2 c2 `" |4 j% u6 i3 r ?
声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。
2 e. H, @9 w( q) U8 r2 N Q 4 w# f. c9 o; i8 D2 h
6 ^& A8 s( R6 E! l! m 众亦信安,中意你啊!
3 f! e6 l2 D: i6 h$ t( M# H2 M- F
- a/ g) U8 W2 ^ ]& \ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
) V$ B4 s! x& M" ]) i% N, a5 N
" @" }" ?$ x, r' Y7 W7 Y
7 o' N/ D/ x6 e ingFang SC,serif;">; D: B. Z9 d% c @+ |" b
! g" J3 e5 V6 ~' N0 ] 2 R6 d3 V8 K% O: F9 c! x
7 s4 Q: c4 M) B+ `
众亦信安 ) F( o9 c8 }0 U8 t: N, Q! Q1 o
4 q* \- X- p6 j F7 C/ X! K2 X1 }4 p# z* G! w7 s
红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;">
* Q/ F, t, R! g- Y
# B1 K0 g. }. A
; {1 i' Z) A! _/ T9 k ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 2 h% r9 e# S1 b. q# Z- M
3 ]3 s4 }' V3 S
3 K, ~% |2 r. f2 j4 x: g- F, v 公众号ingFang SC,serif;">
# S. X. C! u* l9 z5 @+ e& e
. Z& g; @ v) S7 s3 V$ l X. @# M5 p- U
( [7 {3 }' p9 `0 y/ G3 @3 }5 v
+ l: Q1 a% U, H' e) T5 w( Q3 G, Y" k( N! P
_% A; a9 W+ w8 x点不了吃亏,点不了上当,设置星标,方能无恙! * [5 a2 y: E3 R0 f0 j
# W1 V) M! [; e4 K
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
+ R9 L+ z( E1 N: ~7 v6 K
" C( c* n- ^" Y W
7 q' |1 @! q4 p4 N& F" J 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。
, `* t( w9 O7 y2 u" J& _6 Z& { 2 d( P1 F1 a4 j: [
& g8 M1 Q% e2 T' c. Z) k) J, O ! w; c- ^4 y _0 A6 @9 ]
. X, M0 ]# w) n. z- m; _- q' w2 g7 k
* q j" A* a, Y0 Y
4 |) B% h9 F" ~, b 无线or有线7 I* f, Y; e5 w* I
& V) g8 l1 _4 Z6 n" x9 m
; g- R8 Y! q( R- W4 {2 X, g' M1 _
; @7 i8 h; C) B5 C, U : l8 M) O/ o( V) f: T
0 s! ?( }! P3 |+ B# k3 E 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 : \8 X4 |: }( ]2 t. E$ b
! q7 R* ]1 T# L/ P, b' l
. z" I2 d P6 N
一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 # @# I& Q) m, A! D% ~
5 I9 ]# {: {. ~* U
" P3 p7 i/ O- k# b9 Q, m# C, d. N
. G' R4 D' H N( A& B
# x [8 ~- E+ d8 m, E0 T
$ A9 _) L. d% c$ d9 X
* E! N w- w; F6 |
* J; s3 J$ I) n) h+ j
- A3 J' i& @0 s0 v, H0 r
这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 ; c. e( |# t% G5 v; `$ ]% t
: J. |$ K4 l! g7 n
$ R' e5 W" c6 ]4 B: x 2 }( T6 Q, `; v! j) P
. [$ N( C0 ^% n1 B4 {
2 T" S% z( V+ U5 j6 e! F7 y 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21)
* y& F) y4 Z9 ^6 J$ j$ A2 I
& I+ H/ E3 J: {2 w9 f. e
, J( g- E4 [( Q! J$ P 2 o+ L3 `! O9 h4 T* u1 |8 ]2 I
8 q7 R! J! ]" g; H/ x3 J
2 P) b( ], Z: q/ `7 K( H 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。
2 l. x. {9 ^0 V- y. a( n , b2 Y" R; Y% b! k, M5 @
* @6 r- {! U- l6 Q; d3 b0 {0 r+ i 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。
1 Z) g! N5 i- f9 q& d4 ?+ O$ J8 B" b
2 ]$ j0 ?8 o/ Y: h. l' W0 u" j! z
3 x* F8 \% z, m1 [4 ^1 v9 N 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。 4 H3 W% S3 c4 T# n- Q2 x
% W4 _4 I4 E. T. G& a3 `4 m
+ {: \2 V; s7 s
& m" b; V, G, o' l
d. v8 j9 y7 O& |2 J 内网渗透
5 q* I# M- \% Y$ ?' p* f/ E8 o
3 D, r2 E( f( C! s# Y 1 V6 ]7 L m6 \* K. O
0 g& l4 N3 S# [2 I2 k! p! e. ^ + Y; F' [8 ]% T3 Q
' ?, [5 U( v5 {0 i6 P win下搭建cs和linux类似。 * {, Y+ D1 z0 A2 }
* A* B/ ?/ F6 j( K! V( N4 w, `, q
8 p! Z2 E+ k( J1 Uteamserver.bat + ip + 密码
; e: o# I7 x1 I- Z
" W/ b) E/ M! d& @9 Q$ t- W- h6 l
V" R6 | O* r9 ~9 g7 A! c; D
! P" }4 X; W+ I* Y7 p5 Y
5 u0 [! u; @4 V1 u) D# P
' } D; d( ^: H' |9 v8 O# q1 j9 {7 a fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的)
# ?& {' B" k. e1 N0 n! c" |8 B # m# }2 `& q3 n, t+ w
, z; t7 g& ]1 L. O$ D: f) _3 K) z
0 r& e9 q d; O5 t; i) [, x
; w' k4 e7 u8 K
3 h" p; \* \4 j$ s+ J * q& G; b* [, y$ n/ L) q
3 Q$ y: M$ t5 K* B; _5 f$ H; ?
2 a* A2 v6 R5 [* Q& d9 x 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
( h9 _9 \1 {: t/ ^8 ]6 s+ g+ q
! m g8 s# |* o5 [. Q4 d& |. p
; l; ?8 C1 P( S1 j2 r& D 0 c1 g% T- R% E" [( l1 I( g
2 r- N* Y2 X; m0 m: E+ [
4 ^) w3 s* J& U6 M- J. _) u5 a
. E. Q" ^2 ~8 q0 t/ o7 N2 M) Q
fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 5 \8 e) T3 y2 f% {+ ^: o$ y# h
$ f0 G9 L& l! ~$ d d: ]6 |/ c( J) N: W# J y9 n1 R
PACS系统
, V( l' {1 z" j, B s- B
- H) J4 v; S9 z8 E. _' v9 c( Q9 I1 @0 Q% B
0 K2 m7 L( g x! R! x8 d! E# c
2 S" ^5 u' k) M& F: w; J$ B8 E
) C# @+ J2 \1 }2 R
+ G5 z6 I) X l. E " i' E0 C: G: v+ Y: J
& D# U, U9 ~* c. I+ c j7 F 6 N$ }) _3 u! ]3 N$ b
6 E. z- k2 I4 g0 Y) y
HIS系统
- O/ X1 h0 v' w' L4 d5 ^ ! [/ O, |: |4 v6 P, d* g; o
1 r' q: P6 O/ u" C9 l
8 }% A2 ^/ H b+ r" S @, g5 A9 T
% v. e, S9 l% O; ]3 W5 d8 G
+ O8 W. `# g; z5 ^+ ]+ x * V" s* w3 @: O, B
2 \5 x" T2 {+ z% N# Z) S$ D& }$ K
- ]) j; C: B @) r8 _
: ]: b# Y- d! [' ^7 n , f! R% f1 a, R" F$ Y# `
$ l- Y/ D3 Q4 G7 v 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。
4 b2 b. H( T! X5 k( b" W! q
% _7 u2 B- [% [* y" |& b; @) u/ c* {! m; o- Q1 o9 U4 i) S
- Q4 U$ N! h- d3 [5 ]& @ * Z" g; z8 F2 y! q
_4 p0 |% c! k# J. H6 C7 o( a( J
; Z5 W6 r8 B2 |3 ]8 Y% ]: j8 H7 x
4 c9 J! r7 M) U) B 后话
( g2 A( e: T% c7 | 9 x8 d9 ?/ ~3 S. j! J2 S# z
$ P# Z* `7 G* E, I V# @
算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。
3 F9 O5 D1 N- V* }" v ; N4 ?4 \) S0 p/ l
; A& ]5 n$ E' ]. l: U* S4 h . z6 m5 A( \) l, J+ ]
4 j1 N" g- u k; d" h$ J( e- o
+ g- l. G3 g$ F: ] 0 E+ t, e; { u9 H( a; Z
/ V: T( L0 E# E0 C# ] G& x( b
$ T0 I$ s7 N" s' e% y/ {2 [
点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 . I7 G2 R. b) B. H$ n7 ]
' n; Y8 q2 ^* O- t% G/ \$ S1 H" G2 B) _3 _4 W9 a; r
9 m$ l" G* k8 n/ @ ) o7 `7 q8 w3 e9 O$ n
|