记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

) ?2 r6 f6 }2 E! k/ v; b) w7 h ~ 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 0 `6 d+ e6 f6 h: J* V

+ S" a; _: G: `1 ]9 `" M; |3 l 众亦信安，中意你啊！
9 L! Q6 |" N8 j9 g$ H, V
# O% f; O4 d7 k: y. V) b ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> - w2 q2 M @& c2 [( Q E5 F+ z

: {3 L$ v+ k6 \: O( I9 g ingFang SC,serif;"> ( |$ y) U% o' @4 o4 F A. s% e9 ~

) J9 E- D6 S3 S" ?& u
& Z$ A( I2 H( J7 B( J 众亦信安 3 E6 j6 U; |1 g( r- s* U# O
, q8 x6 j0 e! e' z
- a% B$ o6 W4 ]* `' s: h 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> t' D5 p; d0 F6 Y1 C7 y7 ?
1 d$ }* i( y& k9 w; n6 |8 P
8 W. k W/ T- \4 M3 X& M ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> J6 C' ~8 M) h! M
( P B& ~5 ~+ ^- p' `0 e
, v5 h, f3 g: v 公众号ingFang SC,serif;"> 8 v8 v. B, u& b9 x' K
* f( ?& I, N) I/ X! ~- l
. c# l% K6 _; V4 F+ w
) r# b* R2 |) B
9 P8 d0 T! F/ x' _1 P * z6 D1 A2 j9 v! I: u4 U2 B& R
9 G* z$ c7 N+ o1 U; R$ \/ S, v" i( U
点不了吃亏，点不了上当，设置星标，方能无恙！ 9 n, T: ]: z- ]- {6 P( Z ~2 m8 h9 ?
# O2 ~, ]# @: q# r2 q ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> % r3 m6 H* E$ v8 R& U
0 ]7 ^+ |( \- s% A& F
% h5 k9 q+ F& l 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 5 ?# m5 q! c- A5 z! @
5 I3 b( Y# C, n, m/ D( v% x
: g5 K# i0 S f- m1 ?" I$ U- _ ' l$ o/ W; G+ r
0 ~8 O- D4 L7 ^ R' {5 D
; ~- J+ N4 {' a3 _ N i # s4 x" l2 r( E3 q; g2 |
1 p4 R, }! @0 p' g0 ~6 H 无线or有线 k9 s3 ]* k8 ^: Q' G, f
% f) R! q" J! X( n4 q 4 ~0 L7 {8 `, H0 y6 I4 d$ B, C
: B4 r- l$ i8 T7 \6 u- Q" r% v 5 v' d. ~7 W* ^$ M! Z1 V
, ?7 c3 ]( R% |5 u! l0 \ 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 % @" p9 I+ k+ D# q- d _
9 h& `3 @1 c4 ?" C- B# h; c, D
}) x$ K- V& \9 F 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 3 C! I4 {5 I: h3 o
) B: ?- a% y. T% |8 u- w _) U# d
6 z# E% ^7 s2 y$ F " w$ [6 K# T$ s+ v
8 d6 a" e6 ~4 [
2 U' `; k3 U8 H6 {9 ~ , k5 j0 G& m) I% b. H. _$ r( ]
2 G9 Q0 Z1 l0 p
+ J _3 i/ E, u/ y" q# u 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ) q! |3 r6 Z3 v/ N" u+ f+ \8 @. L1 \- S) W
8 q+ z/ } w) c! I& X+ e# y
. W' ^$ | L. @! b& c 8 `4 Y( N" k% M- Q
7 e- S! v. P% C; P/ p% D/ I
& e) n5 }+ I7 @2 { 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） + |2 {# {+ P4 l; d- B8 r
8 ~& ~# r$ K( v% R
" z- u" |; J- G6 q( w5 X4 v / V% u% ]' Y) e" g$ Y
! N4 w% Q( S- q5 f" Q8 {
% M$ R# e1 @ Q! E/ M 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 2 D6 G2 Z: h! I# z
7 \; x9 P6 ~' r9 V' n
+ j- \/ ^7 i4 y 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 # D! G2 P& X% y) A# ^2 d
4 i1 h6 T2 J, M% d0 q
6 |) w( v. B7 A- ^( j0 X 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 6 C7 H: P4 Q7 ~; w8 h+ R5 U
3 l0 n2 p1 X! l3 W: s8 ~: |
& f5 C" b$ X+ L, ^; [ & G3 p* R6 y2 F* e4 ~
9 w7 p, w) D8 n) m6 g 内网渗透2 B% |/ J- `+ ~: Z; z8 D6 I5 p
; W2 h2 r0 v4 s" g2 b1 X+ L9 r + B$ k5 P, d5 t# O9 \
& V9 `: L6 j" p: b4 y / f2 i6 m# G" J
+ G0 F) u6 I9 S4 \$ }) [" Y' a win下搭建cs和linux类似。 4 I; b- Q. S" \5 g4 p" q
x( b" H0 H9 `0 M
- p0 ^2 _' W2 l9 W: {3 ]
teamserver.bat + ip + 密码
! w4 V0 L0 _: F5 H4 d
& W$ L7 O5 [, e2 |" g. A
6 C% w7 t X! @ . A2 Q4 u9 s3 {1 U3 [5 U
5 W6 D& ~- J( D/ r
3 P) u$ v+ w+ u9 q. [ fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 2 b* J2 H8 ?2 y* M
6 s; W2 g5 E# q7 z. g" O8 o
& E% ~# x' L! Y0 v: T% H7 E# ~- _ 6 `/ y- R: P+ }0 v
' B- O" ]( x. k) o. G( o
8 h, e% q* j) b( I S/ x7 [ # N& L A" I/ g, S7 T1 F Q" R: f
, o$ N1 Q6 |+ V; |
& V) e) w( ]: b2 Z7 M 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
' }9 K4 Y' P' S
8 i$ n5 }) B: G8 s" V% s + n" y2 {, \0 m8 A3 N9 I
. j. m) [; M; W/ J
: C# |$ y# y& m8 [! M D7 j 8 x6 q% a# k, ?( n2 g2 m0 Q0 p
1 h2 q5 H( f7 ] C
# K1 P$ G8 M3 k5 \ D( M. q, } fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 - _- `2 Z1 P! J
* [; D+ s3 }$ j8 B; @) T+ ?
$ z; v4 P+ t3 u: Y8 G. n& n! j PACS系统 ) f5 [: ]7 ^( U
6 V& e$ L$ a0 m0 o. |: A+ t' R2 j
& p0 w+ p3 x/ ?; L* Q U! H, C( z. K0 B# }0 y
. L/ a& @7 U! d
8 q. X$ k6 ] B5 Q' y# d
; g+ I$ F* l6 i1 E) Q9 \
! f) s% z! }6 m! x1 a & d* n+ _9 Y- t
Q. M" g g, x5 R" s# n
0 T3 @$ x6 Q# M4 j( T- x2 G! M HIS系统 , k+ T" {( L0 g) z9 e& e
; a" e+ @5 }2 c" N( i- I8 ?3 T
( E0 y1 b9 n2 r; Q+ x ' @3 e6 c7 q6 X
0 R) _) ?: _1 ?
" j% l( D( [2 n. J+ w! y / n7 E+ V2 D$ g. P k
- M/ R1 S2 F2 P9 k
" E" o9 w4 j: D ; N! b1 p, H& S- i# C$ o! s
5 a. C! z; B" Y
7 W% a2 X# m8 O# F' Q/ A 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 # E2 q! v# Z! L9 C4 S0 @
2 f& `# W9 U; m L$ I% {5 j
( _! V7 `8 g7 H$ ]( L& ^& K0 { e
c5 M6 B+ W0 K" N" Q& v; M
4 k6 j6 A& W6 ^ Q; _( ?3 p; m 2 j" Q0 |) ?& W; ]$ i& f. F
9 x; O0 `. U5 m R6 E; O7 Y& e
% O$ W6 F$ A+ ]: B 后话 - W4 V d; I2 W& a+ y, p1 w+ k* i
- D( e3 L3 J' [# Y& t
+ b( v" ]2 M0 I% W) v 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 2 j; B- O% U+ y" P4 V. Y- B
$ h) c: Y" \, K8 _* J: F: Q
5 n" s- l' R0 V7 L1 ?- @+ _ . x. |0 M! o6 o: F6 Z7 R/ H' R4 k
& A; H# L8 s+ Q& m 0 m! l7 J, |( o, T
9 E; j* d! a: q, g3 A8 R " W6 i! y6 H# f' v4 m U
6 l/ H: p* V# Q% I0 Y D5 i 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 - o) i4 j! |. ~& f
5 B" L% U% K. W, `) L- Z
( ?4 G/ A' _1 _/ |# t : u' K" M3 U1 u
. J, c2 |3 j$ a! c1 k( @1 ?