找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 记一次某医院渗透(近源)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1609|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

- d- m2 V" n$ _7 ?5 a- J 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 B9 B( W5 {5 s

. D! t8 R8 B+ I) T) k' q

1 q/ W7 a6 b" O 众亦信安,中意你啊!
; i! f7 p: o7 Q3 c5 G
. M) o. K/ ` G; fingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> " d! R" A+ O) D

$ E) U& t6 G% M

# Z$ O" f$ k v ingFang SC,serif;">) Y" i* F7 A7 e" R

0 G% u8 b( f# K) {3 T
& I% [* n* p/ W! ` o3 J$ \

, K2 v* M5 Z) A0 l; U& h, F 众亦信安 9 k' G2 F! P" l* F. v

7 M( _" W `& J

+ ~/ w0 [/ h' x' h0 }; J 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> . E. [1 ]9 Q5 |+ U' Z e! ]

- R. z; j, q6 k ~( g+ E _! i) z

# E1 T* O9 K o% J* } ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> / S9 ]# b' m N& f

) D }, a5 z7 ~+ v. B0 l9 E

+ O; ?# {& v. F7 D 公众号ingFang SC,serif;"> 9 G+ N, F9 U I+ R6 L6 Z

* H( r+ [# v, @, J9 E- E1 m

" Q, v; X G; V8 U9 V5 j- j1 B
. |! A- ^# ?2 r9 h$ ^1 o) B
1 O; D2 [5 m; h: n % a$ Q( l3 F7 O5 ^& ` `, j' p5 w

, E4 B* f; T8 K4 i: `% G
点不了吃亏,点不了上当,设置星标,方能无恙! & A/ d: m' |! Z0 Z

1 o" N j' n. m! g' O ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  " R# s# V1 C* Y) k+ X; P( Y

, K \8 n% q: D+ a; Y

" f3 F: U! q' I3 t" q1 ^% c9 d0 Y 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 8 J' ]8 P6 C' k; V: W2 Z, L

% y/ p. ]0 F# E, K0 @ U0 m

: X/ P& ~$ b' @   * ~9 C% p3 o1 n$ z

2 U4 n5 p5 N; ]' E. e
1 i# R2 s5 ?- h8 `0 G1 B 7 Q7 M6 W( m+ m3 [, H1 l5 O2 a

7 }: z# A& y6 J 无线or有线8 ]5 b$ C/ u8 w* z

! E; U' K& d5 D% Z 7 x f$ @: f* j6 _1 ?& H9 l$ b) Y
" r( k; T2 |: Y8 F; {5 ^" H k; C$ k! \* d 7 {0 p, X# T; q( y, F7 U4 r

9 ]) T; h& b# c 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 + w- ]3 Q) C1 c4 f# L c

! e- s4 O0 v- m( Z4 `3 w6 t

" H! X7 f, ~' ?* g n- _! o! d 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 6 A3 {0 p3 }. @; w

: _& o$ e" D9 ]& R3 k

; K, I" }0 }9 x. s$ S vshapes= i9 Z# V0 r4 c3 E/ [! T

- o. c% a' H+ N9 l) M

7 _+ w, v; e% B/ S vshapes= ! W7 F% O4 Q* ^, l6 w$ X" s: K

8 J C. e' ?. J" t1 x

' W# L* n, H/ l$ z 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 , y/ _ K/ H! j4 f+ E9 Q+ R; U9 }

* G2 i& v/ _8 o, s

& ]: ?1 s* ~. A( C1 z vshapes= , L. b% k& Q7 y8 [& @/ p) g

5 ^9 E$ @& \# ~" V0 T. g

4 o& \0 c- D/ ~1 j$ ? 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 8 G5 d7 g+ t7 w I% l

" G4 |% k) v5 i, i& y3 b5 G, s

0 d) [% }1 y/ E C9 n* }: b( `3 | vshapes= ! D D% B( T( g- w" _2 d( D% @

% I& o; H9 w$ M9 k4 p( G+ T

1 i2 J0 v) K* |6 z" i3 ] 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 7 P; T' J5 m$ V9 ~0 c7 ^* _& l

6 k: ?# A+ j7 c4 B3 A) Z

3 I- R: p! K U/ } 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= {% g$ {4 f- E U; P

% w/ \ p# C7 `7 `$ c0 g. l2 |

- P/ L V6 D C1 N 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) ! g! i+ P& {2 O4 o

T4 v }- D6 }1 o: q U4 d) F
- q# r1 V* h( [; d" |/ b0 P! M + x C% F; a b* B |! \" i& H4 P

: A2 U' B! P' r9 r3 L9 Z1 J 内网渗透 9 c% X* I+ F; f: x9 U9 G" y

' l; W0 U5 E$ D6 ] b c w2 ^ 8 K' H+ u0 L# x0 _. H
" j; m. r) f, ^0 o9 G7 L9 l * B9 C3 S, A# {+ d/ i5 |

* m$ H! ?- o1 r- [' ^# \& r win下搭建cslinux类似。 + l( G* ^# G: f! N. B$ T5 ~/ O

8 z6 H2 C* j; T( I
' W! c3 c! C- F1 C5 d# C 
teamserver.bat + ip + 密码
; Z# C- q* T! B* l( ^/ Q% B5 z7 b
: F. e/ O( n3 b+ t7 t3 p" q/ N

: u. ^8 k! R: b3 ^ vshapes= # t1 r3 _9 @+ d+ \7 W

' ]0 K# s5 w$ A/ S3 k2 L( O' r3 u

/ }' e* K3 ~' o5 p3 k( T" z fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) - i @: O+ R: X7 z5 i9 \

6 c+ a. ^ v% q" a# `) C0 H) D+ z

, p3 {+ [+ R& E1 p# V2 V vshapes= + W# s: D2 U& X$ a. a' T P, ^

! S; y3 U, o( H+ A @

) ^+ G6 X0 W; h. N2 B, { vshapes= " } @: J) p6 j

+ W' E1 l5 ^( s& n/ Z& ?: Z! Y

* g9 ` ]5 `* d! h' a3 J 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
8 K0 S& {7 Q8 `6 u$ z
1 |8 V- d5 ~ w& ~2 c 1 w% x3 N& V) V

2 k9 n! V9 C5 Y6 K5 }# h

4 [: F! s( Q/ U5 q6 D6 c! V% B/ U+ g vshapes= / v, w4 V8 _) G/ |$ J) a

0 M3 O4 R w: X, `( p: `7 l% `

$ |1 Z! x% b% z+ g: ^0 w fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 ) Y: P3 s+ Y5 ^ @9 E' f) f

; G5 p! @/ @. k3 x

! ]9 v, c! u0 M$ j5 v1 Y! z PACS系统 ! i0 c/ O, d, E. {% E

8 S* J" r- Q2 u2 b* d8 S

; [$ i) c0 ~, d5 {& S2 R( W: } vshapes= 2 q8 ~# j" O5 K) C2 g0 s6 {

. T) {6 S+ t6 X, f% k

, L9 a7 `9 t7 ^6 N! m/ Y vshapes=
6 s! S, z# T' z$ ^& G# J
2 `, p. J9 P. p5 r& r3 E* H / ^1 e; e; U6 W5 H% U6 C

/ P0 P3 f- M& T

, ]9 M" G+ A) b% w, E% h HIS系统 @$ o; }# h% X7 x$ H

$ a8 `7 _) z$ Z& q/ \

" D, m3 U1 s6 v% Y vshapes= 0 A J$ V+ P- k

1 {: S. U1 S: L: S! k# v& A

7 Z$ [5 u6 n0 ] t   2 y% M. p, P8 z/ S" a. W" u ~$ V' y

6 c2 v- S" G( i5 g/ ^

7 K$ ?+ ~" G0 V, r& [/ e5 `6 U5 I vshapes= 7 Z- Z+ N) [' X2 R, t8 K

+ P/ y6 l; n& ~) ~1 l

' u" w3 [7 D9 O9 U! c, R 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 ( C" L9 b8 `4 ?* b

Z% K0 k5 Z8 z2 N- t

6 o- e9 ]& k4 q* W3 k- _
. B& Q: c0 w5 D+ \
( G# C, m: v$ \4 a" I3 g+ Y2 u5 y% G& Y& ]

, r$ X7 y- u2 Y5 C! j" D

$ f& y" A$ A3 C6 y( Y' T( G 后话 6 g4 J: E6 Y7 i x& ~ C( V

. d2 T5 v+ \6 e3 A3 J) v

2 y! j0 q& o9 @ 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 9 {* g4 B: R. ^$ f0 e

7 W- {2 C) r, Q' d! T( @
1 j8 T; P; d4 ]$ ]3 N" c # m0 j7 |( v3 B* R) C( F% d
' o, u8 N9 T: _& N' F, O ' z# O& V' V( B. T- i: s
6 m- Q" i" m5 a6 Y) Z & @" W5 w: S. ?5 H* G/ u: d

2 z, D$ V6 X+ q. h 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 # `/ l9 o! G# Y9 v

0 h& y( K% a+ K8 U6 s

% X' f# X7 \) I. @   * m8 U' l" v, w2 x) _

/ k7 }, J# U8 i3 p
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表