找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2160|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

4 I0 U5 v* E+ [$ ~ \, Y7 c 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 + n) Q9 F) }. l* S! ?

$ l% f2 d8 r/ t* m, t

! B6 }; J/ c9 j4 u1 u. ^" W 众亦信安,中意你啊!
3 T4 I1 @! k; a
% u k' P J) }ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
l( r( v4 Z8 g- C7 t- R j1 R

# h W; e8 l$ I' ?- ? X

3 S+ Z* ^; J, A1 f9 L2 U ingFang SC,serif;"> , j( l' y, ~% {0 |: I3 _6 C

$ Q) `& r& N" i5 w7 M
) T4 b2 K( ?# [8 G

7 n! T* K$ p$ _9 w 众亦信安 8 w& a% J/ ^4 O' t) i

3 f! s# k5 q# z+ E5 w/ ~

9 u# d3 U& v" M4 k 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 4 t0 |+ l1 v/ ?) K

' v9 E: j7 u/ S) X A

6 l# }+ N" S5 b8 M ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 6 o% y2 r/ h' l( ]: G# l2 K

9 X8 @3 |9 e+ H* p7 {% D: @- `

+ V$ `, u+ o# d& A' P 公众号ingFang SC,serif;"> ' n4 } u, }* G2 h( [

6 K0 V0 N8 d' ^2 ^0 }

( i+ y7 _$ b, K; D
1 ?: t9 }% h& z, _
4 R% y4 f6 ^+ H j
5 }& E) g4 i0 H% L( N& W

2 R) e1 a' V D g
点不了吃亏,点不了上当,设置星标,方能无恙! + q; h U7 D4 N1 n, \4 L: G

$ c3 K: z f. D9 m/ f ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  8 i5 R _/ n: E7 v% [. K) t

- L4 m- n( @$ }& X# O2 l' t

0 n5 M6 X% i# Y3 Z* H2 k) B 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 : o9 O7 V; `, [& H( H8 Y3 ?+ _

0 o: B% s5 J) b: r4 Y: u

, _0 {1 s2 L0 o9 W- }2 `   7 E1 Y* l I0 d0 W- D2 L: [

; A, K3 F7 o: \5 g9 H1 Y. G; W+ [) t. m
/ `& r2 G2 L S9 I/ r! n) g 1 T! I) p6 M6 T; T" N( ]' E

2 M; w4 H# V, G; j# f0 v+ v; F 无线or有线 / k4 v9 ~ S9 Z& a' K% x% `

+ S K1 Y2 U" A0 H
4 O: G2 q' J% T f: A( f9 T7 ]
) Z8 s$ t& |* d2 b+ L2 l. ` 8 D) t4 x7 ]8 v4 v3 K

& }. h" K& R/ j' [1 e6 k' [4 [ 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 q& @% H' l8 F X

4 `+ L6 f3 x! L# B4 j, d- j

6 f. ], n! Z. o, \ 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 - W) T) Q; O6 r, @/ z8 Y/ O

7 n* w+ R/ o9 B

2 D' V, I. |0 y) z; b& u, h vshapes= ; L4 g2 l1 j3 u* A

* g: p5 ^& A6 v) F& _6 `8 t

9 S9 |2 T5 ]( w8 ^, I% U( D5 N vshapes= ; a) a- Z% i8 R; F" q P9 x, ^

0 |, R/ U1 ~6 I2 P

! s, k: Q4 `4 H# Y 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 - F- k: q% g; o, x/ F# D

1 w. g1 U3 K: E

% _+ p, m& m: N! }/ S4 i vshapes= ( w( b) D. h+ W

( |# L8 d; Y* T% V2 ?; p

! D4 Z/ Y& z8 {7 C( C/ A. g 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 7 R) |1 |& v, G

3 h3 a: j' ^$ ?) {/ }+ d

1 \* u$ K7 T4 \2 a0 P vshapes= u J6 s- {* n/ S

) l" ]% f$ ~; r3 Z, {' L

' C, z2 d+ b I( z" t. k) { 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 % E* \0 f- W$ s# l& P% x

# H; I( Q8 T0 J7 `& D# s1 L

# j$ p# }9 H' d/ W4 |& ~ 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= ( @) s/ a7 [* m1 ]0 A

! L2 O1 i# Q0 e% H

/ h, O% \+ g2 y; L 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) : N% V4 `5 j6 E: L# j

9 z8 K. s8 F. ~0 I
/ p* K0 t2 l# }! v 5 J. u6 c1 s3 n1 r- n1 v `' s

) ]4 P/ {( N$ |; Q) Y9 x% b0 W5 X 内网渗透 t8 e* _( h% |2 v2 r7 T- R1 A; z

6 x8 T* C& W- h
8 \5 n# \- X8 }# e
; w3 E, O7 D' A9 b% n , B; k( t" W/ w2 r5 G+ S

- L! R) ~6 K9 [ win下搭建cslinux类似。 0 n# h* L0 {, P+ I2 X! `* |. x

* T' _5 } R6 W+ [# X
: v# e" G& R- O# \1 g
teamserver.bat + ip + 密码
) I$ ~) P5 g) T) d6 p0 s* R$ c
) O& e1 ^: e2 D! a4 f0 T" w+ L

* N( ^) b1 Z" a, [) G) ?4 y vshapes= , j, l! m0 U/ l1 v' E- D

& ~# e8 `$ R6 _% a2 s4 F& V: t+ V

4 ~! m* [. T0 r fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) ' i2 G9 P) \! j4 R6 S

# ]% u4 i: @; y( s* h

9 J) e# }! [ c# L7 k9 ~ vshapes= , ^$ n7 r' N5 ^& W/ Z

# l' c, q4 R0 H/ @% n; P

4 b+ B t: w0 n& I, @* W% M vshapes= 8 I. u, f- N# p0 v/ g

- X% a( b" d8 x+ c/ h! P$ D" o0 A

& D Y2 R& F0 A- q6 Q 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
. U Z2 S. D" ^- G/ l4 f* ?
c% o. t& O+ v
" b$ e, O( Z$ R

3 i7 `9 |, r8 `8 F

- B$ v" O+ |: N' b vshapes= 5 o0 T# ]) D8 u% q) j* b5 m

S9 @6 W6 }. |5 G+ k- N, b/ U

8 T. Y, t @. o0 a fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 % }; q; K, Q, M {

1 A; ~3 @/ x; Y8 s7 T9 B

! l4 y0 N1 N i5 x" V; b PACS系统 % Y$ d5 I8 w$ b9 H+ [

/ r1 @: j* R( X/ w a

' e4 }5 q* _3 R# U4 Q( [ vshapes= # S4 v J1 i S) a

, a* b9 H/ J P5 E& F3 G/ F5 d: t

. `* T4 t {+ g5 Y8 E7 p& T% K vshapes=
/ w" O! u! P1 [# u7 F% X' e$ u$ m$ m- s
7 f1 O2 P0 k, N2 E' N0 X
) `0 x( v9 X9 S' ~

1 a1 p: [# s7 V( k* j6 `

1 ^0 K3 {' ]6 e) ~ HIS系统 8 d, m1 F5 h7 C R" ]

$ \' F, f( d% p' |- z5 X

. x# ~4 V! L d; T6 r0 ~0 b4 N- w vshapes= " e$ B4 j9 I' s# O, o3 R6 L7 a2 V

7 z, D, Y* s/ a* y" w5 V# b+ [2 g

5 C( L* X+ O8 I6 Y7 H   . Q/ O2 U$ `. w0 {" }

4 }7 `: F2 w1 z: W* ?- O" O: |

' w* v2 v9 R' |" d vshapes= & o) w' t' d4 w; {( D/ ]

& g H T8 S3 m; k; V }$ i

# A2 O" L: v2 G% t 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 9 ?- t+ M! P2 I3 ^6 G- m! V3 v7 {4 J

* J" g2 ^0 N* l

1 k/ v; T v0 `4 p! N3 _
" W9 c+ x4 ?( g ^
+ Y2 k" |9 c/ ~( ^) }0 l, A
* E8 A8 v2 z* j0 O# c- n

- n+ c% @; S7 Y7 T/ K3 C& q

+ y3 I- d& Q3 P- r, G* a( y 后话 0 x7 _ u) V4 e j

8 l2 x1 f+ t( t# E$ F J* c

6 t$ |3 Z, n5 K+ R* @5 k) q 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 / f2 h% X! O1 `- ^. d- z' e$ h1 X

5 A8 b/ y" ^' b$ `
' j9 q; r1 f3 O0 m $ p! h+ S- X5 h
$ |0 |! h4 z# X
; x- h* Y+ ~; ] [5 z
# q# e$ A& ~ `) ^& s" s 7 B$ ~6 D+ g4 t. u9 M" k/ k7 L

$ i; w# |! k3 ~% ] 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 4 {! v) J( x5 H2 I/ f( O4 g

. d! m4 d/ Y; {

' a" E2 _, H, ^1 _1 T   ! M- Y+ ?2 X6 A( g) p

% m" U9 w. i8 N5 O
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表