找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 记一次某医院渗透(近源)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 873|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

4 u* K2 D! ^2 f. Y; D7 T( Z 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 $ b) i7 Q% B8 J. M5 R

7 G2 l; z9 p$ k3 y

7 V l) [* [- C$ S 众亦信安,中意你啊!
9 z/ a+ ?, M9 O* i, t8 n' a
' S: ^' ~3 P0 `* |5 FingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> / b) N2 l( c$ c/ [" M/ f

/ n/ K& `7 H- j

k% E1 u N* m2 v7 }1 V f! @ ingFang SC,serif;">- \! l6 G( H# J3 L/ D j

+ ^6 w* u' \3 i9 ~$ h! P
+ m) D$ S, ]6 K& y

0 s# u% B2 l' {5 a9 F. q 众亦信安 0 J: x- U3 F. d: N; A

: E0 Y1 H6 l' R) c$ `, x

7 |# {9 y. {- r- L$ _ 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> # s4 x/ b7 L$ O

2 @1 W( C8 s' t2 l- I9 B

8 ]$ U+ |* M; }& x( A Z% r ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> , b& p6 ]$ J+ a3 y

% E) z: a! H$ v! [+ J/ e) K" D

% X7 ^$ D! e/ R" J6 }/ J5 b [ 公众号ingFang SC,serif;"> ( T n6 o) @3 r @, Y4 M, `# l

3 r$ ]; J: ?. E; Z* t+ D3 d5 o v% ?& R

5 J/ K& j* v& d: e" j3 ^* R+ @) D! E
* t9 k- v3 ?8 U, m6 Z* R6 m
! B4 `, m' B8 P( ^( O9 F7 m3 |8 [& X- }5 |# u

$ }( L- t2 A3 z
点不了吃亏,点不了上当,设置星标,方能无恙! * O, X( W; n8 a

' X+ d3 F( g& I0 x7 B ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  6 d, J. e4 M$ d9 m" S& `: L

' d: l u* I- l& L! L- [4 K) _% Z

$ A6 U) h! [0 {$ W 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 9 ?, }& U! A/ K! J; ~: I% \

$ [( j1 }. y! G6 `' B C

: r% x7 P* W" J- z( H. j2 W- i   3 r) B7 R; _4 r( M1 t4 X: y" w

0 f/ o; r* g( f* t
' |' f) Z- X& M3 h z" M! o8 W7 k8 L

4 f) o8 Z$ h! D$ Q. W 无线or有线: }) S% Z) W- [+ |6 y

6 S+ D8 w6 H9 X6 p! W% x" @/ R, g # X& I% `4 L1 j2 s" l$ S- R
2 r2 }1 l; b: h+ i $ `' @+ u, ]* i d: U; w6 W

: B8 Q1 ?* J7 t' j, Z4 u 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 . r) @& ]8 K. K" C# v; V) n

7 W& N4 C+ T% h/ _ z

4 T- i/ I, T2 w. B/ v: J5 u# K 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 ( e9 R! q1 s7 r7 b! ^: G2 ^

s X$ i$ W8 H# H9 Y8 y0 C+ N# S

. p& f5 `. D. K8 s/ O, q4 ? vshapes= % {: L9 f* j- t- h8 X

! i9 c0 s) Z& m, r

^' z# a6 S# s4 P vshapes= . Q5 s1 l. L e2 b& \( R/ M) C

, `" p' C a I$ j

! A& n9 }, _) d5 b j 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 ' S3 u$ e6 i: j3 q- O b

4 R5 |0 ]; W0 B8 {1 m) M

9 J* z5 W1 {+ b7 {+ A vshapes= 1 u+ H% A$ @" `- I, Z

# ~6 k8 U$ L; ?, G

. E7 B7 {0 e8 M( a 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 5 |. V5 t- O! {

; k/ f) |: P( i3 H' U

0 J" j2 e9 U! { g0 |3 U/ W vshapes= # J" f( |+ t! e* g

; C0 U O R* w9 e

9 ?( A; m$ @$ }! A& ] 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 2 k- O' _$ v" g6 ]

) s" H* I( |8 O7 ?

* u6 D6 e! [) ~% C 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 0 m0 `" R; [, A8 D4 b( U

8 A9 L$ e3 Z5 P9 e- i; F4 |4 G

( n( F6 Z% b& Q/ S 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) $ P* q& h. n6 }% x

& h# O4 p3 m/ l* G( O" v0 m# y* n
. k: k' L! g n, b0 n& b5 q E" e: H; ^& x1 v7 J- z; ~

) R$ R. p+ [! Z# F# n4 n 内网渗透* N1 }" z! I! w7 \

4 E' N5 E6 a" p) v7 c' j! _ # G2 l; W/ n% ~. O! ]9 ~
+ { L- Q- O# _2 K: e. ]( j " B. m! B8 i7 d5 C: x# Q: Z4 U

! c# x( i( N. u) {/ e" ^- u8 i0 z win下搭建cslinux类似。 ( H* B W0 e# ]+ a% u$ h

6 X) O& I( E. t
5 S, y! @* E: d 
teamserver.bat + ip + 密码
1 s6 D% H; [) o4 R6 W( `% V {
5 X2 S5 N3 o1 S3 h

3 {7 x% K: l p/ V! G! c vshapes= 2 |; Z q/ [2 Z7 ^) ~

: c) ~$ c* [& C9 N" o$ Q/ E& ^

2 v1 q F, M- Z" ]7 x1 w% a& Q fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) 2 Y" W3 T0 k" ~+ p: F) H4 J

. Y- b, U2 v" Y4 i3 L3 ^

. z' z1 }. I* `* V" Z6 t& x vshapes= ) N. I J! l9 u: B+ t+ W: R- |: S

, F) S& U6 a3 z+ F E4 k1 f

4 m3 m& _7 b( \4 ? x vshapes= ) I1 f0 Y# q% n/ x# k) U

% a9 h/ k u3 `, h- V) V1 h/ B

: V; p' c. C+ o: g7 m' U5 Q P, \ 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
! c: z2 O& ^# [4 I7 S
; ^& z- x" d/ U/ [ + }* I. J" K( K7 s% M1 r7 Y6 B

" V1 B- Q; I7 R- q8 g! S, u

/ W5 T9 z" f& |2 {2 v9 a- m vshapes= 3 f' L( @6 Z& j. `2 K* h% E m

1 R# a! `$ k; C8 p( C6 f4 L

3 i H4 J$ N7 _1 S. }( ^ fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 0 _ @5 l r- A4 u! L. [4 F2 Z/ }

, {1 Y! p. h9 l0 A

/ K- {( [- K2 O% X4 Z9 p PACS系统 0 T- M2 L/ o& m" @6 K7 ?, a/ _+ E

9 y2 R( `9 d2 W. b. j

# o, U$ U/ B! H* m, g5 j1 F! f. l0 e vshapes= 3 T" s* T5 V) i! B4 o8 c

% x0 x5 c" p; v* _8 e

7 z+ D, Y5 h! W) l& z% V/ @5 \+ ] vshapes=
% f" m5 K* J1 @. C
0 M7 D# V s4 M 0 _$ c6 }6 k# D0 U4 W

1 R5 A: I( P) b& S* w! ?# X( g- B

7 U; N4 U; v2 v: ]2 x' C$ F6 u HIS系统 U/ |$ Z8 y0 v" Y9 X

1 Z# D7 f+ _ n+ `7 E

8 L% [3 p+ ]/ l+ _5 P- a vshapes= 8 J. p( S% D* X+ ?# s% U

) }6 O0 I9 j8 m+ |

4 b7 m1 h- P; j) P( K9 s# V1 X) B   z% G! y' ], \& n

! j2 Q6 M7 k a8 U3 v

# W" v1 b3 m4 P, v vshapes= % D7 \0 ]$ c( }* U. k/ Z1 B4 K

8 R. W2 C3 M$ Z5 j4 \

: M. `$ s ]" C# F: L) x 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 9 P$ f& _8 H( p8 x4 {: G5 `5 |: q+ m

3 i; F7 E- t9 |% ]$ b$ F5 d. L

3 s, _- G2 i: t
1 z& S4 N! ]' o' v1 }
# ?* n. n9 G e0 S5 x E8 P- U6 X# J# j, x! G5 M

+ q: N8 X) t3 p) @( t

1 x% B" Q* _% Q 后话 3 t5 K2 w+ ^, F& p( p. m& K

$ D! P, {: Z& l, B

1 p/ D& } r' F# q" t 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 , s4 f5 u# |& C

0 U; n& u5 r# m+ W) w) E4 ~
1 ]$ F4 Z P2 L% |' w4 H / v7 R+ j9 }% S6 m$ B& ^8 {
3 ]2 b: y* K8 E ! y Q5 x/ P3 s0 `
) |6 a# |( {/ R3 L# ~5 H $ i9 J% a: u# E! e O

# y6 R2 t' L# _$ _) Y% b* Q$ n) X 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 $ E1 M0 m6 r' ~. u2 b

! i* c: K- X* \2 Y3 |* P& H

4 y1 ^" G; K% W8 t" T   * o* D+ Q7 H ~ @1 y

z: k. ~& `8 J* w3 n; L& n
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表