找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 记一次某医院渗透(近源)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1399|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 显示全部楼层 回帖奖励 |倒序浏览 |阅读模式

* K+ M# l) ]3 j. H0 _! q' J 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 ( j$ q, v& c) @8 S& R

+ v. N4 D2 w# E9 ~1 e

4 r3 y& i2 D$ m 众亦信安,中意你啊!
; K- p/ ]. ]$ w
; q! }0 G9 w6 b' g4 \% zingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> % ]* C5 ?0 i' Z o

|: E0 j! |" f8 W0 Z/ q

* ]8 T! g2 a( h% C( j/ P ingFang SC,serif;"> a+ V/ ]( r; ~. f F1 R

, T& ?: d% Y# W! @
) r0 g2 |" R, R+ o

3 ?) B. C1 n. C# m; X 众亦信安 ; L. w% R. w, B( J5 r

5 P. e: r5 a3 X. J2 g

( U3 m" ~/ i& W w- Q 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ; o+ `: P& z* G: G, S0 K8 {

( y0 b q) Q2 l9 A6 M

% O. e7 k% d. B! \) b$ F2 X ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 9 X' y# O: f9 K7 X- i

8 N" `+ Z+ a9 _7 {1 Q$ C& E

' f' O2 |. i# t. ]" Y: O0 ` 公众号ingFang SC,serif;"> 5 ]" _. K' i7 Y0 T

$ O( o$ M( c8 w

5 s8 _9 W2 G! ?# [' o& x- |
6 } S, @8 B3 g! u1 }
2 B/ A) y7 {, P: G. k1 Z; Z# M: s& T: P4 s$ i

# q" \1 A8 r. I1 U
点不了吃亏,点不了上当,设置星标,方能无恙! ( l/ ]1 j9 w9 e. ~( c

o" J' u; w" r" S( J4 R7 H) b9 ]. ? ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  # z5 K) \1 O1 L

% h* z7 @( O3 x$ s

* d0 Y% m" [' x! O' j& x3 g 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 6 D* l: `# |1 r

( m a. V# u. G @8 t8 j- E

7 c9 U$ f( v; q& H' `; e3 `   , s+ j g2 ?: m1 a d( F

, n6 s* H" R: r; b
( d+ E- ^9 Y4 a+ \ 7 `. b/ O7 L" J) T* H0 k) w' [

9 B: ]1 _2 Y2 |: B% B q/ o( U 无线or有线 2 d- W7 o+ e2 N! V

1 f7 q: Q6 q6 Q 5 a# r* i! g2 _
8 T( B4 f+ C: U6 k. @; x0 F ! `" I5 F% h/ l5 h# S$ c

7 [7 o( B" a' p { 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 0 W- w1 A( d; v9 `

: o9 J! x" a, y2 c0 o8 ?# q( Y, k

3 ~7 S; Y# S8 V$ r# k1 Y: Q9 G 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 1 [* @" S9 s7 M- N* h3 r! Z

5 q/ U4 W' i+ j1 D) r% Y' X N$ q

2 [$ v/ [$ u( a6 u& A; F vshapes= 8 g$ J! g: X$ B& q! h

' A: b9 |# v; B. q

, D$ W; F* }3 p( a vshapes= 2 g- S: d3 b6 i. Q+ L

7 @* X% c: N" y) o

1 E8 l, a | W f 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 % J/ N1 S$ H) W3 r& w

" [! t' b* M+ |

4 i3 O: I+ \8 r) z5 f* u vshapes= 5 @6 t* W7 g& @1 _" ^

8 W7 Q% y/ w4 m% D. B' Q0 b, Q

& a# m- C8 c. z& F( D9 z4 x! v! a 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 + b* ?# o' T: H. O9 Y& f3 ~

2 ^( g/ Y8 {7 p2 T) s) ?! R0 o

: I# V+ F1 {: D7 Z vshapes= ; {" G) d M# Y" a1 G$ C$ ?0 u# [( I

) z$ m+ _" b2 t

5 i" b$ L6 ~# \0 \ 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ( d" p; O- |- J1 D

% `( `) I; K' m, p9 i+ @0 |9 i

! W" ~' {, A- V 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= * e- [3 E1 v% B. p! t5 h

: s2 _. M' V( o% T4 ~# A5 [

) u' D: w, u1 z* {- }3 ?- b ] 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) - {- w0 [4 }' v6 ?

1 t4 n; V$ d0 w" N5 m: {5 s( m
. J. H8 r8 {7 T- M6 I & e# N5 h6 ^4 { b& }# E2 S! |

" A" D" x$ u- l- L, W8 [ 内网渗透4 D- s' k. L# @

) q) t, C. a' m) F , B$ C4 c( [, Y8 u
8 i7 F7 f: g: O- w+ { ^& N" F 6 r) h5 O9 E( o) i3 ]: ~

; E' H5 P) N$ Q' N' V win下搭建cslinux类似。 ' B7 e6 C: i/ C7 s+ r$ g

" x' |9 ^7 N, ?' q0 v, b6 e! w3 |2 k M7 F
8 n8 A. z, x4 d0 u
teamserver.bat + ip + 密码
8 I& a, y% i- n* A* R
0 ^' z% ^' N: U# Z

5 Q7 ^( s$ r6 N vshapes= / G7 s. Z, E8 @3 z1 t& t

+ C9 E7 F: E9 {4 o; W1 |# b! b

5 s3 X9 a" H" h3 F L fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) , U! `: P) Y( h) Y, j

( G) C5 s9 [1 ~% M5 l8 }. D

i1 \9 V0 O6 ]5 K vshapes= ! a1 `9 s+ _6 x9 M# R. C

' x C3 B# M/ i/ |7 H) Z. D2 x2 W9 l

; B2 f5 Z1 I" b4 X, [ vshapes= 9 p7 ^! k x5 \. ^$ |

: W' b8 f7 f$ y- A+ }

" |; S0 s$ N' k2 U 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
" d" M, h3 L4 Y4 R
) R1 }+ x2 C9 T/ J, b 3 H) r/ ^* c- `' Y

) |) k. b& t. p2 v: g, p

& v0 J8 ^' z/ W* M vshapes= / ^* Q9 p: {: k/ Y6 l

! a: N. `/ ^3 Q2 x) ?* G: F/ H

* l9 e6 a7 U# ? fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 ; m, _# M/ T/ P

- `* |# q, w1 o& o! w* G

3 B$ `! W, D+ S/ q PACS系统 $ c* N( @; _+ b& u/ V" N$ Q7 L

/ u1 ?) c! Z" Z5 t) Y- p

" m1 N2 Y# _) q, P( ~ vshapes= 2 C: G# @8 i5 K; u/ ?

1 A; z9 |; ^# y# }- ^0 @

" k( r7 j# ]) d) Q2 _" | vshapes=
8 Z: e- F0 x! |' [5 V8 U
2 E, f: X! G4 j0 i 5 Z! Q/ G- A% Z- |, K4 u0 r; i7 `

! U+ K# g' d0 {+ t- S4 N9 n6 a) h

2 j2 ]8 Z+ z' C; F HIS系统 6 S% X5 g4 _6 {

, i: g9 M9 ~, l2 C& C$ V& d5 O

5 X/ y9 x% r8 z* A: E% L vshapes= 9 P$ {7 O0 k6 i

- k9 g+ p8 r6 A& C

( A& Y2 E8 [7 |7 E   8 N* ?9 I: \" [

$ A- U1 L4 R X. i+ `1 g

" c5 b) b, N3 g- y1 R& I vshapes= % ]4 V5 y5 v! `( Z- G: E% b# M; J" K

+ R( \5 m/ ^: S/ d3 `7 T6 D: o* e8 ^

3 E7 u. y- D" S( n5 w3 N 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 9 h, O& n5 M4 t

! x9 }' C$ D, r1 n- d. f

4 F5 n4 Q( y/ @# V y3 N- `
1 t8 z" n' z$ G9 r# b5 L2 J, F
8 z: U. J! _# D( M3 `& Y; X: e1 y " r$ H, A; \! i6 O) G4 G

4 m* f( _' m# G3 f

: I7 g) M4 j A6 }, \ 后话 + l% f' i4 F$ a) @/ l6 I6 ?4 D

. K4 s; \" M$ @: v0 C" i

8 M y6 L# Y; A 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 - E* u. M0 ~ H

6 j. c' _+ C2 H! a4 a0 R0 _: t0 G
3 y. G, }. ]: |/ o5 Q$ l( H 6 t0 A( j9 K! k0 Q$ o9 Q6 k
1 |4 [4 J# F. F" Z8 J {" u u' P ( s" A! ]- q/ N, Y' D2 u% [
% o4 j% n4 y8 a Y& M4 O . K J, f/ n& ?& T* N' [

( q# U4 Q J) e. c* R' g5 D 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 * u' [- w1 p S$ F

: j; u* `5 y! K% l

6 }5 J9 \1 ~6 v- n+ G1 j+ ~7 P   " F3 k6 z1 f% k* O- {& y

6 E2 [" I4 N7 h# L! O, d, X4 D
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表