找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1936|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

5 f1 M( ]% W7 @/ e/ K1 X* j 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 2 m) k% w. e/ M: `* O* v- t8 U

0 D' P: o: Q) `4 e7 W+ g

3 P! j; o4 l. R2 H4 Z 众亦信安,中意你啊!
2 M1 y" G5 s( X! g8 G1 F/ y
- D, k- ^2 [0 y. Y( B; ~& s4 f ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
, m' H, ]$ | q. ~

" b! I. D: d) T$ Y g4 J! x3 }

' S& ?" z+ L+ |6 {2 M. C. E/ }. O ingFang SC,serif;"> % L; a( y7 v1 y0 w, R

3 @' E; _) o6 Z
P4 X$ [( O# X4 G

4 `0 B U1 h- V6 T; O0 |0 X0 D 众亦信安 K& e6 _8 ~5 p$ ~0 B, ]: V

; n% J& H9 a- [8 N( q/ q0 v

: \) y. J- o1 H6 Y 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> : x5 u! g5 g& C5 A) f

- O! O8 J5 ]+ B5 O+ V7 H R5 N3 ]

) i- |% j V3 D" c ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 6 i5 V' _ ^! a5 {. U5 j

4 b8 t; h9 {9 u0 @

' A5 t4 u+ o" X) y' L$ c" Q$ l, ^, G 公众号ingFang SC,serif;"> 2 Z* @9 m1 r4 U$ n* a0 M$ m8 X

4 t! |9 p1 m: B& k( @

. [7 g+ h' a% p
9 Z9 s0 d5 Z; d! j- |, v. u* y0 c$ D
6 F* V4 o0 s5 w. o% H- F) a$ \
! O4 T0 U% S- Y4 d- _

5 K2 D* |- N! t% k7 B
点不了吃亏,点不了上当,设置星标,方能无恙! 0 U, y0 M$ H5 L7 Q% D

! W: S7 `: V. ~9 l ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  9 P) }. m; t; J9 ?

4 H3 W) N& H* \

& z/ d5 K5 t" C* J& _/ P 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 $ L1 Y5 |, A0 B+ F; P7 H1 o0 z

: Q+ H* R! W2 h$ d2 L7 c

& d9 w1 c' a& c; y8 ?   " L: e8 Q. d4 ?

- |& B! z7 J+ j, l" Z% Z
2 B) N, q, y+ d D6 h7 | + v4 S/ X& [; K0 Q, ^# K

% _* R4 T, g1 k; y: t) e8 A& e 无线or有线 ( @# M) z1 z" v

! e+ _5 D' I; V8 {; F3 d9 o
( [4 f9 y# @1 c( g* ?2 Q$ c
. n" W; a2 m9 t+ D& Z 9 p" n0 |3 [. L: Q$ z1 o& P

0 j( V8 ^+ J: V, A0 Q) q 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ) U- t+ _( T3 w. | [" `

3 C- Q; S4 {: S e6 ?

I5 ]) W5 C+ C$ C5 O. J. Z5 g4 O& S# M* m 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 $ N5 s2 a) n2 F4 P0 u2 o

2 z; j2 L$ }( [2 k

; A3 A9 j+ T& g* ~, o vshapes= 9 F K! L y8 I

8 U3 f: e0 A% x/ ]* b

. V: i0 v2 {- M+ b vshapes= + ^1 \8 c' U- R- z4 o

8 x( t/ [/ o, K8 C5 c3 W

- r) y/ l9 N( N* y5 F5 R 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 9 _; h+ a5 V( m$ l

8 y d$ {- a/ f

! _+ T h! H' D0 @# S) h vshapes= 7 [+ ?* `/ D% h5 X# o' z

7 g3 z! G9 O$ [4 c: d

% z) _5 v- w- B( s* ~% r( N4 c 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 ! u1 x/ k# d% ]& L

3 P2 o: `$ z5 n

; c+ R) p1 m `* _: }$ U vshapes= ( [ f) Q2 Y: T9 A4 D5 ?: T% I; d

5 F' Q9 H, q7 }7 o4 W2 l

- G; Y9 |0 I1 w- E$ y4 E 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 / ^. A1 D* U! l

" S8 t3 h, f" b- Y, n j2 @/ L! p

$ H7 P4 J, h8 [) B 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= + ^5 G4 V" {+ T- p; x G9 a9 G1 X

) O1 n2 K# C* f7 H( E; ~6 z0 Z

& `8 A/ \# y: Q. V+ b 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) 4 b% P6 \7 i) A8 C! Q. r+ K" @

1 F: Q1 O7 S6 \* x' |$ o1 F
# M# Y+ h7 B' ~. E# a8 `: Y4 M8 q ( M m8 ~. o5 `; G G: w' U

* J q; A9 b) I n8 J 内网渗透 % G/ o: _ q3 u& I3 `9 K# k' `4 j7 }

9 t2 x+ J% u7 K$ w5 m; Y
9 T a( F% U4 q4 _
' `& E9 g! N! F' s ; A! O+ @+ X2 p, d0 O! i, M

+ |; o+ u) M! s B, [# H4 o6 I win下搭建cslinux类似。 6 p2 l: C1 K7 B. V

. a1 Y& D- C/ ]& p
' b: p, U, g6 ? i8 h$ ^6 Q! Z, C
teamserver.bat + ip + 密码
: U, ?. G; R, G: q2 Y* U/ Z& D
4 F! r( F* y/ {! Y

9 V8 O. S7 i+ l u- q vshapes= 7 B+ l7 h! |3 t8 W+ ~0 G& x

# [+ L$ D" |: {* j

1 o( U8 S% L5 E fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) % A8 x2 C8 ?5 l: A) n

0 S) u" G, n! U2 {4 w$ c: d

$ w8 }3 H% u) s vshapes= : C( a2 T) @- r

" Z u7 K: A$ Z

! y$ Q# R# y- [ vshapes= 3 I. I+ M, w. Z2 }( B$ o* |: Z

* q% d1 e9 ]; A) j1 Y7 F

. s* L: [) E* q# @& g7 i) @; P 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
( L1 W+ v% b6 {1 V# Z4 t8 J R
5 _6 I1 L: F+ z6 S5 l
8 E s, q' P0 o! s5 }" ~7 ?

! u3 B! C6 a( [0 k7 `9 Z, G

* P; g. @( L4 g/ c7 D vshapes= : S/ y9 k) c5 ?( Q6 [/ T

# [# l5 C4 W; z$ P

2 @* y l6 j) R4 i$ ]8 K fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 6 w' e; K' K3 |2 @% w

* n+ m$ e. }& c* g+ f

3 B, X Z5 J" |: O- x PACS系统 7 Y8 X4 r% [$ Q4 T6 C, t# q6 M( \

( }$ H! V0 _ T, y* E; U

3 i" w- Y J. Y: a5 t. a7 ^ vshapes= 1 L2 B, X9 N6 k9 Y

( k" x: ]4 G/ n, \* S l

* N8 {: [0 ?/ L" {: |( t* j* p3 u( f vshapes=
/ d0 m8 f8 J3 c) |5 q6 n
; |7 L& R) N; n! {/ s4 S+ ?! Y
4 f, a5 q2 H$ y! t4 Q9 @

* `8 L; }( H- Y

' R& N9 d; a8 P6 n' a HIS系统 8 }3 n4 M1 F$ m" j& w

- _3 Z" v% f) p4 D: G

8 _% o) ]4 E& \7 _: R vshapes= 9 w. F" o' J) i$ e2 I2 B

. t1 I% H( G) W0 ?1 w

+ O+ o' @7 M7 Q( ~$ L' j+ o# x   ( h0 e3 S: a" d- C5 _9 X

8 X O1 T7 B6 R8 }8 G+ O, L

8 j3 \; o2 w4 P1 ^ C vshapes= & L) f$ w) J, x. _* A; q7 M

& s8 k9 x$ A" ]4 D4 T/ `

9 \/ b( }3 `) f' i) K/ V, E ^ 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 " B% t% I m- ~3 {% r! o

* X+ I) {8 r& b" q

+ S& r. Z) v- Q! E
- i3 |% L0 r: {. @( D. ]: g/ k
9 _; b3 Q$ \- E1 `# t( O# }
& I4 G) d) Y( u) A

/ _; d: s4 @/ [' f4 R" r

+ e/ H' L' m) z4 [6 f- B3 ^3 z z 后话 . e- z0 D- Y2 d

2 o2 e( c5 j/ E) B+ r

7 Q) T" d* e+ f 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 ( z1 H# G: U3 k* m R. C

7 i: F0 E' {. v: m& s* D: Y
1 h+ D) H- r |1 K/ G , L4 v5 b- Q, }: F7 n! ]) v
' h$ @% d6 F7 ~- U W
0 Y: _: M" e) q
/ r) } e7 Z, I9 h h+ d 0 D# P, t: F% Z @) [1 L0 j

) q- P( I% Z, C4 y1 z+ j, o 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 % R' a6 ~. \8 Q3 r7 Y( w

" @% w% i/ q% ?, E) m2 C6 m& _

$ F, J4 v: T8 l. i+ E* d   2 `5 b' B2 K6 E5 ~7 F

% _) x [2 v. j8 N& V0 }: W% g
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表