记一次某医院渗透（近源） - 中国网络渗透测试联盟

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！
* E+ G/ @- }6 {( `' E! c% R
* A9 m/ A- g* ~2 D& \ m% EingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">

$ ]' A# F, @. S9 a8 v
0 O. c' z7 y2 B- p) V 众亦信安 5 d) G- R9 O5 W3 x9 d( ~
* S$ ~" v0 L7 e$ u8 @' y! p
; y, h; i6 Z$ k {& ?) _ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 3 c$ G4 d s4 h* W. c8 \
: `5 S, F; V8 v+ C, i+ l4 U
' r* `2 ?; S: `" H6 D ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> / J( p, a- t+ r5 y7 I- {$ g4 q
! L! ?' s% f: q- M
9 _( a2 x- J; b1 S* Y6 A& R3 F 公众号ingFang SC,serif;"> 6 P( J0 }$ q+ I! }" r' \
: Q2 Y3 W; Z4 B q8 [6 ~1 F+ k
# l$ }9 f; }" x7 B7 \+ a
# r* w2 K% X8 c) t
% {* U* x v0 ^& E; [; k$ m9 c6 @ ) v( t1 a6 y5 R2 x. P; S" _: O
! X% g Z! ~8 {$ U- B
点不了吃亏，点不了上当，设置星标，方能无恙！ / z9 s) t/ f. b2 ^' Z7 D2 D
; N& J E3 F; r: D* t ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> * }' u# s( Z5 j( ]% M& H2 W" f
- _, Y1 T, X( D7 V2 Y E! e
' Q) `- R, n* ~) Y G 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ; n/ l& q4 a2 Z, V5 @; {% \
0 W' } y- Z t
' h- ]# c7 M" l 6 t2 |1 r* C5 L$ y1 p: W
6 j, G3 i& G; c' O
' R% |, {/ k+ \* _/ q7 }/ p # J5 {' d/ {4 m3 v; W6 @: z
; |0 }; U4 ^$ M. |8 D& p" p9 J 无线or有线 7 e) X7 K/ |# J
0 p2 q/ l3 L, I ) e: K6 u3 N% ~- M4 b
( ]' A% x4 v! k; Y ' m5 N1 o5 J8 ~, F4 R
) Y, p8 r+ K! U1 F! ^- m 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 a# X% N% s' k" Y2 `# a
; f. ]6 v2 S/ f" {: V
, _! u7 W; x5 x. N6 O 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 / G% `" `1 \' }% V+ n- `8 A
7 O; k0 m; u# g6 b p, M, u
9 _: j' t* e% S , z( {, `3 _; U V' _7 m) y @+ u* v* v
Z) O- z0 u+ l& u
/ k8 H/ L2 y+ d3 ]+ t- c! i; ^ , T3 `) E" P6 s8 D0 o( S& b" L1 S
* H8 p: y# n5 U. ?$ U
( K, o+ M9 G, X 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 0 y5 l3 Q5 t' p8 `- \: e
( V2 R) c$ B/ ~- x( q+ G5 o
+ E7 b2 z1 D- I" k / s4 b. T- q! ^ z6 z3 \) ~/ T
4 l5 o3 Q8 x4 S% \$ {1 R. [) `4 Z
2 {4 l, v' W' W, z% a* G 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ; y' t6 v/ r2 {# N
# ^/ g5 ]' E% }8 Y7 t7 G) G
9 v7 h& `, |: d( k) D : P7 @* y2 T; X2 _% o! Z7 _1 _
/ D# `' n O- U2 u
N6 t$ k% {; h1 y) Z* A8 l- z3 R; v 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 1 e7 I! Q9 b8 D# e2 C
' C/ n2 q" G. ]( _' ~
" k0 W7 o) u. \1 ^1 s" }3 a* M 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 % Z( Z) J+ y+ W* |& m7 Q6 \4 H3 f
) b. n( z5 v$ ]) d4 I9 ^7 U" Q; m
/ c) {+ l# T* c% o) _ 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 & Z5 ?/ F+ g' Z( U4 S) c5 K8 q$ K
4 z6 |; W( ?1 j2 p
3 T/ E" m" }4 m0 H3 V 8 |2 d, B3 L' v/ D' a2 x$ t
, L& Y4 C0 I1 A, Z 内网渗透! e8 X6 V9 c! ~/ O- D
4 b: c9 V/ Y% T$ h ' q9 ~1 t4 p; r4 ^; B
1 j" |0 h! Y+ J& _) T& f ( i2 W5 h- \# p7 |3 E% P2 i% H ~
; C( N+ n5 h3 F) V7 O% S& D win下搭建cs和linux类似。 0 q3 O! g& Y, }6 H) j. D. A
3 ^5 W1 M: k% d2 \0 P
7 J" Z) n! U, v2 z1 N3 j
teamserver.bat + ip + 密码
; ?: t: k, ?3 d% X9 |' e
6 v% {2 d8 }! a. V [
- w: T( D% d) @( l o0 @ 2 x* Q+ e1 K; |9 V( u5 X V
2 [( ?( d6 U" r# A# c& i$ q
4 R5 M" M* H0 d* n8 f2 o fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 2 ]/ N2 s$ l% i: N8 R8 A
/ T. s# k# u: p( s7 J+ E# N5 X
[5 j! ?/ H( ~ 2 h4 k8 p& w# _- c; g
. j: u% g/ X7 J, s0 w$ {- B
) K& [4 @1 I! x" u4 i " i1 v4 X9 {% J) `
) \% o" O$ k( f% O4 u0 B6 G
( M" T2 }7 H: A5 l' @7 L 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
: T7 x! k% h. e' n
: ]+ R% j) l' ?* P" q' i- v' y/ Y% H2 l" G5 A2 ^
7 i8 J n3 s: k8 l
3 Y& H. j! S: S3 W) b : v; r/ G* D2 ^. r9 }# X
6 g0 ?$ p6 u7 S3 l; T! e! ~
( Q4 `6 c6 g; ] fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 1 y- M! ?* L/ }1 h/ k
9 ~- n" L. X4 _
( h4 n4 y) q8 ]/ B7 ^! ^1 E# Q PACS系统 % B( q) E+ z0 \& x
0 i: U+ e H8 Y' F! C$ m
) v' Z( J+ B- ]$ D/ \ 4 K/ C6 k) Z" C: ~
' w( L" Q$ m+ U, @# z4 o) _
1 m# p z8 _2 N. k) U3 U- d
8 \5 Z. Y3 _7 g& Q3 T
) V- t* }) R. ?. X ; U, X; e; U! L6 P- W9 Z0 d; w
6 S ]* D4 B E2 G
! o+ C& Z0 l& `( P* h HIS系统 # @' { K4 \9 v
. K! s$ j" A6 q" G8 x4 p. b" P
* {. w# E3 Z0 i4 E @) ? 4 E9 b# v- K9 ~
! z" Y4 U- T3 T
7 a' Y3 d- p( g; L+ w1 }0 x ( h, Z: R- P$ O# B! u
+ W* u3 h$ k6 n7 U
' k: N7 Y3 a; ~! q% @ R # C, T8 {" r2 T$ f
* y( G7 V1 C. S5 C
- ?# m( Z8 @3 T- d% _4 v; E 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ( c# _+ ^! t/ @. z
7 m' q6 C9 C2 K- Y: b
6 p% ?+ ^' {9 ^- c) `
/ n5 z& m- j: }2 l0 h# d: \+ e
{7 o9 {8 ^! s& }/ |# s8 q/ z2 @ 6 e o" Y! b U& b
& q/ W) q+ p9 ?7 J& j3 R0 h
# ^( Z1 W; l9 ]0 z5 s4 ^6 G$ p) k7 d 后话 ! f- K8 |% }! h# ^# G" x" \
! c1 E+ w( f8 J/ C: n
$ Z0 ^( m" L+ e0 y1 ?$ U% _ 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 % K$ A; ?& K" J/ o$ @ i' Z5 f
4 \% e* U# _. m7 R9 C; j! |
8 P3 U& t2 q) F+ L; P/ E; e) @ ! @0 f/ ?5 Z2 l( l! `# Y
% |+ c/ u! {! T" q+ A3 q+ b ) a% _5 v* c% R5 ~- {* \% Y
: I% Y, J+ ?) I4 J% Q" | - y. _* F$ u6 b/ Y* \
( Z5 S) K, k" D; v 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 & N5 ^' [ d1 E- C, |6 s
) D5 G8 a3 \5 \( l8 d
$ q, ^! f& P* I \ 3 Z# G: s3 }: }3 E9 c: U) p/ b
7 ^& K& F8 R+ I+ x) P0 y$ R

中国网络渗透测试联盟

; |0 }; U4 ^$ M. |8 D& p" p9 J 无线or有线 7 e) X7 K/ |# J

, L& Y4 C0 I1 A, Z 内网渗透! e8 X6 V9 c! ~/ O- D