, L) ~3 n; b/ T# w 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 " O/ k6 ^2 {& S/ [
8 B% G& E7 c, Z* \" c
! s# [% H f* C3 K( R 众亦信安,中意你啊! / g0 C/ @7 P) z! R
) I$ h! ~) P* |6 d1 ?, J+ tingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
2 g4 L# t5 d! w! ?
5 G: ^1 @5 W: }! D( x4 _ f" q; b
: L' W& Y% K, G) ?2 h/ y ingFang SC,serif;">
5 P3 ~' i- B8 @3 ^: ?! U 8 F/ O1 R, T7 I* V" Y8 \8 F7 G
& S* W* ^6 g6 w( n/ h, f8 _
3 @% Q* {% W- Q8 U4 }$ _$ k& u
众亦信安
* e, _5 [7 N7 ]7 w8 w- X
; \# V z$ d# r5 t6 H
& ^6 h* E5 D: ^ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 9 e+ z( I. ^& o1 ]7 v
" f) I# S4 p+ Y! w4 b4 t, e3 C
! n$ ?! [+ f5 w9 U, Z4 f ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> $ D; r8 N' h3 q! Z7 v8 d% P: H2 G
% T" Y5 w$ V$ [2 y, w9 {
& m% g9 R' G* K5 N$ a a$ q, ` q 公众号ingFang SC,serif;">
2 r, ^( l$ Q a/ g1 W1 o" _ ; p) G) [8 V2 }) I) L9 F
# h6 d, u$ Y2 P8 n! a- F3 P4 |
* ^9 j( D! a9 q4 D0 R* b+ z5 [ 0 O" R/ ]0 b$ K3 z! q" U0 [& m+ H Z
" n$ d3 S7 ?; h6 K5 T: s) X5 e* `
1 |3 x. F f: o点不了吃亏,点不了上当,设置星标,方能无恙!
5 A" O4 I0 T! ]- p8 w
8 V, G$ F. Z' d- J- F! j! d2 M ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
/ \( \$ y R4 a4 h& W
: [" \& r2 c3 c: q: J$ e- R! D6 u; I( h0 a, s3 @
背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。
1 Y5 P# m2 R! a! b
5 x" z3 q8 e& H' K% ^
, d$ O, L& m+ Z7 _! u0 I
, r# Z6 b- e( |, [& o " e n1 H$ o$ F- X4 e
. O5 ?! ?! U$ j' j; r # O ?4 o8 o) S! h, A, b" q
7 ?2 M0 s0 j2 F: f. {9 w
无线or有线9 N) m( p. Y8 }
/ X, N( d7 g+ l. ?: k7 \* ] . b+ a0 K: x, V
7 l b, y, l# g
& w6 w# f5 z$ o! }# T" x
, F }$ ]9 r3 l9 t9 V( Y" Y2 X9 G
大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。
% c/ H; |. Y: k$ d0 \% K 9 R N7 N& [0 ]! i
2 x* E7 ]( i* b! y7 B
一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 ( Z) T) Q; n6 f, N5 v
( ^! W! ~) ~: k# x% K( T
3 a' U1 g, `; Y9 S- u: H3 t
/ L/ a% q4 ~. T$ l2 l; J / x+ ]1 E3 P: j0 f
+ v: c" K* c& M7 r( `. r; t / c! } w0 K( W: ^/ _; ?1 a
- p2 n Q' T! a3 p& t, w, d6 T: b9 j
这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。
W& C2 H S$ ~# ?3 D# _) O" ]& n 6 {# Z% @2 F/ `. {
1 M1 H% a9 q+ r! i ]! C0 {$ A
H3 b6 T1 c& k& _ |$ L
) p2 Q! y$ @, L1 W. N
$ z; S }- ]$ i9 _& e$ `% I' a
很快啊,美团下个单,没得网线啥也不能干啊。(血亏21)
: H) m; Q$ t( B 9 j3 _' b$ p1 ?& O8 b! i) E; ^
5 e" a2 ?7 D4 J9 @5 u2 l' f
G% B+ R, W- X! D6 H' ~ 8 H* R( {7 Q) I% C0 B9 f! h, y3 _
* p4 f6 m6 M* M5 Q# F- G+ N8 k 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。
3 ^" G' i( Z+ C
/ i6 `# a; D: p H5 [- J7 ?( x" G! ?% Y; {; L
这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ' m0 m: ^; C! w3 B/ U) A- k! v( m
7 l( f0 o& }0 ]3 r& b
% B2 Q/ D( p/ Y8 E 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。
( u- G+ R. [$ I' `% S0 Y, j - s+ E6 G& l, D9 N. c8 c
2 ?/ L% l1 Y) Y+ o- G1 Z1 o4 \0 A
4 h. r+ O# {9 n; N3 Q: V# m" Q
6 H+ a2 g8 k! R+ c7 T 内网渗透& {/ x6 f; c4 ^+ _5 ~' r
; _( ?# S( v1 d7 [$ k
; d6 O% X( a9 O$ x3 K: l
9 f) }( A% ?" A
: Z$ C; f) z# k& d0 i& z6 G A% z* w. d& L
win下搭建cs和linux类似。 & k- G3 }2 _4 _' Z4 K! C
k& a# I. E9 Z; B$ a
; T% [8 \0 D n% u) I6 Y- ateamserver.bat + ip + 密码
* ^) T% E$ ^2 {) y0 e
* f* k1 T @: b4 o; ^; B
$ p# V( q- o+ X2 b7 x
) M+ e' m8 V7 u& j
, l! ]; i& V9 P; L4 H
. R/ @# U# w z fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) " L! K' X3 n, E4 k! _! |
% ?7 q% y3 `( t
) L( S; U5 H3 V- ?+ y0 X' e, \( a 9 F4 N5 L8 e+ H2 P
% D7 N# M2 T9 j: p" T$ }8 ~' j7 ?/ V# w, d; @) ^
6 R1 D: q4 f! b
; {5 R9 { i2 w& T7 `# R4 l9 {' t# s9 {2 m8 l
通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
: z# g' A* |& S2 ~) R/ P) z/ j 9 r" n# S& V. B- G+ N1 B
7 s2 j* d/ u$ Y" u8 a. H4 ? G
) @8 o1 b* G5 m, u0 h) B, M7 h2 I; Y0 h0 f
' h8 }, z9 R; r" }3 j! J
1 }7 e2 I: ]9 J2 q5 s& m9 h4 d& j+ r! A6 l. u' L, S, o
fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。
0 B3 ]4 d* o0 k, u
0 k& P; F, k9 Y7 ?$ H
5 e0 X6 [3 u8 h+ w" p6 e* f PACS系统 : n* V, X$ J1 i" P6 Z
' X9 q3 d/ e" o, X" t4 D* f& b+ ^! n' D, _6 ^6 d& l
, N: J" K! n) t H 4 @& ^) ?; B; i. Q+ e
8 S0 r% T& z$ q. ~) s2 ]: O- d
8 C* m6 q* u2 J+ V: A; y
7 m9 ?- I4 r. J2 z- u; ? - i( h9 ?9 K: [$ L6 l/ T
+ m+ M4 \2 j. a9 Y0 @
6 ^' R) S) y" d+ G HIS系统 * R# O+ @$ w+ H8 m
5 I* e9 K/ ]* N, K
' o* ?$ v& y6 n) v/ V
1 U7 W) y6 u+ E# }( z* o
8 @) S, r+ I0 i& A0 Q* V
: ] E# U+ Y! K$ r k: V3 L
, k; }7 l/ O. {4 b% q: L0 f1 u . w9 X* \& y: H
7 q" y# L8 |7 v# p. V
Q4 p4 }' W7 m. s+ h! j% n
$ L% F9 u$ b5 [. s# O4 Y a9 U+ Y& J2 P4 t
. n0 `6 N, R, O" L 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 ; H1 y! h- L7 b5 Y5 J5 ?
( c. I4 h- E( Q" B: C4 k% y9 N! R' O0 m! @9 g7 y
- }) T; m, i9 l& i1 i" @0 A( N , e/ B8 h& V2 K8 ]% u, j8 F
! u% q t. Q8 ^& d7 N. Q+ u . e" G: @8 P% ?+ j* c, M
! Z3 O- a" `( q0 k 后话
5 w6 O$ B, u* j$ N _ 2 }: d7 K! U1 \" Z7 J% D) Y/ y
* @4 {; C4 n! Q. _ 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。
- {! e, X# d: M7 W8 r
8 q$ i# O- ?5 I$ U2 O, q! {: n
9 @1 }3 w' s( |& s6 q& u. p
/ P! ~5 Y. f9 o2 {4 B3 c % M. g5 x+ a; Y* }/ L
) ?. P+ g- x% m; X/ i& q
* ?% \. ?& M2 m" d3 ^3 Y
8 {. {2 P. [7 G5 O. j
0 T* o: b; d3 K- \9 ]; g8 U 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。
6 g$ ^- W1 Z# X
i n' {( @& x, {1 \6 c6 N0 Q2 Q3 o) o9 k* R0 ^
) Y! `& Z1 |7 x; h1 o
$ v, I" K9 q2 I/ G; m |