记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

, L) ~3 n; b/ T# w 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 " O/ k6 ^2 {& S/ [

! s# [% H f* C3 K( R 众亦信安，中意你啊！
/ g0 C/ @7 P) z! R
) I$ h! ~) P* |6 d1 ?, J+ tingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 2 g4 L# t5 d! w! ?

: L' W& Y% K, G) ?2 h/ y ingFang SC,serif;"> 5 P3 ~' i- B8 @3 ^: ?! U

& S* W* ^6 g6 w( n/ h, f8 _
3 @% Q* {% W- Q8 U4 }$ _$ k& u 众亦信安 * e, _5 [7 N7 ]7 w8 w- X
; \# V z$ d# r5 t6 H
& ^6 h* E5 D: ^ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 9 e+ z( I. ^& o1 ]7 v
" f) I# S4 p+ Y! w4 b4 t, e3 C
! n$ ?! [+ f5 w9 U, Z4 f ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> $ D; r8 N' h3 q! Z7 v8 d% P: H2 G
% T" Y5 w$ V$ [2 y, w9 {
& m% g9 R' G* K5 N$ a a$ q, ` q 公众号ingFang SC,serif;"> 2 r, ^( l$ Q a/ g1 W1 o" _
; p) G) [8 V2 }) I) L9 F
# h6 d, u$ Y2 P8 n! a- F3 P4 |
* ^9 j( D! a9 q4 D0 R* b+ z5 [
0 O" R/ ]0 b$ K3 z! q" U0 [& m+ H Z " n$ d3 S7 ?; h6 K5 T: s) X5 e* `
1 |3 x. F f: o
点不了吃亏，点不了上当，设置星标，方能无恙！ 5 A" O4 I0 T! ]- p8 w
8 V, G$ F. Z' d- J- F! j! d2 M ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> / \( \$ y R4 a4 h& W
: [" \& r2 c3 c: q: J$ e
- R! D6 u; I( h0 a, s3 @ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 1 Y5 P# m2 R! a! b
5 x" z3 q8 e& H' K% ^
, d$ O, L& m+ Z7 _! u0 I , r# Z6 b- e( |, [& o
" e n1 H$ o$ F- X4 e
. O5 ?! ?! U$ j' j; r # O ?4 o8 o) S! h, A, b" q
7 ?2 M0 s0 j2 F: f. {9 w 无线or有线9 N) m( p. Y8 }
/ X, N( d7 g+ l. ?: k7 \* ] . b+ a0 K: x, V
7 l b, y, l# g & w6 w# f5 z$ o! }# T" x
, F }$ ]9 r3 l9 t9 V( Y" Y2 X9 G 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 % c/ H; |. Y: k$ d0 \% K
9 R N7 N& [0 ]! i
2 x* E7 ]( i* b! y7 B 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ( Z) T) Q; n6 f, N5 v
( ^! W! ~) ~: k# x% K( T
3 a' U1 g, `; Y9 S- u: H3 t / L/ a% q4 ~. T$ l2 l; J
/ x+ ]1 E3 P: j0 f
+ v: c" K* c& M7 r( `. r; t / c! } w0 K( W: ^/ _; ?1 a
- p2 n Q' T! a3 p
& t, w, d6 T: b9 j 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 W& C2 H S$ ~# ?3 D# _) O" ]& n
6 {# Z% @2 F/ `. {
1 M1 H% a9 q+ r! i ]! C0 {$ A H3 b6 T1 c& k& _ |$ L
) p2 Q! y$ @, L1 W. N
$ z; S }- ]$ i9 _& e$ `% I' a 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） : H) m; Q$ t( B
9 j3 _' b$ p1 ?& O8 b! i) E; ^
5 e" a2 ?7 D4 J9 @5 u2 l' f G% B+ R, W- X! D6 H' ~
8 H* R( {7 Q) I% C0 B9 f! h, y3 _
* p4 f6 m6 M* M5 Q# F- G+ N8 k 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 3 ^" G' i( Z+ C
/ i6 `# a; D: p H5 [
- J7 ?( x" G! ?% Y; {; L 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ' m0 m: ^; C! w3 B/ U) A- k! v( m
7 l( f0 o& }0 ]3 r& b
% B2 Q/ D( p/ Y8 E 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ( u- G+ R. [$ I' `% S0 Y, j
- s+ E6 G& l, D9 N. c8 c
2 ?/ L% l1 Y) Y+ o- G1 Z1 o4 \0 A 4 h. r+ O# {9 n; N3 Q: V# m" Q
6 H+ a2 g8 k! R+ c7 T 内网渗透& {/ x6 f; c4 ^+ _5 ~' r
; _( ?# S( v1 d7 [$ k ; d6 O% X( a9 O$ x3 K: l
9 f) }( A% ?" A : Z$ C; f) z# k
& d0 i& z6 G A% z* w. d& L win下搭建cs和linux类似。 & k- G3 }2 _4 _' Z4 K! C
k& a# I. E9 Z; B$ a
; T% [8 \0 D n% u) I6 Y- a
teamserver.bat + ip + 密码
* ^) T% E$ ^2 {) y0 e
* f* k1 T @: b4 o; ^; B
$ p# V( q- o+ X2 b7 x ) M+ e' m8 V7 u& j
, l! ]; i& V9 P; L4 H
. R/ @# U# w z fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） " L! K' X3 n, E4 k! _! |
% ?7 q% y3 `( t
) L( S; U5 H3 V- ?+ y0 X' e, \( a 9 F4 N5 L8 e+ H2 P
% D7 N# M2 T9 j: p" T$ }
8 ~' j7 ?/ V# w, d; @) ^ 6 R1 D: q4 f! b
; {5 R9 { i2 w& T7 `# R
4 l9 {' t# s9 {2 m8 l 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
: z# g' A* |& S2 ~) R/ P) z/ j
9 r" n# S& V. B- G+ N1 B 7 s2 j* d/ u$ Y" u8 a. H4 ? G
) @8 o1 b* G5 m, u0 h) B
, M7 h2 I; Y0 h0 f ' h8 }, z9 R; r" }3 j! J
1 }7 e2 I: ]9 J2 q5 s& m9 h
4 d& j+ r! A6 l. u' L, S, o fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 0 B3 ]4 d* o0 k, u
0 k& P; F, k9 Y7 ?$ H
5 e0 X6 [3 u8 h+ w" p6 e* f PACS系统 : n* V, X$ J1 i" P6 Z
' X9 q3 d/ e" o, X
" t4 D* f& b+ ^! n' D, _6 ^6 d& l , N: J" K! n) t H
4 @& ^) ?; B; i. Q+ e
8 S0 r% T& z$ q. ~) s2 ]: O- d
8 C* m6 q* u2 J+ V: A; y
7 m9 ?- I4 r. J2 z- u; ? - i( h9 ?9 K: [$ L6 l/ T
+ m+ M4 \2 j. a9 Y0 @
6 ^' R) S) y" d+ G HIS系统 * R# O+ @$ w+ H8 m
5 I* e9 K/ ]* N, K
' o* ?$ v& y6 n) v/ V 1 U7 W) y6 u+ E# }( z* o
8 @) S, r+ I0 i& A0 Q* V
: ] E# U+ Y! K$ r k: V3 L , k; }7 l/ O. {4 b% q: L0 f1 u
. w9 X* \& y: H
7 q" y# L8 |7 v# p. V Q4 p4 }' W7 m. s+ h! j% n

. n0 `6 N, R, O" L 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ; H1 y! h- L7 b5 Y5 J5 ?
( c. I4 h- E( Q" B: C
4 k% y9 N! R' O0 m! @9 g7 y
- }) T; m, i9 l& i1 i" @0 A( N
, e/ B8 h& V2 K8 ]% u, j8 F ! u% q t. Q8 ^& d7 N. Q+ u
. e" G: @8 P% ?+ j* c, M
! Z3 O- a" `( q0 k 后话 5 w6 O$ B, u* j$ N _
2 }: d7 K! U1 \" Z7 J% D) Y/ y
* @4 {; C4 n! Q. _ 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 - {! e, X# d: M7 W8 r
8 q$ i# O- ?5 I$ U2 O, q! {: n
9 @1 }3 w' s( |& s6 q& u. p / P! ~5 Y. f9 o2 {4 B3 c
% M. g5 x+ a; Y* }/ L ) ?. P+ g- x% m; X/ i& q
* ?% \. ?& M2 m" d3 ^3 Y 8 {. {2 P. [7 G5 O. j
0 T* o: b; d3 K- \9 ]; g8 U 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 6 g$ ^- W1 Z# X
i n' {( @& x, {1 \6 c
6 N0 Q2 Q3 o) o9 k* R0 ^ ) Y! `& Z1 |7 x; h1 o
$ v, I" K9 q2 I/ G; m

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

7 ?2 M0 s0 j2 F: f. {9 w 无线or有线9 N) m( p. Y8 }

6 H+ a2 g8 k! R+ c7 T 内网渗透& {/ x6 f; c4 ^+ _5 ~' r