记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

$ k7 R" [% P9 @+ P 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 1 N9 Y9 k1 |4 Z8 |. W, W9 H

& T. ?7 B: \' c' b 众亦信安，中意你啊！
4 w a Y; z/ z* r; _( Q/ @( C
- l! U7 m7 m# x3 M$ k# q& Y0 e4 b ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 Y {" M: I/ M; P& U

; c0 X1 y& ~9 z) g" k ingFang SC,serif;">* c1 y$ \# i2 W; J% p. M2 a; u8 n

. y) V F. y/ O7 B4 C
* y$ U4 i( W3 t 众亦信安 8 Q; O5 E. V7 G# k
$ p& Z5 z+ N0 t! A' H4 T% u
$ R' u" j _* m 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> , e/ W3 E A0 |1 G# ^
, t- v; z L7 C; A
3 o, D) s& D+ V) ?0 O+ y ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ; K, E$ p# h% C; U
, o8 |& s$ x/ w8 k+ \# @4 o
3 @1 w5 u, J8 g2 x" ~# c! y- h 公众号ingFang SC,serif;"> ; Q$ v8 x' i) L7 C2 b" J/ N$ H
6 e+ D( |& l( h; G. k9 L
3 N' j1 y; ^! }5 w/ S, h
s% K( Z; U7 L, s$ o( o* G& v
% U& N+ t. q2 O , k8 I) l) j6 r
3 b# j+ a: Z/ k& q
点不了吃亏，点不了上当，设置星标，方能无恙！ % s4 m8 z6 M5 w! f" V/ y% |
" z( v, C# @2 q/ `4 x4 T. J ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 0 ^" E8 } H* f, s1 u8 T. @3 H
7 Q- d6 b$ p9 ^# H& C/ i
* }. }6 x0 u! m7 h; f8 q 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 " {$ F8 z" F7 f5 n$ l
+ D" J& I5 X0 Z% X5 ]
- I0 p+ o# i1 R7 z* N 9 R" I- w! S+ O) m
2 D. j& R1 m d; G2 E
+ ~5 N0 R/ x; H: @- q . A9 d! X# D# ^2 w: l) i! Q/ [) X3 @/ T
; t4 }6 D1 I; L6 J: G3 C 无线or有线1 o( e, K+ p" E8 k* l0 B5 z
7 j( P' Q, P* r' S4 I: z) E . }0 e5 }3 N1 G% U |! a- q& d
- v4 Z2 ?/ ?! }# b% N: z & s0 z8 t% V9 q9 S0 j
! T" c7 S# ?6 p0 ]2 k3 l b) j 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 2 z" [ G% _# P3 {9 J
( ]7 ]3 D8 u1 [9 i
3 q$ C4 O( @1 G+ C9 o( c3 x 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ! K# w$ Z# \& ?7 ?5 n/ c& _
3 x! {& R j/ R9 ?+ Y
' z" f$ T/ V# J+ p6 g+ \2 v& h8 s! h) z # m/ R! R `" z
9 S; y |/ R9 l! ]: {. M. k) U0 z
1 ~' D E8 W5 b$ b y , ]4 d( S) @) x |
. e1 e6 P7 Y( o! d5 ^7 i
! J3 R& t4 X/ m/ Q. ~3 Q, y" c 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 7 S* D+ i8 y, D) x4 p$ I1 k
' v. r8 J! o/ Z1 _: [: Q
$ h) f! g3 e, _- M7 u5 a 2 E. R& g! j; J
* o' k$ k+ O1 v' M9 P _
* f. u8 N8 X+ G 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） + Q2 Z- R- I) }5 V3 f
/ H2 B$ s. a6 j) ^$ X! Q
4 e- z% {( ^3 _2 q$ |' ` z6 F1 _7 B' l' @; _4 M
0 I& o1 v& A% ~( d* D
4 X) Y# y/ ]: b: I( S3 ^0 {" k* o" p 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 , L0 y/ {6 p) D9 i+ W; x
% S, d' z8 r0 E
! |8 b. d2 A" q+ Z9 I 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 " |: H5 d- Z- X9 U
8 b0 X% k# a# A- m, k
$ n! k' f N; L$ Q& r2 p8 ]1 g 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 & P6 c4 s" }1 i$ L' G7 Y$ I A
2 I2 R% X, G2 l9 ?6 H
: A- k8 \4 T" _) b9 ` 6 T* f1 s& @3 T/ F
: F8 R4 e) p4 u; K! o: c) T 内网渗透" u& T; \# u2 l0 K Q. K, N
! B/ ]4 t' F0 |+ n: O7 Q* h 8 l9 P+ t# ?. r% t/ a1 F: v5 D
! u; a2 P% a/ u & l; H, w2 R9 ^, P4 ~, K" w
# {. N% q1 L( Z$ Z, h win下搭建cs和linux类似。 + u6 v a; I, ]* @3 w, L7 b
" f2 Y3 l* i) d8 r
) P4 P3 d: m' B: g+ [" s2 t
teamserver.bat + ip + 密码
, g/ R* Q& G6 P) f H1 f: i6 a
% p9 ~7 S) T. L7 R$ w1 r- P
. \5 U* Q, }7 ?) M' } 2 c# l# S1 p8 _# i, V
" P* H$ W& [6 s# R( F/ T5 _ `5 V
: l9 w) _3 U9 R8 @1 p fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 0 T" [6 Z$ n: L
0 X! X7 q( K+ ]4 R e- R( y
9 } ?5 M6 }+ l- t" q - F/ k1 Y9 w# D$ H! e8 q3 Z5 J* u
6 m1 I! Z/ Q( X
" H- }; e. [7 a 2 N' r% V; z9 F5 n, ^, V/ F
$ |7 P/ r3 t2 {- ~7 Q }1 c R
% k- u2 h5 r; b5 w 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
' t& |7 d* @: A/ {4 v4 G. E3 R% R% K
- a$ A9 q- j$ m: D6 q4 O) v5 p, {3 `9 d0 i* ~
# C- k4 e G4 u6 G5 o
5 u. X* U" y( f( h ' m# q+ X" b- U0 e/ K
. }8 F% q/ k' J$ `0 K' l
# @5 n# l+ Q& n$ s4 w fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 7 }" g7 V& R& @
) A" z' x/ U, s z# b0 R+ `' L
% l3 }/ |. C, S- l8 j PACS系统 + l5 q- ]- f4 U/ P9 p
& c1 a1 x' r( a# e4 P: e
. }+ M" ~# N- O 3 R {9 r6 P0 G. \3 s
' K1 u# S, x& |" T1 g) y
' x M2 y1 E! n9 R
& j, h- Z, h3 l& u; K
! D& N% g2 ] Q; N ( a& Y6 L% B1 Y
9 s8 n5 ^' W, T% u- j6 S* z
! m* [" C/ F" l, t HIS系统 0 I2 }" \0 I/ C
5 ]! g( h" i3 e: `/ \
! y* I; [0 s* K/ s ' P/ |' V; M% C( e+ U1 m: T, K
1 N4 w5 ~/ W4 _$ L5 g' B& G
* ?3 N: F0 {% D; a2 w , _0 O# R( L- G, s0 _
: A$ M `% K* D& A
' a" b$ u, g: `; v4 \! W% h: U % }" U Y- [& G
% o( y2 A" \1 [% S4 M
5 v# g3 b% A# f0 O! ]# _ 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ; D1 i' B# k b7 r
2 d1 B$ k4 c, X! G0 o" n
* ]# m, A/ |* ~. ~, c/ }
6 W0 o+ o. t6 k u6 Y
4 P- O$ p* x4 y' P9 P 2 a. m1 X. L# I+ ^- j% t1 ?
9 I8 F! }8 d! [: }. n$ L6 |
: C% d% Z- ^/ a2 t$ k 后话 1 k6 i7 Z' G& x; D8 S* J# O- x
N5 ?/ z) O9 W) o& Q; @
6 C2 t7 q. e, [# V% S 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 $ w3 b0 F- x6 o4 x7 [
+ C n9 q3 ]2 Z0 {4 j! `4 k
E9 \7 z, K4 ^4 h# t % O" x+ h$ {3 ~. }- x- ~0 l U
2 _) @1 W2 ]7 K/ ^! C 1 K& H3 D! ~+ ~7 c
7 M5 l. p$ {! { ( R* T8 z" V4 G
+ _1 S& o9 l+ K0 i( v/ N 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 % ~7 D; X7 i6 L
' G2 q0 m# `7 k( D4 Y
4 r9 m& ]1 b8 d- w1 y1 H! |; p7 c # a0 P9 c$ t, t
9 g9 Y" R z4 T# j" z" [5 w

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

; t4 }6 D1 I; L6 J: G3 C 无线or有线1 o( e, K+ p" E8 k* l0 B5 z

: F8 R4 e) p4 u; K! o: c) T 内网渗透" u& T; \# u2 l0 K Q. K, N