记一次某医院渗透（近源） - 中国网络渗透测试联盟

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！
1 o8 t4 r- t2 H. p6 F9 b# o
! D, [1 @1 i* C( z; e ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">

ingFang SC,serif;">

- p: Z( m' F7 K; K' K) D6 K1 ^
. `* t$ P: J+ S 众亦信安 8 T/ u+ Z0 Z6 D; g% W+ f8 m
& S7 h0 y. ]# G8 ]
4 k e& j3 m, S: R$ N 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ! o l: m4 k% g: F2 { V- k
, ~4 T2 G. X {- i9 ?/ v
1 I2 U8 ?( m- C& N ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> $ T5 w" B) G, B* l
6 ]. p& \; c4 K) _( v, j7 L2 k
' q; F% v; \ l3 @& {& x2 v2 t, M 公众号ingFang SC,serif;"> $ l7 y; V9 |5 D
: x5 p; I, r3 i' ^. ?
2 I. M" L8 x* i3 @( l, E$ g
! ^9 j1 B& j, _/ c0 H2 X
- ]6 @! F6 V+ K3 k b3 a1 P2 m# p9 `, V1 o9 Q1 C+ J. I- \) J$ e, U
7 h* C. p& Q" q6 H
点不了吃亏，点不了上当，设置星标，方能无恙！ 7 f2 K3 N0 e2 j% P
0 R; l4 ]7 F! S* ]7 C/ o: b ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 2 n% q4 Q& A, V8 O+ C0 j) H+ d5 R
- |" A: j7 q# y( `. Z3 D# s! B2 ^
3 ^: z, l" ^: w1 [5 y+ Q% O 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 : y& m! l+ K p7 I& u9 t% Q0 A
1 r. d& ^5 v! J
$ }1 r7 \9 y+ [: s1 q ) @5 X) E& p6 K+ f* {! C
* B& U9 |1 Y d0 {0 r; [2 A: P2 L
2 ~2 J5 v2 b; z( V " Y2 v- n! Y, S- S! x
' b0 l4 B8 g4 x+ [) } 无线or有线 ) z" [. `$ f3 ?
, {' F) o y& [7 ?0 M3 Q; y% A ) u7 B; E5 E6 `& q/ l, t' h
. J9 y) k; q% i" P; I- Z . R( p# }. L$ o6 e g- E% X) d" m' r
. x' I8 X7 @5 V- T 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 7 }% [0 O5 ?! I/ u
( J1 i7 l: J9 w$ o. R7 \
' W0 @4 v9 T( W- Z D1 G3 R! m 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 $ Y7 N& a% w9 x6 x4 f# q
5 D2 Z, o C; `2 O8 h' g
! h: p% W; y' u r+ h3 m# F + A$ p# h* t. X; m( y
0 O% v2 O! ]2 Y2 M; {2 o* i6 ]# i
; h4 I' _8 W; [. q1 K4 J) g 8 O N( B, t8 Q! h2 @9 W' l
( m. q+ p& J' l6 i% E
. S: [9 l9 o m- k 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ! _% D1 z4 o5 d- x, Q4 s5 X: U! @
W* o2 g$ Q& t* ?0 `! m
9 C8 s) I1 g) z % q/ T. L- v, u& L1 U: @; S
/ a6 q6 S# D8 Z: l* }" V; d' b
# |# y( x: S7 U( `% r/ f3 h 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ! c: v- N+ u9 i- n' u$ }, T
& t# j6 o+ e4 |
7 [( D9 c" E7 n- P, w8 Y9 A9 q8 ~+ N 2 _+ C$ T; }0 v! ?
, S* f, U# L0 q# l) X
+ m, t& t. p! o' h# ?/ [7 u0 M2 n 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 - Y! y2 o$ e/ u1 T0 j
( H' y+ J0 e" F( h9 T$ \* M0 ], I
5 E. E& W0 ] u" A5 Y- q6 u' I+ N 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 7 m2 v4 ?: m% P @7 e$ Z- [6 U7 a- J
K# [$ S3 K& \, ~1 C8 Q" J
! Z, r* i) t" H 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 G( Z' ?+ f+ k8 k2 V3 f
6 \ U* v7 ~# ~6 ]) X1 t# F7 x
. \ \0 b: H. q 8 x' D; r! C. o0 M9 y0 t/ \
) Q4 C# y$ x1 i# c3 F+ D 内网渗透 , e4 U+ l8 d+ r- A4 M
$ q0 [5 T9 x# {* V& _ 0 F% c9 C) d& e" T. M
; ^- G0 k+ D% d4 `) P2 z3 u # Z P1 E' W+ V. r. G/ J$ |/ A
9 I9 B% [ k8 N. H$ w win下搭建cs和linux类似。 & R+ ?: ~$ Y- u" x7 y4 ]" Z; O; T) n
" W4 ~" K; G! ]! Q$ j. C5 K" i8 ^' p# V
4 I/ Q6 p" P5 n
teamserver.bat + ip + 密码
( n9 U: f7 Y7 I0 R
. l2 ?" u4 f+ W" G; K" w0 M
8 F; O0 _% a$ |0 h5 l 4 ^3 i2 N4 ^" ~: z; x. @# `
' x7 Q& S0 e+ e' Z- h1 t
: w9 S. |7 d+ l: M fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） * I3 y( b$ ?: d
: n3 f* k8 }6 s; z. K
- I5 X2 b( K& Q* A7 E 0 E7 r$ s5 G7 V; H7 b
1 r0 B; ]5 X: a, z- v% I0 a* s3 B
( B) ]. C b; s' _* Y+ |! X % q9 t. t) I8 ~5 b
7 t( C3 W+ a) C8 \2 G8 l: C
/ o6 W/ V- `) X2 _ 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
% W4 e L, h4 q+ K C+ z- k
8 G8 L6 |9 [7 v1 s+ Z' s8 @. S9 X 0 ~$ J2 Z. C; o: X6 e/ l
4 ?( m+ _7 g( n! E
. k& r( X2 l- e( V% B& X # W5 F+ G8 [% d! K
6 i, L9 J' [7 `* Q- E1 f4 Q' |
/ A+ ]+ x, `& `/ F# Z fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 3 s9 t& {' a8 ~: b; u
. D! E! s0 P A! n
6 i7 }& d3 P3 i! D- y" z. K9 H- W PACS系统 2 q' w) t4 j5 p2 k' g: P9 N9 d
6 C5 p2 d$ t' B$ F8 ~2 b
1 w* k/ \7 U- c; {4 w7 Z5 N: I, \ 4 v% L U6 k1 x; ` D, {- J1 P
1 z+ x" |& V: |3 H# }, u5 f
; }. p- m- P' `, l8 G
8 I6 j7 b4 B1 X' j+ z" |9 w& X& Q7 X
- _+ _# i4 y" d; _, A " q4 i" N, d# ?0 P0 I+ Y. M% F7 g
) T6 u) W+ ~' _2 P, M9 t2 |
, i& h% ~+ ?" L; V) o3 [ HIS系统 ) F9 \7 Z N3 B* S
! {# d; M$ ^2 W# l2 O* Z. l( v
8 W) a0 h1 T# Q * ?2 J- f2 @# V4 v. B# t
( f7 L+ I8 }' a/ `; Z5 E
' \+ N- ?" x8 l # G5 O7 H/ T1 c# S- M
- Z9 e* e0 i4 L$ K* k8 L
: f' ?2 K# _' I3 M5 N' n " w4 M, `" b. E1 `0 I- c
" _0 D& K0 [; j$ C+ e. M: r
9 G8 \& ?( r H, \! H 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 # ?5 L0 y1 f6 p" Q0 W- ]
3 I3 y9 ^' k R1 N. f
( ]8 O, k) A# o* A. W! M
4 d! s9 k8 K7 I2 M- V. y+ @
9 `8 N$ R2 {) n$ [1 W8 A: ^& m* o; g* _4 v I3 K
# c" g8 M: n3 \! g; I/ T3 k. ?7 Y
* z* S8 k8 u5 M! B1 T 后话 " H4 G* {4 \) P8 ~8 J
0 L* I0 m0 J0 \" }4 Y0 I9 n$ f8 x
8 F, F9 j5 `9 `2 l- E$ O& d4 R) E 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 9 e h. H' o$ f& `2 U1 c
$ F7 u5 |5 G" j& e# P8 I
: D4 ]* l1 r9 \6 U( O" @3 j. X0 r 6 V6 J5 p1 C/ K/ R' l: A+ x8 l, [7 M
* a# w' Q8 s& b 9 B4 G3 E7 A* V
u3 R# m5 u8 F" ] P 9 |" m+ A) |; j' q3 P
- a: {% P( Z3 P 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ) a. ]# {0 V9 N& Z
' H# `' w4 i0 Q
" I# ~/ d0 x, L# J3 p( A 1 f/ j3 v' Y2 i# f4 t" |4 M! t
+ V$ W4 p/ ?( l8 N5 E: D) x

中国网络渗透测试联盟

' b0 l4 B8 g4 x+ [) } 无线or有线 ) z" [. `$ f3 ?

) Q4 C# y$ x1 i# c3 F+ D 内网渗透 , e4 U+ l8 d+ r- A4 M