记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

1 u$ v6 o5 R$ T# x# L! K9 P 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 , N a2 Q+ `. L6 d

5 f' g+ Z7 d4 {8 D# p. {; H 众亦信安，中意你啊！
+ I7 g7 l" T: G: ^: W
& s% c0 a6 c+ [; mingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 7 W/ f$ B1 @( D" f

% k7 }* o f* ^ ingFang SC,serif;"> # \' J: `; t2 Y3 @5 J# v, f6 k

0 T6 X H t* z1 n& @
: Z" P, U% j& F$ w$ ^- r 众亦信安 5 J3 R" E/ z) s3 O2 Q# m6 w
9 H& C7 g0 N3 r6 w# T& Y
. \- E" q; d; I9 W3 [$ @ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> & l' \, H% }/ Y2 H9 J0 Q
) q' U9 v1 a. P" g$ r9 D# r
1 _. G, P' i% G& p" q2 r1 V0 C) ? ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 8 ?( A# D' p5 Y5 h, o V
3 {+ ~* N+ c% ] @+ w5 G' h& S
' j6 Y; ^0 _# }0 v- ? w 公众号ingFang SC,serif;"> 8 D& G/ S( @% x3 ^) ~" m4 b% ~) @
. M9 i6 t7 E# B
" H, {/ c+ b& L$ Y
, c2 K& j' m" J$ ^9 u+ I$ s" t
4 B k& M5 E. m/ c5 `% }* \ 7 E+ Y, s2 d/ O. X
0 t% I4 ~3 J* p7 t
点不了吃亏，点不了上当，设置星标，方能无恙！ 1 m/ Y8 Z. E8 a+ q/ P
" Q. W3 m- P8 ~- b* v+ j ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> $ o3 p" [8 B1 \ u$ t
) J7 S) [/ E9 e/ e
& i& Y9 P; U* {3 I 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 4 ~2 k, s: \6 b4 ~$ w; ? I. a% E
7 I8 Y6 M+ M/ d! \) {9 a3 O
% Y% u% {. W8 ` $ T% D- K8 j6 I( F B( Z
# }. p$ d/ T) |
/ T/ P0 r2 v. Q0 t, W* C% R ! z8 [) e, Y' J# M2 ~7 \9 n
X- V' \2 _+ N; [) `* C) u 无线or有线' Z& |1 i# H: [/ Q+ ?. f/ R& x
1 [1 d- B& E% {3 U' g& ^' z( x , n5 n4 j0 M/ D- }' V8 }/ w9 t
3 x. h7 {4 I2 J0 N 7 @8 w" k5 `, T& U- X$ t
8 q/ [1 M6 p( ^. o( n3 g 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 6 n, O1 h. S' A& V
m3 n( M [7 G% c
" g% n `, s. }8 X5 x 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 - u) D1 p. W* m) ^! l# b
" f" G2 C4 L& ~2 {* J
6 h$ r& o$ h7 _0 p7 ^& x 9 {( j: x3 a$ ^( H5 S0 i8 j
1 y2 Y; c/ D T( _4 |( B8 a, Q* z
2 X2 g, j4 ]0 N1 x8 Q$ m ) c' l% j0 {3 y% \) I% A
: _* p# k: Q) g: x
9 w- k/ t$ A7 L8 P0 K! s& Y 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ; U4 y6 c, x4 {
7 i6 e& P9 E: k, A
, U) P1 e J$ t" q0 a / a5 }! p. I/ _ L1 Y+ e
/ w. l; f" @ C% c
1 b) e& q( s5 q 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 8 q# i0 z2 `- i
3 w9 q% s$ a c) L
* V4 b- z* K0 g* S" `5 u . C7 g D& m; n
& ?* B. B4 r8 O: l) ~
: ^+ E0 b( u! E! i- K 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 7 ~4 g( O- {4 m/ E
2 c' ` ^' p$ } |+ c6 c
! j! Q/ o7 m$ w! y6 ?' G' z 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 : y5 d* I; {# L9 `
+ t" N1 v8 ]. z
" D; m; A8 @ [' g+ H' n" J 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 # z8 J- W+ U: P \ _
+ i$ K' f6 F9 b. J
- E, g2 @2 S9 D$ j" D 1 ~; ^8 C& w. D8 \& Y g
9 d! r1 F# Z0 e& Y' z, w 内网渗透 + d3 Y; D5 J2 F' s$ ~& N
" T! c$ X! j: \6 s- N& k ; B2 b* e# I+ J; c- {$ f# ]" P+ t
6 n) h9 L6 x+ p/ U4 q/ g+ q. n8 V0 [ 9 c, n6 z% G/ j, F9 s8 K4 I" C
8 C# L2 _0 k$ H% \ win下搭建cs和linux类似。 5 Q F. u5 K$ Z0 ]
- L: ?: {! v- ]: i- V- x4 S1 X& Z
7 c7 t0 J- S2 X7 O! L9 r$ X
teamserver.bat + ip + 密码
* j# N8 U2 }1 V- @, q
3 `) M7 ?6 a) G$ J$ [$ D
7 ?. ?! i' i! p2 L1 N% g ! m, |3 I: \- s; Z/ j) R$ S
2 d; G# c* v+ @$ g7 I- d0 h
1 J' A$ F; x- y/ \( T fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 8 h4 A, C) @. D
/ p/ E {' |- z
1 i5 H' R8 }; c, q# T 7 E$ V7 E: u0 A1 Q- |7 _1 A
! P( K( X2 Y* \! q
# X$ E7 e1 T. P2 @, Q 2 O: c; q& O& v/ r. _
# Q% q$ q0 J2 I! P7 X; {) |8 {
' ]3 |( K% w4 {3 i2 o9 L 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
+ p' f& B( _1 S$ g6 e
& }. U' h/ b& U8 d. Y% d 0 b/ e2 u+ f, X: R& T5 X
. ~- e+ c. C, q
6 g" H) t# f1 T 4 m4 G& `7 q h/ B* `
/ }6 S# p' @+ n8 {/ {* C. U
4 Q6 L; Z9 Z6 m fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 . g9 Q0 w9 [, K
0 K+ l9 V7 Q" \- e7 Y! f- H
& q3 Z$ M% }2 Q" e% @: k2 B& [3 S) i PACS系统 / M) J, ^- @( S [ G5 u: D4 R0 f
& I+ x; V( c0 U# c+ z( o0 v$ E- h
4 y4 c; h. ^4 M1 c / @, s7 l9 D6 Y6 `# x
. q! z- l% Y. K5 R9 y6 n& D& K
6 [6 |8 y. O& R) L! _/ L7 n1 j" ~" H
! _! [. w/ Z: ~( S; P( M
8 \; L: s8 C' a& S5 l7 h, w4 V5 I : Z3 k1 P7 E9 U) V5 n5 R8 W
- |$ i' |1 L/ Y1 u7 M. c5 V/ ^
) ^2 o7 y; O; f7 u HIS系统 5 g5 c% [6 T7 T+ l% A" x
% k8 J4 O0 Q b3 r4 w' ?
: I% r9 j M; B+ k : P" [$ l* q f. q# u- M3 j6 G x9 @
; G% t( M# O2 e6 F
7 ^2 g2 N$ c& }5 p2 P8 Y ; v! C1 M( Z) e5 z* E; `
8 o6 x1 a# `& C$ j1 d
# n) q4 K9 \$ |: ` & X4 w! P0 R# {$ ?) I$ {
6 `( d( ?) ^6 H& Q& _" a
" }8 b/ W" F* {6 l, k; V 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 2 ]2 J/ p' J l8 s8 i/ g O+ G6 h
, h# D: t+ S7 x3 |* D
6 \$ `) k1 ~6 T8 R
% @4 R% m. ?( c+ w/ s6 C
+ @( `7 ~( I8 }0 h5 r' n0 ?, C1 K$ F. a- ?- p1 `0 v. V& v
3 Y% A! W$ M+ j3 p4 G' ~
* y! j) W J! f; d e# l1 A- _ 后话 + i1 f' [. @* i" P+ m+ ~$ o k% g
" ]0 W+ H! I G9 w" E1 S, E* D& Z
0 ?0 Q3 K5 H: x$ S. ] ] 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 8 B5 U3 L8 X; a) ~
- W5 r7 `1 r4 |0 x
, ?! t. |, D* V( V! q . L$ _$ t" J% p% a2 W: O
+ s8 \" A! {7 S7 G. [5 H . \$ R; p2 W) q3 v/ G
- t# N& ^" r: @' f* X3 C6 H. ] ( s4 X" h3 n- k' g4 h
9 l5 v8 G8 O+ o/ \) f7 n! z 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 2 J) T2 B4 ^1 c3 G5 v7 w6 q
' b% L/ V+ P: g7 z% ?
T! f9 w0 |* W * ^2 V: P* q* N
# x0 U+ Z A3 w& p" p

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

X- V' \2 _+ N; [) `* C) u 无线or有线' Z& |1 i# H: [/ Q+ ?. f/ R& x

9 d! r1 F# Z0 e& Y' z, w 内网渗透 + d3 Y; D5 J2 F' s$ ~& N