7 @3 x8 S' Q+ \. e# W 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 ! S$ z# c3 O3 c/ g2 q
9 ?! A" m6 H4 L! l4 ?. `+ h& b1 |, |( H, p M
众亦信安,中意你啊!
# e. v' r! x3 J5 s7 {- ~1 {
! ]7 x4 O9 [- z$ V1 h5 L/ M
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
ingFang SC,serif;">5 _$ V5 O& p3 J% Z# F1 \
众亦信安
红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;">
ingFang SC,serif;">26篇原创内容ingFang SC,serif;">
0 ?# v8 i# S1 K 公众号ingFang SC,serif;"> W9 @% @4 [$ P& V" k0 s
* k6 y% C' @; J) g" O% i' D" Y* d9 z( E/ W2 R4 Q* y
, m0 ^9 j2 P4 R( Y, t
' F' }% e) K. d. _7 \
- s! V' |4 R3 ^; W ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
! V- R# V; ]8 l, w# U* ?$ ^) ~& ^背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。
/ @! w: n5 c" Z5 P( H; r- c! R. N: E: R- O# ]: m 8 k4 N) ^; m8 o1 K1 z9 g
+ u6 T. e# X4 B: o" J& _6 G& d- C* x. |5 T/ c3 B. ` N 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 s* @' x# E2 X! b6 p
) b* k) v9 I2 A, \/ Z+ p0 T' m 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 ; M. \- d$ j1 r
9 j8 a7 b5 ], U0 Q6 d4 Z/ D' u& K( K+ T; H* A+ g! {3 b
" F x( m3 p. Q8 u; f5 C ?* W& F& B
这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。
% ~% k) V2 a" G- P3 D6 N* X' r, H' n$ Y
) i: f2 U% n9 u0 R2 Y1 c2 a很快啊,美团下个单,没得网线啥也不能干啊。(血亏21) & o1 E, p3 _, C* I
1 g" ^( H0 ]# ^# t7 `, D* U 3 E* x! K0 m7 C! [/ j: t: Q& m
& b2 g: s3 d/ z 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 , {) S" Y( T0 X0 f/ e0 r% J
这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 " g) M, K# D& A! n
" i2 `1 Z+ N J 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。
! o, d2 ~! K6 j3 d! [0 C/ \win下搭建cs和linux类似。
5 @8 }8 t9 L" W, U/ H5 iteamserver.bat + ip + 密码
4 W% U' [' u! U Q
* ~$ ^6 H# ?, {6 x7 H
: A; ?. |- t& }7 ?, S fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的)
* `) o) Y/ q- }! l o1 o4 E L: K4 J; V! D. e+ X! t ; u) z7 v- S1 O8 Y: u; r: V' L
! _: w1 e; E. `1 v& @
& E$ c# W' {* J4 W1 x5 M- X& f9 l
通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
' S Q2 M3 C: G
L; S1 v/ @+ _9 r0 s; s
G: g9 Y9 V) \$ I ' O" r: r( E' ]6 O
7 @: g( ], ?* a( |# U1 b3 X. g fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。
4 {) p J) V) k, e( E( h1 Y# F7 MPACS系统 , ~1 A# e) K) ]' m1 C# g* y. e8 k9 n
3 V5 l& S" [7 ^+ `5 o- M+ n7 @( @) V! b0 l7 `2 z$ t" |& y
: t( K- u& ~6 K; \( f6 n
- T" i4 v. z7 H5 j
HIS系统
% }" x: A5 _; G4 A0 c# U+ j2 u) Z s2 d( a
6 [+ k) [# y6 u1 Z7 x+ c, P
! d: R' G* `& B$ [2 W* \9 L$ u' b( w 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。
5 H H' k7 e3 p% Q* t
+ g- [6 A# F7 W" T7 G. h" R 后话
9 u% E9 ?: W% |6 X2 m. `% A算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。
点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。
1 ?& f' Z. O# P% S' `8 z9 e8 |6 X 7 ` a6 K& i0 [* K+ ?
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) | Powered by Discuz! X3.2 |