记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

$ g, y4 b2 Z* g3 \7 x 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 7 h( V. v# T1 S. b& j* V7 l" H5 r

7 D" w6 G! v* K5 f; G5 X- h 众亦信安，中意你啊！
6 o! y: p; s) _6 S+ k7 u; u
* ]5 U- R' L, k8 Y9 fingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 2 o a- E/ \5 g, ~

; r2 N3 `3 x4 X* _. E ingFang SC,serif;"> / N G2 f5 x) a+ @' v

H' ?5 G9 ]: e* l
8 _+ E$ L+ G: D, W) E) t 众亦信安 / a5 x1 M- U, @! L" d
) W3 `' W) w8 `6 Z0 f
6 c, `0 Q: ]3 v* Q$ E. W% ` 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> % ?6 \6 f# z4 N
% ]9 c# R/ ~ l m y$ I; {
" o8 p+ ]# f/ t% @ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ' e1 _: L" q e3 g' y+ H3 g
, m: K( d" i4 |0 M
# ^1 ~ N# X) y6 N: \5 S 公众号ingFang SC,serif;"> 1 `3 L. f0 o9 n0 Y
+ q- S& y) p& |6 ~/ a( U8 `& w
! ^( {+ H2 u& V! }
- G- {% F- u7 ], B, P" a* ?
1 R2 E" C# u# q# S& v1 `( e - d6 b& @+ J+ u. n* S& V& r
) c! w& U m/ V1 H
点不了吃亏，点不了上当，设置星标，方能无恙！ - b; K: a& e% M* r$ `7 a
* N- f4 |6 S F! N, X4 X ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ; \( Q2 C7 ~0 F! Q$ I) v. h( @% E
6 C& h1 L+ a5 J7 H) o2 f- _
( _9 @9 ~5 ]1 S. e; J6 ]* M! a 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ' G" o L* U' v" f& b
2 |* ^3 T2 S/ C: t
# y. M7 t( i) ~3 k% H# {# i 6 r+ b9 z. M) D( B: h; @% Q7 y) x
% x/ {, C# F" b0 a
5 c% h, Y( S9 [' M0 \ $ r" {5 O1 `. h; |# N
( l+ j. }+ ^) Z1 ] 无线or有线: n4 D* N) a& g* s) k% c* S
, H) j8 ?% P( ?' E 5 F! f" L9 b; E1 h) q9 }; g
% O$ l# z. ^# q: z9 Y ( D( b8 ~7 Q i( J5 ^/ a
+ x2 [1 c# N5 l7 X' x3 M( i 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 8 C8 k( V& D4 \9 b5 [
1 Q" U1 V0 q- ~8 ^' N% U+ Z
: T2 H) A) b, s, I: T& }, T 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 $ u' ]2 `2 c Z) \9 J+ ?6 G
' v5 n6 p0 y2 w% S: D. H
( J) O0 {8 Y+ n8 g! D3 X * p" R2 [7 f4 y$ k
, Q' S. }0 O0 H& G4 c
+ c; M& M1 U% _. n1 T& P % }& [0 B- c4 ^; E3 k7 A; ]
+ |" g. G/ t0 n2 S, a; K, Y
8 M8 ~3 Q" ?/ ^; j$ s; x* S 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 4 d& J& r5 F! @% K
( a( B. V+ a b+ i
7 @$ g9 Y. i! h( }2 i 9 w; i* ~+ Q6 F Y) I$ `
4 R: C. E2 B" `- E) X2 R
2 s A" E, I/ `: z0 t 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） + `! G6 W( G, |
+ {" a4 j. `2 q* y. Y* b+ I
; x2 C& h0 v6 b! a2 r: \ 8 F# h. `# U- F7 Q, R4 r: B$ [! J
/ h1 U5 J" ^5 T+ s5 q( d
/ [& n. l+ C% ^ 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 9 B1 C! W! p' g
$ c( T% `, w/ A" d4 J
; w$ ~, x% h+ Z$ E, r 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 2 s8 Y5 u5 N7 q, b# i9 o/ k& w
6 Q* Y# F4 ^0 H0 w6 y0 J
2 }/ M5 f, L: a: X% K$ f# n( F5 s 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 $ b' Z" ~- c+ L1 |3 D+ `7 i0 l/ j
* O5 v K: ~) }( q+ b
% M: K& W; h2 J% `' R+ t 2 [. x4 @* i l0 Q# B, U
; i* k6 R( ^# K n8 d 内网渗透 ) X( g2 q# v# F+ n* ^0 ~! L2 {& `
3 @! k6 _! u5 I8 i/ U 6 S1 K |$ N- ^
; E/ T/ D* O- L* I $ J8 H% w) z+ v
. y. K' G0 ^" k* N# d) t( L win下搭建cs和linux类似。 . L+ i: c6 m d
! U5 ^1 X) H# c" Y. y
: ~4 c, ~, W3 `; P" k8 V
teamserver.bat + ip + 密码
# w3 J6 ^9 {5 y0 E3 a( R
/ A( z$ D1 ?1 D$ a+ s
4 { u/ @ M N) q) `& ]& [. q `: `% Q9 @! ]8 G6 k
# _1 t) _ f% A( v
6 d: g/ q- t/ L* |! C fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） T+ ?" `1 U: J; `8 @% x
, C0 s; D# `7 B: V, Q
4 v5 s' }* _6 v- G 5 }* W# v1 b! q$ r1 {9 G' a
7 r1 m0 P- ?! a6 P9 i/ {7 c
2 j' P+ Y0 o$ Z+ E: H 5 `5 _7 m( o o; h: r1 e. I$ z. l
& T4 j: V, q" P* `
& V- v8 U7 b, g4 e, z5 h 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
, X( }2 Z& Z f6 v1 X* \
' J: l/ q5 }6 p' g ( _$ K& E3 G# @) L
* i* f) U9 v6 _* j% S2 ]
" ?6 B2 e' ?% h3 q 6 ^9 i; v% n) z: \4 L- S
# W1 {) w6 e/ a
: c' z) y1 D9 ]4 d2 F$ v fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 * \7 r8 b m6 N( n7 y2 c
) W) O% Z u+ A( l5 y
' ^' r8 c" l2 x2 I1 e! D PACS系统 - X. Y' p4 j( l( Q, i p4 p* s8 ?& y' Q
5 x9 N5 [1 P7 |: u) o
/ L$ F3 s% u; S0 t) o4 v. I; {1 ] % z3 Q' ~. p. U0 h
% G* f. ?3 A* l6 }- U
- z/ p+ p# t6 ]! c1 Z6 x
/ l8 y, ^6 q" B7 G) S! t/ K1 {
8 x$ ]5 l5 x& f) T6 n" n: F9 y 8 T. x* k$ P: Y* j: ?: ^
; S* d4 Q# G3 ^6 g% o# D! ]; R
: n7 |5 X5 t( S8 [# q% r N HIS系统 ! r& H" }8 A! c% L3 x# ?
& n0 ]6 \- ?' i: x2 l# N
2 P, Q9 S) f/ I3 v, [ * `& p' U [8 j8 }# ~: ]
, z6 U2 v( s+ s: F5 ~ a
) n: R/ u1 |9 `1 h1 @0 L3 g" } 0 {1 \' }' h3 e/ E9 ^" k3 ]5 G
' W9 z4 K8 d& t
* e. d8 V0 k+ i4 Q8 b; ~ ! }, r7 A; o& ~ ?2 B N* _" W- r
8 q. w- N( s) Y. G
5 n( {& b3 `! E5 K/ e) E. _" g, ~ 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 . O" c5 ?) A& n9 ]/ d# T0 B
4 O! r9 Z+ i; A" j# X# n
, E+ ?; J- u: P7 C; V. _ [0 X
5 X% Q1 L( ?; ^' Y
: ]2 z/ E( W6 h ( ]/ b+ {3 R, M% V+ ]+ e
7 o% S/ ~* U- V2 E3 f
$ O7 w u* z' R% D( p0 q 后话 0 R& m# \# n+ C# p- L; V% P
" O% Y2 j7 Y$ e; q4 e J
* @& b6 s3 J G5 M0 C- y 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 6 s. U1 y/ `* _; u! g" T
. K J: L/ W) Z% a6 R$ }
# h8 p# W. J" P& x* _ 5 l: o" u+ u* b
, n$ w" R+ Z7 w/ i # t% t5 k9 E1 o) G5 Z) Y0 c2 e( B
" x! [7 u; Y7 P( C; G 1 N% z% l3 U8 v0 s3 M
5 ^' G( R/ N2 \( j! z 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 & F: i E/ n& ]( W* @
: L0 j# \! i# L9 I& W% ?5 a
- C$ T8 T3 v9 d9 D: g2 g( h 4 c+ Q* E2 g# j
3 t( g- L) Y" K# {1 ~% s8 `

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

( l+ j. }+ ^) Z1 ] 无线or有线: n4 D* N) a& g* s) k% c* S

; i* k6 R( ^# K n8 d 内网渗透 ) X( g2 q# v# F+ n* ^0 ~! L2 {& `