找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 记一次某医院渗透(近源)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1601|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

0 b. V7 ]1 D! _5 |7 | 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 9 d- ]% P' |4 D- R# f+ T

& K% @1 ~5 h: n4 k% ^

8 h+ }. {' Z' \7 Q, `$ F" ? 众亦信安,中意你啊!
7 A3 N- s8 J+ v- g
! y# `* H) J) y7 ?7 ]$ |5 Q) o ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> , c* _5 R; F. a$ V; s2 W

7 @( W3 w1 {; d$ G7 K

1 D9 @# `9 e7 [# S: _( f: S) P ingFang SC,serif;">5 A( ]; |- R# ~2 M& L- I) _

4 j/ E: u7 l N( |/ O2 F
2 l, w0 P+ ~- Y E

& \0 r" B: f+ _5 x& F# h. C, L 众亦信安 # T1 x. N/ q e; a5 Z

- ~ D% s1 o, a3 i/ K

5 H" Y b4 H. m, K 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> . V8 i! c5 y7 y% |+ V& ^. x

5 N( F+ w: N, m; F

6 d |# i: m$ z9 i9 h% Q# S ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> - ?( ?$ B V9 h* `

. S3 ]1 D/ b! T" B. Q

: @- I! E) ^! g1 \8 x 公众号ingFang SC,serif;"> , c% ]. h# O- z9 Y$ t% r' d

& T7 v" r$ h9 L5 g7 f: F- `5 A9 y

8 s3 i0 X9 [; C$ K4 D5 c5 N+ Q
( H7 ]" e8 N1 |: J
) D" j5 Q3 e" Z/ w3 E+ Y3 t; H4 K( P" U$ L4 f" N

/ a6 y3 m" U, J( m) U
点不了吃亏,点不了上当,设置星标,方能无恙! 2 Z/ q) r, g1 Y/ a G- V6 o

# y- O0 B5 C5 a+ f! E ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  * [) c* [2 F& A) e! y) D

- N/ Q" P& m! F

, G6 z8 C! ]( P# i$ n 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 + X v+ G2 `0 j- d3 J9 d8 X5 E

2 @1 n" @ T- T B6 g

$ |! U2 R6 U$ ^8 G) X   5 j6 o% D/ E% k( G% m- I; C

% W& Z2 d3 h/ i! f2 G6 ]
+ m, u& ^, i$ Q' \ 3 `( X5 S8 J- u4 w: n3 q( e' i# l0 h

/ C% ~% s5 @: b8 c) O 无线or有线% z/ Q8 E$ i7 I( u' j

+ ]. D0 i( u% E$ {; l ! y& U R: Q- m
) |# _: w8 e, n; I4 h$ H. }) b ! N% z7 x. c0 [

- x5 f. B/ R/ z 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 1 k1 k* D+ V" k7 I/ d

3 U" _3 `( L1 _% i2 X1 R) M- x

; R, F! O% Z1 h5 a# Y- G 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 % F: o" M7 |$ t' B! p% A

; b4 r( v. R. Q7 b+ D' `, Z

3 q' f+ K% O, _/ y/ X vshapes= - i! J$ x$ a% p

4 {, [. @* K1 A5 x f

- f0 b9 C) ^1 ~* J- ~0 u vshapes= 3 D9 T0 X( I# t7 _. v

# X# d; R& {+ y. g% ~" u; k4 b

6 Z2 K9 O+ A R. ]3 O, q& r% c 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 ; E/ C" U! A& A

7 I# S4 S# l) D2 G) d- w, b$ V

, z4 p: m3 l9 O) X x, f' _+ K vshapes= 7 ^0 c0 g- U4 S' A6 ]5 {6 T

; B) A2 u, K9 a. t1 l4 f+ E% ~

1 \- F+ [8 r! q: k 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 $ L3 |4 ]% s4 r% Z: g3 ~& B* e

' q# M2 B: S8 s; |& s5 T

$ y. v* }! ~1 [# G6 d4 y vshapes= ' v- I0 p: q+ Y' _8 b

/ L [/ \ X# @

/ E* f3 U( _% N' u- O 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 4 Q' w; D C; I; H3 k) i

* \3 Q% g- A: K/ e4 y

! z% d5 \9 y$ ?4 Y+ z( ~ 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 2 X. i( [( {9 d0 C5 a, z+ i- U

' V4 ?- e5 X! |

4 d5 ^' |) U S4 b" T) f 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) # `3 ], b1 F7 h. y$ i

; l/ ?7 Y; X8 @+ g& c
( p( j0 ^5 A5 N# j # @* [# G% }" J1 ~3 V

% }) S" c5 |8 I( U1 ? 内网渗透1 W7 U0 O/ t9 \' k& J! k# i

% h( ]! E/ G9 T * g0 _/ D* S1 N/ q- j5 P1 F5 y
- f2 N: o0 a+ e* y- |" r; z) j 1 s6 Z- M4 \) p8 H8 F8 o

' X2 C5 F& d3 X* M/ Q9 b win下搭建cslinux类似。 z. \5 J" `5 Q/ ~' \

$ a% F1 Z6 E8 m% X
6 W, S, Z5 `0 l2 q1 w, _& g: N0 F5 N
teamserver.bat + ip + 密码
3 V1 s. C O; i' m
% }" F3 A$ H8 M" v0 h

3 S$ C. z8 c/ R: q) s vshapes= + W6 d3 F+ D! q

7 @1 d* S6 {2 @2 I

8 d/ P4 n1 j' N5 Y$ [ A fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) , c) p& j# P8 K" W+ `& _* {

& Q. _4 m/ p3 ?( t/ m

0 T0 Q. A4 {7 X2 @# I, Q vshapes= . n$ P" [0 K/ R- G/ p. @9 Q |' `

: r5 q* h U t/ Q

& c" q p3 U7 @* L3 i1 m9 g* p( Y$ w vshapes= 4 }# c" F) w A& _; L

- H6 @) T f) {* w7 z

- Q* F# e$ F+ w 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
1 @+ @% ~# _* ~5 e6 F0 K+ P3 s& s: ]
. L7 g6 }+ [, g! }( Q7 D* i, V' p2 K c' Y6 K

1 s H" P7 Q0 s( }

5 A( O1 t7 k/ q4 I vshapes= + }4 A, f; O" J

6 @1 X* _4 z6 i

' |( D, m) k7 p8 F5 v fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 " z4 h8 S4 J; r0 S$ x

3 l `6 n5 ~ c1 X+ D

* P4 c; T' U1 @. i6 W* b. C2 W0 y PACS系统 % B4 }" j5 O7 F+ _9 R% {* {

7 Z5 t" q; l0 z6 _

9 l9 ^" X J$ c1 `; J vshapes= 4 `2 h" z# D3 I+ K

6 C, h; K0 E5 h [

1 d0 X: ?/ q' l7 [ vshapes=
& {& |! ^5 Y: q
2 ~& o3 H0 a$ F, p, I, N+ K Y* Z3 `2 v( ~: Y" ?. R

1 n* x2 a2 m' l) }! h

8 e f4 K4 S' l; b HIS系统 4 j8 l( v- o6 B/ Y6 P9 @ K8 h

6 R$ M7 |# t( k! A

5 L$ g+ f3 s: Q `* r6 e3 l vshapes= 3 A- n' Q. `$ c* q

3 a3 O9 B$ k0 z6 L V

. c3 w# ]! |( a' `4 ]6 n, \   . g6 p6 i$ p2 J# x/ ~) ]

% U# ?$ H) B5 w2 K- r$ z3 X

& D C: A( h% C$ ^! [; a vshapes= 0 s) C% w3 k. r% `1 | m( S* Q

/ O9 B5 X6 v Y x/ Q

6 P7 O: @. m, v/ a0 W, ] 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 * x6 J+ V& q; N

) F9 M% T8 S1 x% F6 j

+ Q8 K w# V2 z/ A0 y
7 Y' Y, J" R" B5 m( `$ t- E
+ V2 @" s% l" a ; s8 p0 S! S2 G( Y, _1 [

2 x% N' `2 v% M' M

1 Q3 M2 O: M' D, ~& T# q 后话 ; i0 [" w/ Q) T

1 e' ~: P$ F# j; n# M

8 Q1 U) T6 U$ u2 r 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 : j( \1 v. t1 k3 `$ ?. \

1 h. T0 i( V4 R2 y0 }3 q2 `; [
/ M& j" U* h D9 V7 X; H 8 {0 g4 g& P* F# Q9 K( i
. P/ |+ X! d p% |5 G$ \ . I% _9 N& i# o% O
" c/ {/ T- y0 l4 a& O# U : F1 g2 d2 w9 G% g5 u

) ^/ G3 q- S0 x" \: x7 E& t 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 & q$ q1 y( k+ X

b7 d3 n x( V9 W9 ~& i

5 M' q1 N1 u. p8 v( X M9 o: k   / J3 a8 {% r/ Z/ Q" Y3 Q

& O) o, k# O- w; X; H3 e
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表