" Y9 C! j# S. N; f7 I3 Z0 }8 k- I; p: y
声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 + t# l% l. _' @5 I% K, Z4 H
/ f# i5 z- ^# s0 ^
$ S! X+ ?" n' T; R. r2 }4 ~. ?8 Z
众亦信安,中意你啊!
' w. P+ u7 w ~ : o+ b2 y- p' {" {) E, M) |
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
) X4 X4 F! P; Q- e( k. A* g, O
3 w+ l. G2 n/ @3 ?9 E* t" F, q ^
8 p1 T [1 `/ X( \ ingFang SC,serif;">1 e0 d" h0 R p. _
9 A( m% F+ K* L5 I$ C
' n, N' B% g/ S( L' }' x8 A2 M% Z3 ?% E+ I' N
众亦信安 1 b) S/ O4 ~6 f
4 L2 v: S6 J# f7 x$ e1 T7 j' u/ m2 U8 `2 R, |, @
红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 2 x& o8 _: F! [+ _
' N9 y; P! }0 A' C
: O, `5 b0 s! L8 q5 F+ a; J" X
ingFang SC,serif;">26篇原创内容ingFang SC,serif;">
. ` ~8 ~: r' t3 u: G& v 1 L e* H, v2 x' e1 e0 I1 h1 g$ a
. t1 o0 |/ [' E 公众号ingFang SC,serif;"> 8 z$ Y4 O' [7 e
! l/ m3 ~# f8 q) j- P) G& M
0 `. r' V" h, U
% F" l% z" c% D/ W
% h% W7 S8 T2 U" v: M" b" m1 |# d/ U
! A4 D5 n5 Y, D8 }( `点不了吃亏,点不了上当,设置星标,方能无恙!
" c2 N3 O7 _ |5 I4 k! U8 k7 a7 g+ {* F3 P. A1 J
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
1 e- e& f ^5 ]4 S2 r) s/ l, X4 h# W. e* y i$ C5 S
* g4 c: y e. s" q) D. a
背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。
: i, b2 m6 W) ]
2 T4 `6 d' ^9 T( s/ j+ k' y
% s4 k2 M! x+ _1 Y0 H , x1 X7 K% z, z- ^/ K2 y2 n
' w& m6 W3 {! }! l% l
; O+ l- ^; b# X8 i
5 f/ p( _# N3 p4 _9 H' ^
7 K1 w) Y1 C# k' Q9 p8 {: U 无线or有线& [2 r) Y" G2 d& p5 A
$ L W( i1 r9 L, e) y" b; C ) {' o& x1 E: F( L$ E" ^2 K
5 R" x) S/ v) s; H! L" j L1 y
6 R% p2 |! Y: N- z+ v
) _7 X9 ]8 T) `: O g6 Z5 [ 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 9 s, j1 S, c* v; D; S; {5 G5 {
- Y/ n5 m5 L' ]3 l
, m: H% G) q- w9 _ 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 2 V8 y6 e0 m9 c" z( l
' ]5 q: n; v7 K
9 S2 F, V& J; m: m5 C, l7 `5 X; _
; t0 v' R. b1 N
; O$ B0 @+ D: |8 \+ H3 M U
! |* H$ L1 x1 V/ T2 v0 v : `' Z2 ?& n/ p4 q0 a$ }5 C- X6 ~
! I/ Y1 |) Z* q5 u. I9 R, z0 W8 y" A6 ]" Z; c1 D. b! H& ]/ B
这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。
7 o( R6 `) A2 u+ W0 s' d9 | 5 x; f* _' J7 P* Q& _( Y6 L8 n& v
) |2 C+ f. B) ^3 T- a' ? ( h4 Y5 Y; \' w! ~& m
: U) \" }2 K5 {% b/ Z w
9 k* C J" H* R- Z1 L, u/ q* w7 L
很快啊,美团下个单,没得网线啥也不能干啊。(血亏21) 4 {- x* Z x' p) N5 c
0 j8 E6 g+ U" ?5 f5 {0 a
) s y% h) p8 x5 x* S0 \$ W + x8 C" g3 I) Z. D2 {
% V! F2 }* x* l! h) p
6 ]3 j! }) Q* x, y8 w; F8 m 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。
6 \2 P9 D: I9 z; ~ , ~5 T6 C( c8 }, I7 j
1 _: |, a2 d0 q; R
这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ! E# T) F8 O8 K% i$ ?5 R x
3 \$ }/ }' n5 v
! R3 Z$ J1 l, I# F' c 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。 ! B* c$ o. u1 O* _$ ^0 C$ B
4 s. M+ {- i' V" v! s7 S" y+ f7 k! s" Q
% |6 J; p% ]; J2 O 9 M8 E5 s/ [) d |) n' c5 j( G
内网渗透
' L6 V4 K7 d0 K: a0 P% e0 s# I* g . ?) h5 p8 ?/ }1 Q& d
F3 r2 C8 t) ^6 Z) l) H$ e
9 L+ G: w. x% z" I( l2 ^ 3 }$ x! v1 G! c O k- X/ b
% H1 V, Q' K& b1 U- [ win下搭建cs和linux类似。 6 U4 G/ q0 O G u1 G
. }. d% G1 j9 @# \
. W! q9 S B$ L. K, vteamserver.bat + ip + 密码 / j$ A1 t9 Z6 N0 O g# b* T: a
J/ O( Q3 h- [* c- q: O6 V
b: Z; a7 H8 y9 L9 F 1 T# V( u) b' x5 B! B* K! J6 K
2 _( N6 K9 ~! l" _# R' i
V7 P3 ]! e9 r6 P fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) % M0 g0 S4 l% @2 b$ v- N
7 R8 ]; X: y8 V, A; a8 N7 Z2 v& h r1 k0 A0 ^3 O) C
- Z$ N3 U2 h: I" s' @* `- c. S
6 L- b: c* T: }: e1 u: D) t- Q+ `( h1 [+ m
7 D8 J! p& o- s$ k N ) B, H3 G; J3 i3 b
" N- p3 l$ P$ m: X9 t3 h2 a: Z
通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
( p# p x3 o# @+ y" u/ v5 P9 r# J( A6 ` & D3 n V! U3 R, F5 o
0 u, N- T8 Z) K/ g" j, p
6 A- C& M& n/ ~( h# b
% z) c! n Y. [6 `; D5 F S/ Z
3 d A/ E3 C% v6 H# f4 B 9 x' U3 C) X2 d7 T! e9 ~
2 X" [1 U$ a/ Z& _3 o fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 6 \, s, [; S f# {1 G
h* x- U, l& [' X @3 \ e. n
& g5 C4 c9 z) C1 q
PACS系统
: P$ q6 w1 L4 b 3 i8 n/ E6 T( q, t3 v
0 I) z9 ]. ?! ?6 J0 L+ a & O7 }# I0 R2 M2 \; V( t
$ N' k$ ~" m7 f0 e1 U
+ e8 z8 _% W1 s, X, A% M$ E* l 8 ]$ N* t* m! R& f! Q: t" W$ C. D
* c: }" ~! K! |5 ]8 T |. V
+ L$ w" y8 Z, K& J: Z* I4 y 7 Y7 ~, T( R+ m1 b3 a
, q6 n& b4 F; E4 {4 S" e, ?) [. T4 C
HIS系统 # p5 W; K5 J2 I3 L9 U4 ~1 ]& Z U
# f u4 Z+ t2 N4 B2 M
5 a& G0 Z ^. u1 L. [3 a+ x % r6 {4 A$ t o9 K4 r1 B
3 T4 A7 l( U/ a" V, M4 ?9 x
! }2 z; h+ H3 Z9 B6 C $ r) n3 _ R$ j
. N4 ^* r: D U. y
" _8 o, ^" g+ a0 b
4 ]" n* q: B1 E# w
' y1 Q2 Y" m) K K9 S, m9 u4 G+ B7 W/ I" ]+ g2 @' Y* g
还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。
1 F4 k4 B9 _5 U: O; ? ; Q: j7 _6 G4 P/ t1 L/ ~$ f
& O. |. N' o7 T, L
) f% b& ?/ x6 }3 U
! Y5 T' l6 B5 `& J- S6 \ ?2 @. d1 H- h7 o8 o5 {! F) F
1 |6 c9 [; x; Z$ L2 Z/ o
" x* m4 ^ q! g j
后话 ( q2 D& N- ~6 v9 [5 I
/ N( h. a* `1 H
A7 V, G1 S) `2 ?. y9 z! Y; W
算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。
0 I; b0 J* v2 r3 `9 j
. p$ K& d4 f) }- G2 D
& I5 l/ Q0 |' o8 I$ I1 I) z& N
1 Y2 V; v9 {/ z; ]
) r+ \- d# C( w# Z, ^5 G: X
, P) D5 C# c% b
: V; v6 m0 t7 W q: R 2 X' K. T1 _1 c, ?
+ H) a5 O7 ?: c, w1 G& A0 |8 ^ 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。
& z$ H G/ t) ^
6 M; p3 Y. u9 S, s- U9 t3 u9 J
( X/ w7 ?( `$ P * k& l! b9 `% U7 `5 v
|