC,serif;"> ) W/ b( ^, j8 ?& {" y0 N! k6 ^

& q# t1 k4 W4 D
* p, G- J$ g/ e6 s1 U7 N2 H 众亦信安 , R O% q, @ ^
3 M3 [9 K5 f$ }% C; ^; x* |/ T
1 u- F+ c. y0 {6 U7 N, f0 t 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> % g- T I' c/ t- \" _
" \% F% h6 @7 `9 b& L5 P" G, v
3 e9 ?' U& P+ A7 Z" |" u7 @6 H- f, d ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ; p+ x* D! C9 h5 X. P
L& t* E' Y- v! o
4 K4 d( A; }* N& K1 V! o5 x- U F& s 公众号ingFang SC,serif;"> . k% Q% o# U9 B
- Z5 {! y1 C$ e( {# v# w
. `% e% ~1 @8 v+ b
1 A. L1 m9 [3 U
4 r7 F9 m2 Z# U+ {7 w ! c/ c6 @* {! Z( v0 |/ K
7 U* R8 d3 M" ]' b$ G
点不了吃亏，点不了上当，设置星标，方能无恙！ % R8 ^/ a" M! }+ t6 R+ H; }5 N
: Y" O" C* J" q7 u7 D2 V# y6 u ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 1 Q$ e7 k; _4 c6 M" r* t
. n+ O. L8 E7 {; o+ m, u
' ~; H8 X; o6 N; j 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 * Z- J9 F9 ~ ?3 C2 t* Z! Z
7 @+ i7 }! j6 s0 B" e& e1 |
/ e9 T. }/ H1 b 6 z/ F+ U7 M" e# d5 ~% t' g( a1 |6 y
& T, n% D( X, J/ b7 R8 ~
1 w6 o) v" m; ^* B1 |1 Z- M2 ` 2 ]* ?7 ]1 W$ J# J4 Q% U U2 o
0 `1 z) G% j8 \& Z1 z, F 无线or有线 / ]5 V4 v" R2 y# J! ?
+ q$ f% B l6 H " E# w% B7 |! Z6 z" l5 h# G3 w- Q
5 {$ \4 W( d+ Q3 w8 T- {! T% n6 u " w1 s: f! {" R8 j! B
; s& s) j0 g8 \! I ] 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 . D4 O; k- o2 L- W0 S
8 K" U, g# ?' F
' `! w: P e! G 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ( s$ k7 I7 I: C, d. l
% }# a" L" `& R& p
3 M; b u6 k! |& L ! ?& Q2 B j- }# l. {" R' c- m2 Q3 m
1 l( E2 d3 y9 Z) ~. d1 k$ @
$ [) A4 j7 _+ V0 G! y, G1 ?& K 3 n3 i% R- _# r3 w5 q
% W( m- D2 z* u) n! N5 p7 G3 |
" B7 S! _# ]$ m1 Y) g- w 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 9 X3 z5 g0 \8 v
& l/ |- B+ J8 Z
+ F. r# o, e* R0 _+ t ' ]0 c/ `% l8 r8 [$ |& x
, r: P3 o5 F& c1 {2 y" _
& \2 j1 b- \* |1 } 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ) f& v c8 U8 r+ [* J3 b* C
* U% Y$ L* x ^/ V" `0 @ q6 F; ?
. z8 \' H& r ? ; X0 K4 \% |, b f* a+ n& c7 J
3 x0 n& H' l( I/ n3 s
7 @# J9 k$ M7 |1 ^ 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 8 \8 o9 p: i# e g& B/ L" b
. h" J7 d6 W1 d; U, D
/ y2 {* A( j' R2 {& x/ Z 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 , U0 x9 ^& T" h1 X
% r& p6 p9 q# F# e) H
9 m+ ], ~/ _6 e3 b( w4 n 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ) F* c1 [/ V, F" K! L. m3 _0 V
. _" {# r: {- ~# ~$ G6 V0 h& L
Z0 @7 d3 l! \# x1 w3 D+ `2 O # H, _. B8 v* x4 \
! K5 b8 Y% ?0 D* W8 I O 内网渗透 . k# q1 {* P3 @. p/ j f* p
* ^2 ]# Q$ L+ ` ) w6 K3 P, I2 X/ i
* ]9 l) j5 h/ v$ r& @- ^ 2 Y- k! S' S7 K7 P7 x' k
2 n2 O; z2 |4 k8 u+ y$ f win下搭建cs和linux类似。 " h% T% l' t9 |! x' h2 v7 P! W. b
9 E7 j6 g3 q2 Z
3 t0 g5 _/ X; \4 ]* X
teamserver.bat + ip + 密码
, y% E+ x+ x9 C# U& e6 F
% a% m+ j8 Z. R* x8 L+ X( `
. c2 O& E3 S9 w; n8 V, z + L8 d6 @. k# s3 N& P5 C; C
+ a8 d+ K/ v8 p7 W4 y
( F9 Y8 d* R: _6 W8 p, q2 A fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） , h5 B" ]4 Y3 Q
7 L9 |) Y- E" e7 G g
% P$ \0 X2 y0 u( P1 r 4 U% s: d! z& Y; D! e
$ }5 F% D; X# K
& T. n& l1 s* `3 b 8 v. V- Y; g( S7 ~2 w% ^9 [0 k
; G% j% X @. ~' M" C- {7 m Q$ W
@2 G4 z# G! ]+ p9 p. T3 f 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
! M7 `3 D. I+ S
0 K" c7 A" {: {6 O3 s ) I/ y" T( u9 z. r" x& E; S5 _- ]
4 Q O; x5 r/ C: z3 J3 _2 D
6 C! Q- r' ]/ d- S ( e) O3 D; [# o, r
! G1 \2 `( B" a! Y7 d
( ^5 U4 p$ c0 \/ e! F2 h% \ fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ; k6 M7 u( _7 N7 @
% @" A; f4 u' `( r$ t _
$ }4 u5 L$ c' c. b PACS系统 + R( }4 |! ?- G
# p+ u2 {; Q+ Q% p0 P# h
) i$ o. M# t. n% D+ E4 A3 \ % ` X4 P5 V/ U
( w. ?4 Y z8 H) _7 B" B
& Z4 y3 W: k1 v5 U. w/ Z8 d. f" B+ y
* U. E) _. d, Z: V. {
* B e& ^3 c! }8 R2 F' ?7 o* @ ) x B. Q- N& \; P& W
: F2 T4 A& o1 ^
" N5 K2 |' D1 G; K HIS系统 / ?$ m0 Z. L( {+ O$ V/ h7 @
0 f$ A, D9 }& }0 k8 a& g
+ z+ W0 c! C1 O+ r2 w 4 ^+ g- Y. g$ w( H& V) p% }
2 e! R ~: G T7 D; y) D
( g/ U( i7 b1 q# Q ~5 x6 Q6 [: g3 n9 @- X
' f j, m- W2 |3 s. O$ w& w
9 L+ {' X* p& c( ]7 v C6 E1 C- Z+ q3 D/ `
) q: i: h2 N" v+ F6 ]* L
% l! m. P# _& i6 C6 _ 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 6 T5 d* P1 x( ~( L/ o
% u T: s# T4 ^: m* A; P9 K
7 R$ j% x/ o4 K J2 S# v
3 M! W" n3 M4 a z! h
$ B% s$ N1 H: ]! C 5 N8 j v3 C! o
5 }+ N8 z: D A! D! J% Y% P
1 z3 V: [% {8 J1 R 后话 5 E( G) J4 @5 H* O: c7 ?) P
, s$ v. k" ?0 `# {0 d* S
7 J9 W$ W2 n7 |3 A3 f 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 8 I$ Z4 n% f( V" a/ w9 V
+ h2 [, K+ y+ e T) o7 F
& f0 c; L* |9 o* C D6 x( X ' \" A/ d( V+ W) t
- ^" L; \# \/ f6 U / N* g7 k, n/ e( v ^
, ]8 A$ M/ s- o$ X4 Y3 V 9 A8 c+ ] Z$ ~! \, C. c0 q
- C. D- M) m% Q7 L% ] 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 4 z4 b0 S7 F7 L- X0 r- J
- b3 N$ G8 @3 q0 A7 j1 y
' ] l; V. U/ y% G) s' `& `# p! T- o0 R 4 m, D4 `% q/ T9 H! x
9 c R/ v8 N& Y. s6 L

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

0 `1 z) G% j8 \& Z1 z, F 无线or有线 / ]5 V4 v" R2 y# J! ?

! K5 b8 Y% ?0 D* W8 I O 内网渗透 . k# q1 {* P3 @. p/ j f* p