|
( |9 A- Z& K+ O B! B1 n* p" q+ | 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 + \, P, y( U; N2 a5 L ?
8 j5 R8 B0 u' g* |- ^
/ |7 l1 r( a! l1 [" Z 众亦信安,中意你啊!
8 r& h" w) ^/ Q$ M* c
& Z# ~, q4 l: i
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
0 L: h% k) t: J* e( c
" a' f1 \5 e+ u. d' Q, p
' a$ n9 P( U; o7 j8 n3 { e ingFang SC,serif;"> , h0 z! ~0 ^$ o$ T+ X& j. U
8 s/ x" ?% B2 x2 g( N/ S % b( w4 P, p/ J; m5 x- E1 s
. g9 F, a q* t+ E( u
众亦信安
; E; x1 S* `( j+ u0 z; W: |8 s 4 }; [7 w) J& p. e+ d6 a+ l
9 q. O$ c, ]- L8 j1 ?9 |+ I: @( E; f" z
红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 9 O R1 X; P5 y6 N. V! V
* l) r$ i# ?$ O
( ]6 E: ?& r' I5 d0 U ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 2 E x* ~& O% }6 O' T; S
# E( D# v) D3 }' C/ z
! T" b( j4 _. @8 o: b
公众号ingFang SC,serif;">
. L. C" f8 L( l1 g6 }+ S : Y' D: {0 B* Z1 y9 i. D% S( q
9 x4 d$ r& j( F3 r! L1 |) T
* O2 d1 Z/ N4 ?: Z0 l
9 U4 x. L4 ~) J2 M
) {7 p* |( z( m- _/ t
5 Y, U' S. i* C t& S8 k( j! z点不了吃亏,点不了上当,设置星标,方能无恙! ) Y- ?. G/ P, X) f, X
1 J; C' A+ @% W ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
. n7 F" Y3 L3 \) f2 v/ v; a& D: |. A0 ^8 R
- P' l+ b: u! n2 K; p( Z9 |/ _. y 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 + k& y( d1 V% H/ \! E ?: q
- W- o2 E6 D. ?* m/ d8 _, h; x6 c0 @* U% l' X, o( D
9 G7 o& ?0 [; D8 D2 Y x
9 F+ Z" C- t2 Y( ~( c0 x, l, o
3 N1 m# L" h) X % A$ J! C! X8 J V; c
0 e5 G+ T. ?1 z" D" D/ p- j8 e8 C 无线or有线
# y3 K0 U/ n* d1 z& L! x
" _4 C2 @8 H/ I, q
. b2 |8 a$ [/ _0 N5 _ ' I' C( a( [. s2 l6 C z% p5 J9 |+ \2 b1 m
0 m7 }! ^1 ~5 K, V2 j
8 I' S; U( i G' P* ^7 H9 s2 d: }+ u; X 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 & Q5 ]0 H7 {9 R! `8 Q/ u
0 N: l% k9 f7 m
1 v7 S( _) L1 [1 d+ i1 T 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。
1 Y4 y( @) h y
9 S5 z3 C# i. V x8 I( M$ L, c) I1 M$ g$ G6 u" z
% E: ]7 X/ r* T$ v % r: c3 p4 ?* g9 Z6 q2 l5 Y, [
E9 a; l6 r7 o' W2 y5 ~  " I: Y! E3 W8 L2 `% O+ ]' X
. H- ]4 s. r+ T4 w& c
0 `1 ?) S& H1 s. o }7 J4 [! w 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。
0 S- L: Y& v' u5 g0 g3 v
6 u' u( Q6 m8 I0 I4 P+ b7 y/ `& ]0 U
, E4 r1 O! a) o5 S* S 2 J, K) @! d: ?
8 v4 R/ H& w* l8 a' b7 Z4 g6 Y8 ? 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21)
/ {9 R% c! `# Z" `$ ^. I* I 5 `$ Z1 l5 K" K! L8 C8 ?
- H7 ~! F5 m- B( k. }1 b
 : N' \3 |1 k& w C) o# m, A5 n, E
0 i2 Q7 F; R8 L8 d& n
$ }( r* i. f' i1 Q7 S 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 6 d! T7 e: C w+ L& \1 j
& w$ g# y8 L8 \* R- E
$ n! I3 r% s' c2 v 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 , |0 A+ ]5 \" W
5 {; p6 g, z' j+ z+ J+ |% H2 x
, K1 c6 k( Q1 D% a, }
一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。
& B5 Z0 `+ a& @) L 9 Y6 Q3 ? z& {7 l! @
5 P) ~; ]6 Q3 f1 }( U
, E1 h9 l3 {* m4 r, E; L J( b* l. j8 Q4 X
内网渗透. f/ U0 |) U/ k1 G! Y5 p: X; X
: D2 E' N! k; T3 q. [
# _0 e3 c) V9 d( l5 x. ]" T
+ p& ? Y1 Q- ?! ^9 W! h1 i
+ U, H- f" K( W5 Z& ^, o$ B( u: y
win下搭建cs和linux类似。
! B1 W \1 X9 Z9 {3 U+ g1 y- g
2 K5 `. s. T; P( k2 e2 }0 ~( p
7 i! A( d M) b& cteamserver.bat + ip + 密码
6 w! [. W( ]( p( n) F) S8 R7 ^1 D . ^ ~! A, C9 f8 N3 A3 o
- {2 @5 Q; |# S! ~" M, U
 ' a1 {$ R! G2 S# x! }- H2 S
3 f1 \* x" }1 {. @* {( @; h
" W1 c$ a+ w* O" i7 E9 ~ fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的)
( T; V3 ?: ^( G5 A1 [
4 |) v5 f1 v& u* F# v
* l: Q( t1 C2 M4 u/ g 
) X) |5 g4 ?% l, x5 B5 w % u6 ^4 W1 L) l
7 R0 A# m; g4 G; O3 R: X
 + f4 G/ I' _5 [
0 K6 f- B2 v; E$ p( |
# y h# r* G' P# \ 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
* Q* ^" @ D8 i8 m- A9 H$ ?, s% N. F
/ @# ~& `: `* |1 K/ y! X
$ `- J) B3 B% S3 s5 N- t* ]
' O. p1 K6 {9 d" d
: I s7 c! d" l& O) I/ E7 H* @ 
7 r0 u' S) z4 y 2 S9 S& }, ^5 i- }5 ~
. i5 q! h, o8 w7 Y9 o, G. T) k
fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 0 Z a; z N3 B+ ]
& R6 F9 L+ y: W) l7 Q, D5 G8 \) w! h' e8 f1 N
PACS系统
4 n0 @. U2 h c3 z o& E8 u 0 X2 ^ Z+ E9 D5 q- @. \
6 m) m# O6 W( s# W' E7 S 
2 F2 R: X9 M: ?* Y# k5 r4 Q 6 T5 Y# n; O/ h# b) u% s) b
6 |' u; }& v& J! ^3 C
# v2 L# Q9 \! q* O' g1 s
) X: c! [9 L8 v
- P1 N1 R* m" w: R7 S: u* x% p 7 ^8 `4 [. q% E
m0 D/ ^- Q* n! ]) K
HIS系统
0 F# t6 R' J- T# g# {4 v
; L2 u% z3 z# k+ E# e# A7 U7 F" ?* {; z# l& L
 . l( Q2 d+ X. i* y" N
, J; ^) f9 U- `% @- _; k3 J6 O, I/ P1 ]$ u8 A' C# I
" O8 T0 }( e# W
1 B; u7 F% P% a# m% z# k
- T3 k8 t, I7 }" w  ; s0 i: v3 T- n7 L/ x) S) j* @
; r6 @: f, P. Z2 e2 b4 V6 M1 A, w3 g# u
还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 + T8 S' T- |! a% r
' T* v7 _. A1 y
f& H/ t+ A2 t0 I$ Y, b. y% ?; f
+ U2 M% u' t; f
( j5 c# T) K- u
$ j' ?0 @( _# T, F, a" Q
" ~; c% z! Z1 b! a% R' O8 i
: H2 @9 K6 X# \. @ 后话 5 h2 }! c6 x# {8 W9 H2 x
3 Z* y/ Y4 h f$ B% e
) e8 A8 |9 X; m 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 * X8 f5 |* `* j# E1 K
9 Y5 q3 U7 c: W D! r+ W
/ w# ? Z. `/ k2 F6 |. F% `) U+ x
, z" _, H: x" K8 V+ K& S! r' C
1 w0 \. D' b) w! {# f # \( V* n9 O, f9 |, W
- _( Q7 L6 t; W% p5 ?' z; U6 I2 [
8 Z9 `9 v& O, h" v; W8 [$ O: g- ~) S Q; ?
点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。
+ P% o5 K# B1 N$ r : u0 v2 C( w' A; o* R
. E! i9 q# J3 o- C( q& s , p N( }+ y9 C. t6 G
7 w! Z0 F- @9 f: {. J |
发表于 2024-3-1 20:15:03
收藏
支持
反对