记一次某医院渗透（近源） - 中国网络渗透测试联盟

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！
& U+ Z3 F0 q, ]1 k) E; Q% v1 k
2 V1 S% M7 ^& V/ n ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">

ingFang SC,serif;">

. Q, ~* j. Y. t0 n0 f- I
4 i! L: ^* ]2 A! L" ^ 众亦信安 8 ~; r/ J, H0 \! j4 f
8 ?5 D. l \1 i$ Z# N% m
3 ?. j9 C1 _& `& m& F, X4 X 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ( }3 l7 z ^8 A0 [6 Y8 l* i
% w0 ?/ L3 C7 ~ W
s$ q- x- t) T2 G ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ! X' G2 a2 T, i$ L. v0 @
# l8 B, e0 ?' B0 r1 W; X
; S v" d0 r3 b! r+ u! H4 ] 公众号ingFang SC,serif;"> 4 S$ H4 a* r7 ^4 Y2 s
2 l9 f6 X9 h, F" y$ C. v5 W
8 v% o7 ?2 l' t, K M1 Y' F9 Q+ n" i) U
+ L) r' W# {/ ?0 \, ]/ L8 g3 b: r$ C
, u2 V/ W7 {9 j! I5 E, N# r+ H
1 T+ U3 V4 {; F$ ~% r% G( ?
点不了吃亏，点不了上当，设置星标，方能无恙！ + M- u: e7 b. R
9 o {7 [3 \* G1 f ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ! U g, _9 P* N, T R6 F# w; t( E1 F2 J
5 [( f3 V+ O/ i T# w! R) H
4 j( J Q0 H7 D, M; O; v* | 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 3 n+ D0 o' N+ k5 J9 Q
! d% } h/ M3 U3 f
/ ~, T! Y7 d% e4 O; D, O : g" ^3 C, k6 D6 D
D# F/ F9 Y2 x
6 H# ?% K3 C& C" o: C % m# w1 S- L6 v2 S2 c
& C8 ?0 C% L2 ? 无线or有线 0 G, s- `5 V8 r( P0 l+ J8 ~
& q$ }# V$ U$ V ! t5 K M. W+ n; A3 Y1 m0 j, z
" O8 A) ?2 R/ a' N9 R8 @+ o3 B( ~ ' `% G$ S9 l- E+ I* m! v, |3 B
' u, i; D9 }* _ 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 5 \1 F% Q+ m V/ u
6 J8 m0 p9 k3 J; T( L0 k
3 Z6 i7 _3 u* ^% ]2 n 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ) r, @6 s. |7 [+ h3 P
# s' H3 B" U+ ?: w! `
& J. z. x5 ]$ b * v% k8 G# O/ X) p1 x
, E. e! F% x2 s
, u7 S0 n( N% V3 f, Z * v* N/ M" P' c! E5 q3 g
/ J) b+ a2 N( M$ D& |, M' G. C
! K) ] P" x U9 ?2 W1 T; ^& ` 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 8 b* q, V8 }2 F" D" s
7 J* U& s1 z& c- p) O9 z* H$ l
: F; |8 h# g1 ^* w" }% X . w1 Z9 c g2 a) Y, Y
2 {% s$ @ G f) {7 H' M4 M
8 f1 p: N5 @# |) z* c3 i* q 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） + n1 A6 F4 s* e. N7 q, t2 o
7 V7 h2 o9 w$ E9 p9 d
- \9 L$ _1 O! c! B 0 W( ]; x# H% n8 M
) R+ A* O3 S7 D% a
# |; }" Q8 e% }& e0 c' ~ 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 9 q- ~& C* e2 {4 o
; m$ ~0 W$ X) V) \* p
- G+ D; S P8 |: c/ v4 m8 _. p 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ) x2 t' \8 _) n
/ k( ~" Q0 c& e
5 e5 ]9 P* H) L; k- h3 E% |) y8 B- e) k 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 6 a! m( l5 n1 t, m* N
% M. X- g. E- u7 ?% {& I
[! h4 O8 @$ C# M9 g/ @ - Q- n3 Z* T/ c0 C' ~) H" T, |
+ i, v- V. a- d G4 W( N 内网渗透( l) P1 p. X X/ W x" e
/ N& ^5 J$ J% G; z + J( M' S3 B3 \! a' @* d
5 |) J/ v" C1 V6 @! B3 m3 I + }) p- \ i) p" b+ g+ L
1 Z- m# k( t! C6 O6 E- `# \ win下搭建cs和linux类似。 ^" X# f: ]% x7 `5 l9 m* S
$ m j% r4 g9 b& `5 J7 ]# q
: K( }. z1 i: j% K7 s6 `7 C
teamserver.bat + ip + 密码
& v& K. ^3 @: L4 B5 R
$ J' t" b' q* T! }1 V% i
7 Q% m$ H& L0 y m% C: E+ Y5 ] ' q6 X0 N, ?( d* W! U
" M4 Z' Y2 ~ n8 ^; N0 ^) b3 r% [& c
9 b, V& J# ~3 g) X fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 5 E- d8 s4 t* M( z
& D; m2 @- G8 T8 {5 R
# v. W* W; R8 P% W 8 B8 T; L' n8 r: V5 L
& i7 X% ~: v* v( r& [0 U! a/ `
* `! W7 T x7 ?. s % X' e: j+ @0 `
" Q" B' Y2 n2 J T6 q
d, V5 W" @$ c/ b1 r4 U- m# R 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
* q, t6 y* I# h# j
# K, z& U1 h- N* }; ^' a7 }6 ~) [. L0 w e( G+ _6 [+ x8 L
! {1 M( r& l$ n
0 R8 @- R3 L( J3 O& m) X : T; g/ g6 f4 L1 |$ g
* R- v: C+ F* @. ^
$ u; b; p8 j% M" ]/ a fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 m; G1 {: c' r m, |
" }( L6 H, k( X/ d W
+ W4 p* s/ r$ j7 ]! [ PACS系统 - G' C. v1 f. t2 Y% N
/ T8 u {% B( U7 N0 [3 {7 J( _
. z8 `8 ?9 o* `1 L6 v % R w- d& L% \! y' Y6 Y$ W) k
2 t" S+ s. u# d9 j
& g" t1 H, k. Q( M: I7 { O( z
! L0 |( Y5 E G! z$ Z7 e
# k2 L& l0 H2 U0 z4 T( ] " A; |% F' c# b# V
8 J" X# ?1 t! z1 c* f) z
. b' c/ a9 A! G9 r, ~0 x HIS系统 ! ^) y, |- H$ s7 D6 U1 H
5 k7 C q) t# ?
' p3 r1 t5 O- }6 t& B & x. u4 e; M& v: q4 B
6 P' R( k/ Z. W5 c3 v
" E/ q4 L$ j( `2 j$ Y; \+ C9 S - D6 U1 f0 b! p8 L- n
* Y6 V+ V, M! q: y8 A# k( b
8 g) o! u, @; B/ { ( K7 ]3 Q- l- i- _1 q! }* c
- f7 z5 R& o) ~# T
' W/ e. Y: Z0 m% e+ Q& C/ Y 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 , m9 G, ?. A- k2 f1 K' ^1 N! \6 Q
( v. k6 P+ Q! _' T
0 d' O) f( r# D1 k( f: o
0 ^. b4 o) T0 U% ]: }
3 K/ g/ s! U, I1 P/ K, n) J 4 S7 m. L' |2 y& G5 |6 }1 o) w ?
$ v' a+ w6 I3 L1 d! B2 j
7 C3 x4 ~+ D5 n y; t. e4 w* N& C 后话 7 T! z. ~- a3 T3 F1 O# }$ _' l
" [. F% q. u; J+ Z
- g, P5 g- `) P4 y4 s 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 3 V! @& O) H+ k+ Q: H, c
+ D& F4 W1 D- C# `/ j3 g
$ ]" h; D* o7 m8 L& A 7 I$ G2 M8 A1 p2 ~# f
% k/ U# k/ A0 J- \% Z% G 0 D4 m! E q" s4 A
+ Y7 e: c# a4 k5 ~ q- c, x 3 a6 q% D& {5 S& S5 n9 Z H
. O: O% R( {! c1 p 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 4 Q; B: f& } \9 F+ \# e/ z [
1 O6 |: z- i. [# k% L" q, Q
% \- i! e3 O4 d1 y4 ^% [! x 1 M N' f/ i- y; Y$ }( {3 ~
+ V( ]$ n" y8 v- F7 |* h5 n

中国网络渗透测试联盟

& C8 ?0 C% L2 ? 无线or有线 0 G, s- `5 V8 r( P0 l+ J8 ~

+ i, v- V. a- d G4 W( N 内网渗透( l) P1 p. X X/ W x" e