记一次某医院渗透（近源） - 中国网络渗透测试联盟

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！
( ~, P `8 v7 v, D4 |. y7 F
1 B& \8 @( L7 Q/ [3 h ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">

" M$ B/ W& x2 C! z4 O1 b
) w, o! S% V$ X+ q+ G+ t* g5 x% f: Q 众亦信安 ; M! h4 ?3 `3 y( `
9 h6 T2 H- k0 n7 t7 g3 }. t" _! n
- c5 ?0 [' b9 X- m% d6 N' u 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> % x+ P8 K6 k2 M1 \# ~+ b+ @0 S8 h
$ Q6 y0 e3 k% ]) e3 y n
- r2 I! P4 q x' c. a ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 5 n1 m. Y; t. {$ K% g+ |
7 J. a. E3 k0 ^$ u( e, j
4 v" ~# ^+ Y9 U# s* G 公众号ingFang SC,serif;"> : h% n- z3 T! _2 ?
+ q2 r# p' g8 x
/ X# ]; C1 q$ N: j
! y2 S4 a9 j6 S1 _
6 ^# g. S" f3 |6 F ' A$ ^: z% s5 t6 o1 i% o# ]) v
/ p2 Z# I; ]) D7 P8 X5 w7 `1 a
点不了吃亏，点不了上当，设置星标，方能无恙！ 2 U& x& ]/ h( [2 Q! l
9 H. `: Q2 X; H, L! | ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> & B$ l) I5 |( N: t g6 c5 n
# o% ]; R2 \" ?$ h6 Y9 O8 l! n; @
/ p8 w2 d u" j' X 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 . i) b) J3 h q0 ?, g5 m
~! L' l% V/ K) r9 y2 Z, l
" v3 g0 t9 C, d) O+ C ( ]1 o4 H4 l% a p0 a
+ v. K$ n6 b! j$ t( u9 @
) \) h5 C; H+ H1 I9 o 8 {, h/ [+ a, h# q0 N2 k& [8 ]9 |8 r I
! E7 x$ c! [3 n9 A' |/ n" Z 无线or有线 2 `& w! F2 M5 M K. f
; h0 Q) X2 P+ t0 Z' H6 { O Y) e/ i0 _" X
) q' g* z2 t6 X4 h# Z$ @ 2 {- X' Y3 ? {# {7 ?+ ^
' j6 L: x' e; H 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 : w: }# I2 U+ F* A+ h
; _6 m+ ~' q5 @
9 \$ t5 L" E8 b; C 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 2 U* h( A! X9 ~- ^1 m0 e; L
$ i2 b! Q8 M, r+ G5 A* j- ?
7 R( X6 B! i0 b! e$ k. G1 i * H+ D5 I' u- T: A& B
/ ~* M: L9 j O/ {* l7 S
( j1 `8 E( Q. x ; d8 e8 l5 P: r8 \# s8 M/ X
6 g* I' ^& {9 H, G; @
h$ {$ c% r3 c2 G4 Y6 Q8 @1 d 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 l; f& }; v1 o4 u( ~$ |+ L3 ~
* J4 q1 L, N" P8 b9 y% p3 n
2 ~, @; V5 R1 B " B1 Y& h; h7 V; I9 @
- k; k7 u, d. x0 L% w3 `5 h
. w2 L4 y. J5 P" a) d, ]9 D" g 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） . s4 V& ]* o# ]' j& c1 B
* U: `0 U# U" Z' l; B1 q
0 e% E) I, q! h6 V+ {8 t, ~ ( F# t* C! a: q- O
; n/ |$ \* {# |
# ~% H( P- z5 ^( |' t 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 5 N4 \' h4 s9 U7 b& y: |4 {6 E2 B
2 Z( Z" ^# z6 a2 N0 E3 L
: X9 R, C, L" S0 v' V: e$ @2 U" m 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 & f; |5 T8 W0 e. t3 z. \! ^
4 g% N: ~2 A$ |5 W
# P5 G9 |2 s: O' v! K$ ^ 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 5 n6 |1 p( j- g1 ?- n/ B2 H. p
* }7 ]/ p* p, a9 ]8 ~& {
" ?% x# W5 K$ z' [6 v1 y; w 5 J. V( K0 l! f: V' U
( O; ^+ T8 } B. t 内网渗透* i6 e3 c F* O$ `
8 S+ s% f H U$ S! s # s/ b" D+ ]% m- R9 x
, s% k" m3 _, l; Z; C ) p6 w- w) I9 e5 X/ T4 R: D
u' I! D; h/ |$ g. f( l win下搭建cs和linux类似。 7 ^3 G$ Y: {; o \
" ~2 O4 K/ Z: ~: G+ \( M0 h
" ^1 h+ ?% C4 O( f+ `1 z* N; r
teamserver.bat + ip + 密码
/ M3 w" P% g9 n# S
3 S! c2 L2 i7 X8 `# d n$ g! i* ?
{2 o+ i9 i- F" k4 T K & x Y4 X( @5 P
! B: o6 o% ]& ~' `
- T9 Y, b" t: _& _ fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） # [0 D+ T2 f9 ?/ y# [
/ l2 E! x4 M3 G/ O6 b+ ^) b; n& l
$ {" i$ z8 ?! B% g2 E ! }, G. J* j, ~ t- H) j$ k5 r
8 q2 S8 U: S* @; {' E' i0 E& C: G
! e Z9 W+ O7 a- T 6 _+ F2 q: x O& y7 Q& B+ N% J
$ j& A* i: F& _4 @+ Y
8 M; y# ~4 }0 p; A( Z 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
7 i& q' k( c- i# C1 `8 k/ Y4 V
; g( v' H8 c; R* X4 Z ( |7 @5 ]8 i+ {9 ^, ^$ M
) p- j4 L* S7 t* ]) \* C
; m3 e9 S" o! U0 n / f! R2 D& S8 ?7 d+ X, j: W
) O3 ^+ }1 l( T) z& Y7 \5 s6 x
5 b, x+ T1 c* {6 w8 P5 J fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 1 Y" C; v* V% u$ i9 l8 J
8 @2 [) ~# W; X4 y- N# |
. S9 Y/ n$ `2 H! [! ~ PACS系统 6 z, {* _- Z. \. u: X
2 o3 e; O$ N3 P! X" a; F/ N" M
! w- s7 H/ c9 d % k+ ^7 Z* ]+ S* T1 i0 v9 c- w
/ `" e) F, J: `# v/ b' M5 Y
1 S1 G6 Q) y9 m3 p+ {. `$ S
6 Z5 m; c: }9 I$ d8 S* v5 O
* d! v1 u- O+ Y) p) Q) t( W3 Q 4 w+ G! m7 W2 s; I
( H+ J' S9 E! Z) Z6 H1 l
0 [+ u2 M; ?6 g+ J$ [, A. C HIS系统 ( W" U5 |/ E7 G. V5 d' h! K
! Y3 T4 |; y2 \0 g/ Q
7 ^" ^& c; u6 Z) w9 Q 4 }, ^2 \1 a6 \9 t+ E% x
1 ^( t% Y5 B% Q9 v
3 p2 I! L( p+ [* }( i 7 e* C: n: X& U/ S( V& T7 J6 w
4 z, P/ q7 Y+ b
3 Q$ l6 ]/ x2 z' j 6 A1 o$ s- w0 t+ B
% a t% ?& g* ?4 M! W+ M @
3 Q9 S6 w! ~+ E 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ; ~* ^2 b) {3 k1 }, N
" }0 b% p% k0 O
; Q& b3 S/ [5 J1 Z
* |; f) J( q6 J1 l9 a- X% e+ |7 z; `
9 c7 G& Q! O) U) O5 `6 h & L& \& i3 t$ N/ ?9 O# v8 n
) I3 \/ H% W3 _% @/ H; l
. w k0 K, g! ^( d7 m5 j( c; d 后话 % R; C# c. z) P9 ^" B
4 K! C6 y: `4 \7 [
: a$ q! T& Z+ ]# C* u& R 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ' y, J% R% {( m g2 I4 I
& @) Y1 w; M7 H6 z1 @
/ y9 M1 k7 S. {0 I : d9 u5 v; R# O' s7 t4 e
# Z; h: |. R1 \9 |) M; { 5 x6 F1 P J( I2 F
8 f9 O% \' }' a+ D E/ m2 \; U$ q& ?6 C( ~, z6 ~
, V3 v& R' }( d# r# x0 {! `7 o* K 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 . U4 A& A9 X) ]6 G1 Z
* D9 @) M' B0 N" a c
$ M5 J# p7 r& }7 M* U0 u. {, a 2 D0 S/ r$ x& `/ t4 ?) U& T
) f9 _) h% a9 l( ~% c# e! l. z

中国网络渗透测试联盟

! E7 x$ c! [3 n9 A' |/ n" Z 无线or有线 2 `& w! F2 M5 M K. f

( O; ^+ T8 } B. t 内网渗透* i6 e3 c F* O$ `