记一次某医院渗透（近源） - 中国网络渗透测试联盟

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！
3 R3 a2 z( V, v3 g0 \8 D
5 M8 f- I. H( R" y( jingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">

: A( ]' n( ]$ f, ?4 k6 A
1 f! O; ]1 x/ n+ g7 w 众亦信安 * q1 b# G/ s, g' M/ D
2 ? i1 ~7 v4 t/ q
$ D9 X! Y8 O6 \8 \ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ( t7 P) s- z/ P! K$ f ?* I! e
. j; C: S/ x5 f- k
' \6 f; M0 o9 S! n ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> * Z+ ~/ T3 Z% `
0 \' z4 t9 x* A& j& t
5 P) k; O" c- `- ?8 |3 @9 h I 公众号ingFang SC,serif;"> , F8 m7 d$ }; N/ O( m7 ]+ g
4 r& @7 v; j) P A" |) ~' k
6 O& F& w" _" ]# ~# s
/ R) M7 q+ Y. b7 F9 R, ?/ s* z5 B
+ A% O( l3 V0 o% y+ h6 s# Y4 ] 4 n2 o! a, Z/ M8 r m
; Q7 Y( B( }6 A% C! Z& r* g
点不了吃亏，点不了上当，设置星标，方能无恙！ 5 Y3 Q) z* j P! q! I8 K/ S: o
% @; S/ K9 D w0 o ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ; ]: L0 }1 U5 S# u9 X
: {* \4 i4 c2 S0 S; P* q
4 b) ?& G# V# Y; E! b( a 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 6 G1 k! g2 p$ \# e1 a- ^0 C
! P# Z% y: X! c5 x/ Y
- ]# u9 Y2 {. Z . S- g6 ~; `8 {$ I T/ z7 d- I
4 }0 y4 c" A' m' `, T
, Y) k! `# q2 r 7 x0 d! |$ j# O" y. T! p% j
( ^$ M# N5 i; b: j$ l7 k- R" F 无线or有线 ( `2 F" t! j3 j# b0 h: T8 I- f, s
8 k7 J2 v; j, W( H* p3 } * d p; D7 g* `: j4 C
4 i8 u5 }' a; I+ o) V9 L# F - _8 ^* B1 U/ `7 p
1 _& |7 Y( L( j) M5 n 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 1 n& K2 }4 Y V M$ w- j, k. \
* |( c) g$ Z6 x9 l3 k# j- [
, n+ Q7 ^- W. b 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ) V# N% d: t4 S1 ^
% H" a/ B7 \, @9 Q" z1 O, S v
, E7 c M; s6 r$ f; i 8 t; M1 W0 J3 t6 b
! M! ?* @6 V9 Y: c! o6 P- w/ A2 k
& B7 J2 Y' `3 N( l2 F) \) i' e : T& c3 M7 e' @, y; F
p0 I" g" p9 t% v( F9 p, J( f- _" H
4 f7 H, ~) t6 Z; T8 T+ w) s 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 & G0 d# g$ T. t" o3 k* `0 f
0 M- \2 j; `$ L3 r! |" a
, k% }$ F% `( s% B+ K 7 M7 j8 X* z% I) j) h
5 t. Z' r% _3 h
: @0 ]7 U- B& d2 ~, j0 g 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） + E" U1 c) P$ U( N
g) V& F8 g- R8 t
& \- W/ ^1 M. ]) L4 |0 j6 o7 S $ k, [! c% J, f( g8 \
( i3 b# O2 x" O& h
; J4 N% P# _- A$ L& _; ] 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 5 W! p) `4 ^' l% E/ q3 g Z
; l+ m' }6 M% f
6 X2 d9 c$ k/ s" C 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 . c( N& u0 t5 e( V) Z
* ]' R9 n. d! A
! Z' F: n4 {- } r0 d 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ( N- ]1 t) v1 p8 N1 @
- K5 N6 g2 u! i! w. }* Y, ]$ g
" ^' o. T+ P: R/ B" f) o9 j D7 n: H3 o6 b/ u, G& r g
- D- r) @6 X6 ]0 ?* u 内网渗透5 k4 w$ S+ E3 V% b% E% w0 Y* w3 i
9 O# }- r% R7 A3 p% s2 }4 C 7 h3 _5 m: p; t' z# E
; Y6 |1 X1 |+ w z) V/ R ' V1 l6 b- @4 i8 v5 c7 d+ z
/ q: ]3 }" f5 v win下搭建cs和linux类似。 ( @) ?( z6 `5 Y
8 @+ I; h/ u) `
) S% Y' m& n% l6 }7 Y8 F
teamserver.bat + ip + 密码
8 D; |" N9 X W& i7 a0 }' B
' y! a0 ?8 o/ L$ v" U: L0 Y5 Q
: Z" \- _4 j+ x1 z5 C" j0 ] 6 N( m- K0 I# X- m2 M7 j1 G
& W4 ~' Q% h* z; p/ p' W' X9 P
' a! H! X5 N3 [8 _3 M, p! | fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 3 q1 z+ V+ @7 H/ a
p. S9 L/ P- `8 f
1 _& W9 P$ s" q ) r) I& ?! g, y8 j0 Y
' q" ]: z" i/ Z
/ t2 Z) t7 y2 T9 t( J' W4 z ) S' t% v- \$ k! }
4 }* ?9 U$ e' u5 S
% D3 U& L2 E. g) p# D 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
8 B& P7 C1 X. o% ~' y# s
+ u7 h9 G6 f" z. d0 u " c! h6 V5 U; c
1 q' ?4 N9 J8 b* c- k" C6 ~
, e) b3 p0 } |4 b( J8 w # b9 n8 L+ F# i8 |
# X/ l9 f& {0 x
% K6 l! }/ x% M( M; n. P fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 2 L4 T+ D) n# S7 o
" C- T1 H p0 q' [% X9 f& r- a4 z
* S% }# A6 D( f" a PACS系统 6 c: Q5 S7 Y: x4 K. Z: W( C+ P; q! V
. x7 }% t0 l1 _ r W! }- `
3 S8 r+ }( E) s+ o: N9 J 4 z7 a" }; V" }8 C( `3 g* B
( f" m: k6 T" r
+ n! a0 O0 K! t9 O) [+ c7 S, Z3 ^ ^2 |
, }- R2 l$ c$ e v5 e
% V1 m# C# ^4 u0 m* q$ x 7 |# S9 u: t& n' `# W
# g; }$ ^5 K) w1 }& H% i
* |" O' e$ e3 ^6 u HIS系统 2 c3 i+ b- F7 S9 N+ y
9 s( ^" a' M5 d5 r% N2 w9 [* Y
( F, Z D8 a* L; N6 U+ {% W . }3 X/ p$ i. H( Q
. [9 o( {8 @. i. ]- G2 w* s* ?: n
# X/ p, l( f$ Q+ G1 [5 s" Z- W , o( N: h; h! C) d8 `: }/ D
9 E) r, B9 Z5 t# K2 b' c
, Y* V! e: @2 v" P0 N ( j0 [! f3 O+ N: N& \
1 [! B& b8 I6 b9 ?2 ^
9 P2 r0 Z+ B) |4 |5 H' x& H; g 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ' E$ o2 F+ m% k; K- g) N! u+ J( A3 a
6 V* A* @& d4 K) k- s, }0 ^5 N! H
7 B. Z9 G% m2 D- S5 m: R9 f
7 Y* ?4 z% c$ o5 R
8 o3 p7 n3 @7 d0 R& _/ d 7 Y8 `3 j: Z$ }* _; t
- ]; }) j% q& [, Z
8 x2 v5 p3 o- ~1 D7 k2 p 后话 & v9 |, z6 f- p; V# @3 p/ n, A
8 F8 P' y* \# {5 R4 N* I. {6 j
0 b2 c8 K0 z) C& w 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 . K' d& K4 P( C7 m
) I& P% O0 W# y* t# ~
, t ?4 ]* _ o9 A5 [ # w% w9 O- S v- m: {0 y! ?
0 [0 m D s; l3 H# G5 q / h7 l- _- t- r5 Q6 ?
" o$ n5 l" `; t F! Y7 p$ O: `; U # c3 M" j7 E/ l# x5 S3 A. d
7 V. ^" x) Y: O) g 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 7 e( z1 Q0 _% W* {
# g& U* P# A( y* B
9 C+ Y- ~3 @. K 8 Z; ?: S; W& x) ?1 ^* s
! a1 d7 E. @! ^9 l* n3 t) I% {

中国网络渗透测试联盟

( ^$ M# N5 i; b: j$ l7 k- R" F 无线or有线 ( `2 F" t! j3 j# b0 h: T8 I- f, s

- D- r) @6 X6 ]0 ?* u 内网渗透5 k4 w$ S+ E3 V% b% E% w0 Y* w3 i