记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

/ N& I. M) V2 Q9 \ 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 $ r/ N+ V# Z& [3 W, s

4 a3 _; q' p$ K, ~ 众亦信安，中意你啊！
! e6 b' s' ]" H
+ a: @. x% _4 q8 t# D0 S! f2 \ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 2 ~1 q1 h# m- N' t

# ?. E! r% D# H! o& g' W$ L ingFang SC,serif;">8 f' ~$ G6 x [4 S

( O% c2 @ W( U; C
) e5 o8 o0 A' B0 Y" f 众亦信安 : E& s7 W( Y o( F4 K8 j- _
' @! i. W5 V- \# P3 k; |$ b5 e. n
7 _2 o O w; P6 A% V3 h( {0 Z 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> : o4 d/ t+ d* Q
8 \9 a3 A1 G- Z8 ]
" P: t, M# K2 o+ |( N1 U6 k ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> $ S4 p/ s9 H7 i5 d( C
% ^" [) L" I! ?1 ^/ t
7 B3 v9 x2 m, \( P6 T 公众号ingFang SC,serif;"> / J2 Q3 n. _) v' y K+ m1 W+ v) w
! d# j- }( O7 C" r) u, ]5 P$ x
- y @/ ~ h8 M% d5 K+ }# i
3 M! x1 V2 p- g
" q+ g( d X! W; t# H/ {7 \1 b2 s5 p1 e9 c% x& M" j# T
3 p: \! t2 M6 h% f% I2 D7 j
点不了吃亏，点不了上当，设置星标，方能无恙！ 8 ?! W- ]2 ^: z! W: ~
0 U1 s" ~& v' q# c0 }- t" T ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> , f9 E8 F( {9 f8 F7 I
; e u# P5 j0 |0 U' w, D
! m6 |+ o# j4 E2 B# p; q; C 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 1 E% Z4 f$ s1 D0 I1 U6 i" a& R
* u& W# x( U3 a* e' H- R6 `5 g; g
l! O8 }3 q* @# C* y8 w 8 e5 E# t" k- S7 a- _0 G: ]' o
5 A" ~# I; w" C. Y( [% v* E" _* B
+ |4 M- U$ y6 `' E" ], ^ 0 ^) j a) H1 k3 {
/ Y" [9 I- X, c# L W5 P 无线or有线0 I8 s |6 H# U8 C
7 a+ }4 _+ P5 K$ R$ d9 e ' f9 n, P2 m* X- a ], ~
% T8 H& V! }+ _& W$ B0 B % w7 N& z; h0 e) \- b, c- R
$ h- A1 B1 P6 H& N 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ; q& k( Q. {/ T& j6 V1 E
3 D6 [ e J; l# w; s0 {
( E8 J3 G7 I+ H" v 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 * W/ V+ Y3 s! n3 o6 M7 u; l& L
5 C6 M; o* [5 C* O
+ r: n' E" u! t% I$ C 3 A' p& d, z$ d/ z, U
6 g9 [: \# N, }( O' l* o
: k4 u, }% ]: A# U, O0 z + F9 O1 O; V$ J0 o9 e2 F
% a& o$ P* u: J0 H
) P% M B0 t# l) ]* C 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 I0 }* d) g8 R e% {6 h
- ~1 k1 H' Q) W
6 z& b$ P: `, \- I& J ; b- `& o% I% s& `* m+ ~4 h
7 x1 j+ ~4 V/ t3 a
+ r/ Q* l2 r& a4 |3 c" \ 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 4 V6 D+ W* H0 w s
' _4 R9 o$ M+ }+ A0 K3 x
1 ^9 g: L' g. P; O6 z ' V% R \+ n h/ ~2 k6 |+ d' n" E
: n( t0 p5 I& k- t8 t7 L" x7 f. i% b
/ a& t- e5 U1 F9 Z 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 * c+ R0 t) B; P+ c8 {; |* m4 v. ?! j4 @
2 J2 g2 a1 ^' f7 g! V
8 f4 h# W+ u3 B8 n2 ] 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 * A! P$ H& R, C0 d
0 h$ A4 E1 v. R5 E D8 J
' e( g* ~3 h( k, n' j3 n9 l 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 9 `, g6 g. F! S [1 Z- y8 i$ j
5 R5 A0 q6 _3 M2 I9 M: q8 e \+ O
/ U# H* {6 L+ i1 [( j* Y) N ( }$ C8 I! a! F
0 J2 C/ H) y% i e( e$ X 内网渗透 3 s: D1 }$ e+ d
; M' l* W7 L/ f9 Q, b% { : M. f2 Q. p+ X: I1 N8 b" v! {
9 m: |3 i2 J# p 8 o* K& d& p6 w; m
( O/ u, Y. [+ C8 X$ L( k6 Z win下搭建cs和linux类似。 1 }% d1 c2 L: @5 @5 A
6 p2 q; ]# D; w) j2 |
: A/ ~) T1 }8 C* D
teamserver.bat + ip + 密码
7 \, F# T: b# C; a# v) Q
1 j8 A4 \$ L+ J5 V+ m% z/ L# f
! g2 I3 Q3 o# ?& h. K% H- B % J& e# `) y( g% i H* U
. u& R& T+ X/ H: K; ]% M" a
. C( g' Z. R0 n' U, B fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ! M* W; s% K! j' a! L, y
; h9 F8 L/ J$ b) Y: A5 k1 N
( B+ ~7 W6 z8 \, ~ 6 ^. E D; g3 t- h; Y1 V. E
) u8 T, M* M; _3 J
& a( m1 T, `3 I! a* g& o * ]6 m3 G5 H0 Z
' g3 T' C+ Z7 \0 s
" a4 K t: g" U7 D( E: C8 f 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
/ E, Q! v9 A9 \+ n# l
1 `, R8 I5 u1 `1 X! d2 b0 n % ~% z6 f7 H6 _4 g/ D
" D: p3 E. ^& h- N! E
* `. ]5 w8 a+ w I6 x0 k7 e & F3 T4 d, L" H. I4 \$ K
0 _. Y3 |; r& L' ~8 G" K+ |
0 U- ~5 i% t# e fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 8 |& b* j4 q- O: S9 g. C
1 |' E0 j) T, R4 N
. F7 q! o2 k$ `7 } PACS系统 & K2 N5 C$ `, k
3 |* J' j8 f6 C4 a+ O
$ p7 k2 p3 U' u6 v" S + W$ i5 `+ X' Y, C- s6 X0 L
- o- p% J: E9 ]
3 @, \8 v" {+ x8 Q
7 _% S/ F0 v h' r
^' B/ c8 I, N7 r3 O * I, M! u2 f0 g1 s4 c+ r
5 s1 x) ~" I& K+ M g
' F4 s% i4 e% V9 l HIS系统 m2 l8 g4 h3 K) ]& b; y
$ W r1 k( [" l0 m$ @/ `9 X& C8 v
: u! d" L* H) c+ j: a9 |* ^! t4 K 0 Z2 [6 q) T; D/ K; ~
/ B" G% k$ S$ o$ `( x/ ]+ t( @
: x. | h1 f. @" P; L2 Q ' I& z G- d0 Q' K% Y. L2 g( v6 m
. i2 w' s- Z# S' F) x, J/ r+ J
& [$ i n3 y7 F+ J2 A , j |( s( Q0 g2 u; ?5 G* I
2 l# w8 Y3 l3 W# N/ J, \( |
; K% Y- I- u+ b: X! q& x: m7 _ 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 6 y- o% b" k6 g, Q
, A7 O g9 B1 {3 W/ ?
( a* z" Y6 N& f) p
1 W0 D5 |; T9 ?
8 e7 T) X& T9 Q/ F) ]# Q8 w" F3 |! r8 {& t. d( `4 F
4 [% v3 k. ?8 r$ e9 i7 M
U" c1 \" }! z, A 后话 - X2 e. A( I3 }' D5 Y0 N, B% `
! T2 l9 }+ Z* M" o7 w
) y6 H ~% g4 Q; V 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 6 e9 K G# q% @. _. L
7 m5 @' T" J' v% K0 y$ G
1 _; K% I4 ^: F; p ; B! r5 Z% S' l2 G$ X8 [
: `5 w9 Z2 p, k9 r" D. b" l; S* x [ ' _3 x- Y7 f( W6 q0 J5 z
: o8 N) F8 X8 V1 X ' Y$ ^2 E+ I- k& Y0 i, ~; d
7 C% ^8 K$ X1 P' e1 U 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 8 L7 u6 ~0 Q. b
2 ]0 G4 U9 p4 A; A' r
! S) y% l: Q8 N6 }: G3 N 8 M+ d" N. ?" `0 }
: S# W2 I2 i- ^$ P

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

/ Y" [9 I- X, c# L W5 P 无线or有线0 I8 s |6 H# U8 C

0 J2 C/ H) y% i e( e$ X 内网渗透 3 s: D1 }$ e+ d