d! ~9 W' h e4 ?) P+ B; ~
声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 7 q: I8 ^/ t5 v4 ]" B
) z0 H4 ^% L' i- d# H1 y' S$ Z
# @( q- A; D) i7 U 众亦信安,中意你啊!
: k+ a" V$ w; z5 O4 G7 V
! c: ]. z( l7 F; lingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 L o" S0 ~3 A& B* y( x7 b
Z+ ^4 K: J5 g9 z0 y* M9 [, C
2 O: X2 E+ K L; r+ H" ?# ] ingFang SC,serif;">
1 \1 t. R, Q5 T 5 R5 c; m* U. t! }
# w3 B$ l; e! s- G8 ~$ d( S4 S! p3 T# A; @
众亦信安 - J& G) V% q7 E0 j9 c& F3 J' ~
+ n9 a/ K e, P h7 E! D; B" P# w5 A
红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;">
/ M- r6 \+ L6 b; Y$ s9 r8 ^5 U
7 x; ]% L6 t, o! x/ V8 K% v9 [7 g
ingFang SC,serif;">26篇原创内容ingFang SC,serif;">
c5 G1 V/ W$ A( D) o) Q! O
2 `% U! F# U" D0 k
3 |% o8 w R, c9 l/ d0 f, g" @ 公众号ingFang SC,serif;">
" {. ^5 B+ ^) |( G+ I' _ 1 [, o. j9 k" H- P7 P
. D* k F2 {/ o; m( }) S
% k3 x7 H- @) c2 f% u 4 f7 G2 I: R0 X2 e- R
$ `( u" c) i( e9 U4 ^
' j2 t* a5 ~4 |9 L点不了吃亏,点不了上当,设置星标,方能无恙!
$ a, X; }: H; s0 g5 a8 D7 Z( a4 F; T: X) X& `( |: `, Y
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> # x. T5 t: e7 X) U6 c) w* F
/ M$ b+ {; r w+ k. L
' L E6 J4 H" k 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 j4 S, }$ o9 @4 h
% L) D: s, ~( j5 [. n( g5 q6 ] o
& \. W# R- {: x5 ]" A e% D
% v1 G# l A O9 e
$ y; T1 X% h- Y1 L
8 n& n/ M8 V6 L4 j$ y" V6 y ' b+ @# Z) t' K( a6 A
( U/ t! F T. ` a: `: h
无线or有线
) X' T; r2 ?9 a8 `0 |
3 H/ m/ K V, w2 H9 O+ O
5 [3 a e/ J2 F9 n+ i- n" [ 8 |3 E+ R0 u X4 B: p ^
$ V0 s8 ?+ K- X, |: N7 U7 \3 g
" _$ M8 I0 O& k* T
大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 : p1 l0 J2 ~# i" i. m' f: Z
) _9 \- X7 b) U8 Y& \8 \
7 D' N4 z9 Z0 ^8 G( W0 z9 r' X: f 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 ; g- J5 u% O u4 b
( B3 @% j5 W3 g J) X2 `( ^) q) P
6 Q; A+ |# F2 C7 _' F9 M# h# }
3 {$ R* M! R, f) O! T : T/ x8 H/ A; O6 k2 l/ ?
7 e/ w/ ~ C" x. u2 [" Q5 |
. g7 {2 m6 T; i; A2 X
4 R3 X" \- ~) x4 W
+ x% Y, ?1 `4 Z 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。
0 F# I% [6 B/ k" E, k
, d! I; ?" p6 X1 T7 R. r0 T/ x$ ` C. I/ H% Z1 X
7 M% R: |# o, V# G: Y: M8 E- F. x+ v
6 b8 Z) {; M. Y# p9 Q3 f
, g8 j# U( C: W2 t2 s- `" a/ |9 F 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21) $ |' I2 T/ b, o* ^6 @
" J! h7 ^ U: k# P9 u% y! w* N* g3 ^. q& g4 N+ K& ?9 z
! B0 W. J$ R+ k2 k' m
1 b1 }# R0 b2 ?! ~; F, d
" r/ ?8 Y* O, M; a% t+ h1 B
插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 3 q: I7 s! ~ g! H
1 j( Z2 M0 d' E+ u
2 A. W5 \8 U% I' c" K2 p: U$ p 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。
0 V2 s- j1 T: x' \ A* x' o+ O- I$ l9 f 0 D! q E5 O( K5 Y
* ~: ]- c: ]7 X& v$ G+ y 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。
( A3 p( t5 |1 Z3 `/ r9 s
* H1 I2 A9 A% t
6 d5 v+ c# @% F+ M% N a! b" D9 N. K3 d5 x! `
( d' L' t* S e5 g' p9 a: Y# g
内网渗透
% C( [' Q# D/ C, g8 r z( E* f/ u, K, X, s+ W
) g% h5 B' y. l$ m 4 C' }" Z6 I6 h3 h
6 o$ a" X- G2 g* W+ @
! e5 {) P4 ?) }) e win下搭建cs和linux类似。
5 h- k8 ~( M- ` m. u
4 r, W/ }9 k- z$ ~* W- d P1 r4 |( P3 V. I
teamserver.bat + ip + 密码 1 p& R, I2 n" \
! O8 e- O3 o. e4 K& W" J$ r8 I L
: I: }, b) D) @- x. b
$ c$ M3 C$ p6 F- H; G. O: Q : ]6 s* j5 H" m: {) k
. G9 w3 K" u( H6 [+ E fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的)
% u Y0 s( q( I# C, j & B) x. }1 @- H$ Y5 \7 D
1 r2 p9 }& x1 ?! x; `8 M
" v! {1 F9 u% K8 x6 T3 V% p5 l
2 N& o3 z) ^( ?
3 G; H% r0 _ T! m# `2 ^
$ h6 X9 j0 Q; Z3 Y* w; }4 j3 `: v4 |* t 5 q9 y5 |( Q6 G) c( j2 ^# D
8 n' R6 s* M# E
通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。 , Z( u0 A5 D( D. V$ |) \
, @6 e1 o. O& S8 l; h! q+ X9 b
H$ d7 I& W& x8 m* T! u4 X
. y2 S }! r, ]) M5 A# Z; F0 ~% W! v9 h) O) d" j/ I7 o9 B& {
4 b x3 I4 {5 |- N, L1 g
1 K: t x) B/ u; Y8 m. U+ L8 V( t: i8 [& t2 z& k; f3 Z% s% w
fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 2 [! f5 c% l* i; Q* x! K
& L# I( ?! \/ n8 c0 L# D) e0 c$ L
0 }+ E) j+ {. z3 H! A4 f/ L PACS系统 4 T9 V! E# b/ H: {# q$ P% ^
. |6 v; Z, g# A+ v( d/ n6 N' N, n, d* S
* w4 K; k& R, y8 A. G* X+ ^ , j1 G8 r! g% G7 Q8 Y
3 t1 L1 @/ h% U0 l3 W
" x; f- ]+ G p- b1 K% s
( Q( S6 ?& |; [/ @( @$ g* D
! Q3 ?& `' v8 P
" S3 Z( l) o" K2 G8 n# [# G) T! Q
# Q/ e2 ~- Z n( u% W( r+ |0 O HIS系统
4 @/ k3 w K. N! i
( q# Q- d9 `/ M) D& y# V
$ J' K* t. |0 j 5 \9 [! k. G) j0 f) T0 i* N1 O
* [$ t5 p% L& m/ q3 c1 V# D! [6 a6 @0 ~* P( r6 e( {3 E
5 l% n7 }7 Y- s5 a+ t" _3 J5 a
5 R; g, `% ^! u; R1 B3 W3 Y% D4 e: s5 W! Y; _) Y7 d
& Z |- f0 ]2 M7 ~
4 n' K$ B( O; A2 {' \5 ?: ^1 m7 Z
6 P$ h; r5 U4 a4 c8 E 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。
; M4 S/ \6 Y! `! F" }
/ |) x8 U) R5 J# x& J/ f2 Y
% p- l0 B6 y! y+ q* M: f
7 r+ @8 Q" {9 j2 f+ r5 X
$ G8 q! `! Q. j) S- F" N5 x# g- r& Y) ~+ \: m
v5 M- o3 G1 L: b* p2 ~
& g( z$ ?7 }4 o6 I 后话 0 {! E" m! O3 ~) ], X! L
; m Y7 o9 L2 T1 x3 ~+ |
! R8 i' e3 o, D A$ f4 q 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。
! ?4 K2 v. s: X, C$ H/ K4 L0 t% y
2 n: _. R% V1 O; S% A# k3 m' V* u6 b3 F* L1 N! Q" s: ~1 N
7 z( X6 b! _6 [3 \
! w. d& h7 H5 H: G * ]7 g5 ]# V9 f& t$ b# H6 o
L. x( Q, v. c& `) m
7 C& V9 x0 D9 ]6 x
) q' F" s2 V$ {7 D# M0 J, C 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 ! w/ b, o6 l! `4 |) j& Z
9 n( o; v, m, g
/ F* f, B% y, E i, e+ L* c # {. P8 j, K" J: L8 a- \8 @
c* t) C3 C! [$ q+ r9 t7 g |