记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

+ N |9 ^+ d9 c3 S l 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 8 \: [5 J9 M7 {9 m

0 J* y- Z, X* b' Y3 B9 P' c/ y 众亦信安，中意你啊！
5 ^5 t( t; z, u/ D% Z8 m
2 c1 h- I, I, o. D( U0 B/ }ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ( l5 n ]! O% v4 m1 N4 x

4 z$ m9 u9 ?, t% w! Y$ d ingFang SC,serif;">9 j3 J5 e( @6 q9 k5 l1 T

6 T# ?8 {8 _4 k: B2 i2 {
* N N+ @4 D; i6 ]! k 众亦信安 & ?$ j7 N# R' p( `) l
7 G& c& s) @# S6 Q% E" q
1 O& b9 ]9 k$ L" }& ?2 b+ a2 R7 w 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 3 ]9 A5 a. }. a9 k; D9 l' L9 n( ^) V
# Y2 w9 X8 g7 E
- g6 ?: L1 |& }5 D ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 4 T w+ T: O# v4 W8 H W% v: p$ B
& K H! }8 O( O4 N/ n, n! v
# j$ V* Z( W; Z( x: S# Y 公众号ingFang SC,serif;"> 9 d% d7 d1 { ?8 N
1 v3 l0 c# n" t+ a7 D
6 F; x% \$ R( i) l
9 N* @8 u' _/ B; z
4 e4 m. z$ i4 [$ l& R 6 h7 d) B$ ?) ?, d* r
" D3 ?3 i: j2 \8 t4 {
点不了吃亏，点不了上当，设置星标，方能无恙！ ( {( V' s; Y6 q! z# A
- J' t& S5 J3 I0 L$ R4 p$ d ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ; u& [& j# ~4 ?% E
, ?; W* C/ u2 E8 M7 J8 z6 i5 `
4 Q1 D) C: n$ W' a2 r 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 7 P* k1 }. _2 f! V6 v! w0 @! @
8 e5 [* _6 _* D2 T" C: {% I8 R, L
; l4 o1 a" ~/ P6 m! Q 2 B% V$ ]7 ^+ a& i
9 A" x# b6 p* M, m0 k- K4 A5 Q8 Y
2 Y$ n B- n* G! j. G# B A7 m & q: S3 p [% b3 ?
% X! u8 a+ i, j% x4 G 无线or有线 $ u8 n, r; N' B8 T
- h0 o& @( ~- Y L , r$ i- Y! D6 t' e' d, @
1 ~% N% D+ w# u! f8 P+ j. B( A- { 3 z# |4 s- X1 X' c" |2 V1 Q* e# _5 s
) \" a: S( J/ D5 n% _) a 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 5 l. E% }; V3 |
# g+ }- u( D0 r. @' u0 E) k6 s* R
, o( l9 Q/ ?, W0 O) h! g& U" ]0 W 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 , i; {9 P0 { I: E' m6 d. m
. M( e3 d% m1 F* e7 t
/ ]* C# S% b- w! t4 I $ B2 D( l( c; \7 D# V" P
( s% Y8 b. h$ W; ^' U- P5 x
4 L# J; {9 {* p, D* j. t7 t * ] i4 J3 W* L% r# l! S- M7 E
2 H4 s$ W2 V8 c' z' L
0 E) v, v3 c7 C! w 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 $ }* E J/ N1 N: [# _! ]
$ ] `" h7 i5 x+ y
/ ? Q- T' J) s . ~: } D1 z) j, n( |
4 H2 q' }9 q, t
- p) {8 L, X0 g3 j- S& J* O4 g0 Y! a 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） - ~1 K1 F& Y1 @# ?% D7 k) k: P
: W9 @# M o) J0 A/ I' y" f. T e
. c8 U, B% K \5 g: D' C / X9 X# E% O& j& O9 H: u8 K* T
. f7 L, n0 z% X+ `6 }' J0 D
# O6 B V9 D# c! ^# v' w 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ; w7 `# b, P7 G- z: E, a
6 C" P& j m9 |0 e
1 x2 k4 q6 h" `9 m1 S0 r 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 # l* n$ _" N! T
& y/ w! V- Z5 k% Q' E4 x- N
$ J3 a. _5 A, U! a6 b 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 : W5 F% z3 E7 w0 ]% U* P8 C4 e
8 |- W- D2 V. O; U
) b8 H6 e/ H! ] ! O+ z, n- c4 r; w
# M+ T: v) g( ]5 d+ o% o J 内网渗透; V2 R0 S" {- ^- o; a: w) h4 W
, a$ T; L6 H3 q6 e, j ( a2 A/ |# k b4 R6 F" v, ^
- v) P: A. @( Q7 C+ t 5 [: U( q; D7 [4 S0 C2 U7 `" g
f1 ^$ h( j E win下搭建cs和linux类似。 6 a3 s8 Y1 B: N0 D& x: _; J
. `5 l( B8 \$ W! F1 b
0 J' i: J& S; U
teamserver.bat + ip + 密码
6 f" v7 E5 j9 o
+ q$ v1 ]8 d4 A$ c% ]8 O" a, O
- l5 U8 H0 n+ n1 r' |) ~3 Y * j2 v9 s# e* ]( D5 C# U0 w
: {' s; {# H9 \
1 j$ i. ?. P# L7 o$ Y2 L1 Z: G fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 8 d# V1 w/ r4 ~+ @7 q
8 v% c) Y. j7 e
2 r3 _3 A5 Y; e# Y 6 E/ `- l% ^4 d: V, f
3 L- t: W4 C" I: v9 T
( \3 s- U0 k" ^! ~2 ^ 7 v3 r5 A: d9 x' k6 `6 N2 g+ p0 x. ^
8 A4 _! t7 d+ R
( v$ e! c3 X: Q- t' @3 _- u 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
9 u: ~$ L4 g9 |$ P
% ^% T( w- F* j' n- u, G6 u, a5 k ' W) c" X( ~7 U: r1 ~. T' y1 ]9 u
! M8 o1 O' G# o" S$ \4 y! q5 s
" a6 `& }9 x% X" g / t' H/ R! }$ W6 d# l
3 D" S& x1 M4 L) q& J4 |" ~
6 J* m( ` p( A9 @. ~6 E# @' P$ C/ @ fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 * i4 l) m) ^4 Q
3 \( @5 q. Q& Z. X& _
8 T, D9 s6 o2 `7 e5 M PACS系统 ) i, Y0 A7 e Z& z( k9 S3 i" g9 i
Q8 J" R& W; c; U& K
7 `) \ A, O, k) P6 L9 j * C! k0 r6 _$ p+ T; f7 E
3 e, l3 |% ]; s, N+ g8 U
. ]3 V4 R" m l; u
3 _- b( ?5 g8 d; D3 P3 F! Q
+ w8 x" W. W0 v ! X, X' s6 A& z& }. c
' C ^/ h$ }' @3 |' E8 w
) @$ v& ?: u# o: z8 y$ T HIS系统 , \% d# M" @+ J
5 d+ z: n8 K& n3 g1 o4 H+ S4 J$ E
; Y4 k: s, h; d5 k& l8 I 2 ?4 G, S+ K& g+ u) k5 L
! u& p( u( A }4 I8 g! i. {+ K% U# j
5 j Q0 }$ z" I9 N" s) z - | q. m5 f. d3 ]& {
# e4 o7 g0 `" s: Z$ q+ T: g
& j4 X P9 M) M( a+ a4 w3 F 0 S e* m) m$ x7 J
4 F. V; |! T6 p6 ^
9 g' I- U$ P" a: Z 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 8 e, V( Z, n3 ^. @3 w/ S) U- A* M
0 V, f' |" l3 ?' N* m
. D! u* J3 X! s9 x1 g% x
, X; k% U5 B3 w) H* E \+ G
1 u" c& D$ ]9 _5 }2 G 4 z6 G( H4 d+ {* B8 K$ V
* u- C2 C7 z+ T; V% A
5 W7 n6 f6 _5 {6 t; I, @: w; r; B7 k 后话 1 n& Q% W9 y6 ~" W" S4 A
; M/ y5 ?3 l% B: q4 G
+ [7 c% V' }1 S( c, P 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 , L! v6 D- Z* d" { I; c. w
6 R" e' q$ \( r: b
3 |$ m- h9 G9 x) j" `7 H1 q5 k 1 p0 {* X% U5 Q! b# @( Y
$ o7 s! ~, h& |6 u6 Z$ F0 p . U9 m! s1 p+ Y3 Z
4 b: O/ O. A+ J- z7 j! F 5 S. P( W7 g, l" t2 a3 O% ^
N8 ?! L0 T& [) k/ M8 {4 ^& J' c 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ; U/ @- @ E5 ]4 O
. f. r* C6 t ?1 e! O
+ n, Y. U, Y* @' X" b ! q: w" R/ |$ j0 K) H# A% ]$ G) ?
+ c- c7 V. ^2 C3 }& F1 N) o