记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

8 ^# Q- |& N n* C- M: E% ]) _ 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 / x5 F2 K' @$ \0 a( k% o: F* n. g

& ?0 w7 p( r! q. r ~8 i 众亦信安，中意你啊！
* ~5 E* v* D( Z5 B4 C, W3 H
; t+ ?5 |; D7 U0 Q3 | ZingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> # _9 d( O9 V8 l# Z* }: V

' ]3 S+ }! G0 ]% \ ingFang SC,serif;">/ E2 r+ L: q4 m) {3 H g

4 Y/ D j/ t- J. v4 r
6 G/ s" c, s+ ~% @) G/ `) Z 众亦信安 4 ?% }0 r, {" }1 M5 `
% T2 q/ q* w2 R
- Y! v ~( B/ g$ D: Q 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 9 Z) r8 G b5 o H$ m
" e H6 I* @/ b8 ~6 `0 M0 S2 R
0 N0 T* O& f/ v ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 2 {# A1 d, a0 n0 X* v d+ r
. Z- ^5 F4 Y+ t: E2 @
" ?/ Y% ?' q2 |: Y/ g9 g) m8 Q 公众号ingFang SC,serif;"> 7 i' D$ E7 d6 R. r
, n( u+ [9 |6 [
3 B+ h+ F {/ T& N
3 S, D4 H- K, a9 z( O
' N) _! T# h, P # a; b# W! k; B3 G: N. F
) I/ O6 E5 y" ?8 _6 w& M
点不了吃亏，点不了上当，设置星标，方能无恙！ , i0 X. h0 v" ^- F; K' [
" n6 [# ?$ _3 }. u ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 5 o0 a% x; m/ J9 G0 _; \
& g' ?- O+ H- N5 W
" q9 j8 c* u2 s8 k( ?( T; G 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 " t$ ~/ |, l0 H# v4 A+ x1 J
" L3 |. U/ D7 E; z5 k3 S: s
" q, D) `2 m: i$ w1 Y | * U5 a( F; N# ~
+ M% _# I# u- i J1 `9 U4 N, B6 j2 m
9 Q8 R$ l4 Y$ D3 q' l% m7 d8 f- [ 6 T" |' t7 z* w7 r* d
' N! v, @5 B! {5 Z5 ` 无线or有线 . U3 }$ u- P1 \) V' o
$ i0 k; O& t3 S& }4 v) i# Q # D: T1 ]2 o Z) Z, q8 i
, Q& Q& { H; j. i, v0 o / y! H% |: x% y) x- `1 t
5 F$ l7 ~/ `4 ^5 g* d0 i' t8 J5 W1 U 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 q" O5 |$ g5 x0 F
- D4 W" g( l6 x7 |' R! K8 G. ?
/ E( G9 Y6 M" E3 y7 @ 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 * a! Y+ z# y3 Q) U w0 x- k
2 T; A6 s: z( J' ~. [) B
" `- q1 l8 [+ u5 a! T" R ! R6 H$ o( N9 Q4 _! [
( p/ B5 f. a* m! W; B; V: [
% I& K$ S( l6 a- c / o. j. y& \) G+ b
( t0 P) ?; v/ p) s, H! L
7 G% l* v1 u5 g( G3 h 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 6 o, ]% v: h0 c# G% S6 g8 P7 M# }/ ~9 X
5 y0 w6 b1 o/ b! x$ q
( D6 j: o) ?( @" s8 U+ l% \7 |3 ?$ V . X3 i0 \7 {+ }/ Y: w8 \" O4 K
2 ?8 n7 n) b& H4 G* Y a. P
9 h6 Z4 w/ q. b$ P, C 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 5 L4 }5 C3 R. u, g/ w( r
2 F1 F! P. y* j% @ D$ p
9 h9 i) @5 [$ [3 A $ |# W% X* A& E. M5 Y
' c! B: I5 B4 l) n9 M
/ }: W5 V9 k" K% n0 m. i 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ( M/ _5 X! a+ h5 [+ k. Q6 L' X
# b* c, D& ~ K/ R, q, n
; k& C- ?" @4 i; c 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 $ k# T! O) V. J' Q6 Q! {
9 \( E, T$ c5 L& o& M
/ E6 B$ X7 I, s3 S 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 8 {- M# F" t( C
" f+ Q$ h1 W8 B) `0 C/ k
) J Z" F5 O6 b) s+ C3 d 9 J! y: ?* c) A# r6 H4 O) n, ?
9 m/ U& l* P# N& S& g2 ^# H: H 内网渗透+ Y0 d4 I$ G3 Q) g1 |$ _7 a
6 }5 T; U. Y. z z0 N# a- @; y ' s( |% t, C9 j1 ~% `2 i4 r% l+ A
. ^4 z" L. d1 m3 Z 6 _% [" p o# u* i
4 y; h: V! ~$ C( p win下搭建cs和linux类似。 ; i4 J+ n8 ?1 A1 L4 I* `' E6 r
% E/ j8 j+ I4 x, c: p( ^' s1 _
6 E8 D8 S) [0 u4 J( g
teamserver.bat + ip + 密码
2 M$ K1 E1 ^* {. _/ w- P* X
3 C' r( Q }8 X# t. Y
* q* E, a2 X- b0 L/ q% I4 l / e# K7 d6 y: t1 ~3 G8 H4 N& F
3 e. z# a. n6 a0 _4 h) F; g
2 L% P$ l2 m. H4 W1 j% c fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） # R! j- z, y) R: { b, [, e
# P0 ^8 P& E y( E
3 H5 s- ?) X& S9 E , U8 }7 m9 m6 X: s$ |2 c
3 q/ S' D3 z+ _7 W h
2 H, S+ B2 ~" ~' u 6 l1 Q7 M5 w G) z. B1 }0 ?
! D. M$ b+ Y) B+ L& `
7 _/ U& {3 v5 @1 C; Z 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
7 v1 q+ O/ p O% t5 g- c
2 E* g V5 _; ?# B) G- ^( v4 o ; Q8 ^' }5 J" y5 ^$ I$ g
: t% |7 B4 S J3 b9 L
+ j& S" P3 @4 f- N% G 7 G2 a0 R& a. \$ T h
# k6 K7 N" O, N4 q
8 _* {: B$ Q; ^% p% h0 A fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 + k, q# K% k' E; W
1 x1 [1 }; D' w3 t6 x# x" f% r" i
; o( K! P3 Q6 ~. e PACS系统 - N3 a4 `0 w% U/ j% s
" Q( E, r9 d( S9 b/ E
& O; b0 c6 _7 N- d( K0 v ; T0 D3 N( H2 u2 c, c
7 w% D3 K6 m5 Q! H4 y3 j
* @+ P$ j# \, ?
- S1 H( p' O8 x" A6 x
% s* d/ T- d5 u+ ]$ Q, T! V 0 Z$ d4 p9 F3 g
, e" ?- O" w8 {& D" m$ j* b
0 _! j* L. a; Z+ f% F" e0 v HIS系统 " k2 F) |# I; O6 Z# R
- M1 I4 F; s. ?& e' m
) { }( Q3 T: d2 W+ C / e l- \3 Q- w# T8 G
+ a2 E# ^: \5 d& ~ P
) R( B* a9 D8 p, \. E7 M 2 r' a# C6 \2 }- M0 \, F$ b5 w
0 T3 h4 c6 d$ j/ p# ~6 y
0 r* f- G% [4 y1 X. v : @3 j! p3 B' Z- V
' k! l/ I9 l. ~% q
( q+ {# z; |. m8 D1 n/ ` 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 3 c% q# ^0 a" ^# F: ^! f' I/ Y
! E# o& n$ Y1 q+ r; \
; k4 i- p. R! \. A
6 }; H+ K$ p. [ z3 J/ i
3 G* h* d+ n {, P* d* X$ g/ B* B/ W+ h, [
2 I1 e- H6 n' R: t
: T a& F; F' V* F 后话 . \; C. n+ i" `
2 w" h0 V- k' f; ?# o2 d
5 V3 u) V$ m- x8 V# n 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 8 J* U- U% Z3 O- c/ _ |
0 t% W X! C% _1 k- D
1 h8 B+ s, m; e5 H, { / r0 i8 p7 `- A2 k5 _: D! h
3 ~7 Z6 g4 K0 l3 ^8 N* x. I6 A 4 a/ D( g8 B, h& U' H- k& q& H
/ u8 Y* C- ^' d ) S4 L/ Y9 T& e
6 f+ r* a6 O1 [) A( @# y' X/ G 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 " y p$ \- q ]2 p* I b. _
: Z) h$ `+ u" A* e. R% \
5 R$ `3 _# O( t+ N+ o" i* A& m ^ D+ u, U" b, D6 Q
2 H: J" X& o% Q

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

' N! v, @5 B! {5 Z5 ` 无线or有线 . U3 }$ u- P1 \) V' o

9 m/ U& l* P# N& S& g2 ^# H: H 内网渗透+ Y0 d4 I$ G3 Q) g1 |$ _7 a