找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2363|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

2 D( M0 c. f1 t# f7 k6 L$ F4 U 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 ! R3 T5 u- J) v1 u7 u$ Q: @! K

+ A- F/ l8 H5 [

: _( e( @) N$ l) a2 E% P 众亦信安,中意你啊!
8 n3 `( l! L! Z. A. u( @3 b
t0 G& F5 u) N& AingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
0 N {4 ?( u+ \. D2 ?& x0 z

9 u! A$ p8 V. H8 w. W6 X4 ?$ [

9 k& x8 U! L9 g! T y ingFang SC,serif;"># [" h* F6 h6 a2 ]+ E5 G

2 C. S' q. W f2 V# i; j. ?* m
2 s7 m; U0 R+ q! T0 j9 p

! E1 R( V+ N7 d8 ]" ]$ M; }. F! y 众亦信安 2 a/ b1 g" i' N$ Z" i, |4 D

' ]# m# L. ` ~( Z- u9 c

: g6 i! E( t5 y/ V+ ?7 f: @ 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> - R! H# A6 A* `, C# n% R; Z! N/ H1 E

( a1 G. y a; c7 E

8 \) q% I) C' f" y; K6 b5 ^ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> * Y7 E5 @5 u7 \9 }; K: G9 X! v

, L2 p' k, F5 G# N& a6 w2 S) `7 K

n5 J& x( B( i8 n s1 } 公众号ingFang SC,serif;"> 0 [- g, v) ?0 a) |; O, c, i

/ i. V4 T& U% i* N& y* W" U

* c) s6 {, U0 J# ]- Q7 B: ~
$ c% m* e" {$ `% K
, `0 G! |3 u/ g/ [) S1 b
' k* @2 {; Y; b

: }9 e: a' H0 O
点不了吃亏,点不了上当,设置星标,方能无恙! 3 J$ C( M: {" y3 @* J0 y* C" \- e

" w" E) A$ t" S! v* z( _ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  + H% B& b W/ [5 j

! h- w/ T# \2 ~4 q8 C

" P: N7 X5 a% \! Y" W9 y) W; Q 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 * f+ Q& c2 O* e, q9 W S

7 S! H# T7 Z( {0 d

; R% ^2 [$ k ~0 R% X( H   6 j) ~9 S, f }! [% k: I

0 E# d! y, T2 G0 d; a2 Z
' l3 S* H0 t% Z5 E0 l' a4 f5 W* H ( I6 o' \9 @' _0 m5 B6 C! `2 T

" l0 ~" Z% H6 f 无线or有线 ( z n; n4 n! F' g u

* m1 B2 k% N/ @9 s
/ k) V3 `4 D9 m2 \0 { C
2 O! q( z P7 G# T( _6 C9 C- C5 T4 E & g+ f6 o; l0 j8 A: _3 c* f

4 L C* a: I+ E3 I6 G8 w5 d 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 $ F1 Z8 r* j7 Y) K) \; X9 p- }. {

. g5 Z% r) f/ R4 D

! L4 k& Y$ z8 {1 v 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 6 D1 ?) k+ B1 [9 Q- J

5 A( v9 y+ W1 |: n2 N/ N4 E

/ f' u; V+ V0 K( K4 ?( j9 @- U vshapes= ' r! e1 M4 j! n0 R W; C- Y0 j

8 ], X( X7 _) o( Q9 F' e

# ?# Z+ H4 i# j" U! [+ b( ?! o vshapes= 1 b ]2 n- [4 m b) O& t3 D

$ Z: w. S5 N4 ?# X Q t% o5 ~

& p5 T y4 ?4 |$ }' [6 O, R* h& B 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 0 @" t( S- Q8 L( K

% G# E/ E7 f# m0 T+ G1 ?" i: T

& N, L( {6 F5 ^, [: ~) K vshapes= 1 f" N5 z9 H$ e$ f! S0 d4 A8 a

5 ` A" _! U7 ]# l6 y6 V, ~

5 Y2 f6 p, `" g, | 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 * D& @: l( { \3 {1 L

4 t t$ `; P' o C9 V; e

1 J" M# `+ H' w1 y vshapes= ( @; c9 G8 g2 G% A1 _# c8 [5 Z) i

% J6 Z5 C f! l0 x/ d( c+ R$ K

8 k8 k& q- I. s4 Z: o0 u8 n. D 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ; [; s; b, a% W! Q/ A2 ?) U* C

; F' b" _* C! t5 S5 |+ O

6 w" i, ~* z( y2 s7 E( ~ 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 9 ], g9 y/ x& n" @: _

( E$ _& i& d% c

( o+ D9 k: N/ c( {/ a0 x" @ 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) * A7 ~7 [/ U8 N" V, G: a, V

) Z0 }0 k: \. G+ i. H' p% R
: L0 Y/ N4 M; ~4 b: z$ _ ! p0 D- h( T! T! U

/ d8 O: g8 b/ j S) {& n 内网渗透0 m5 w0 @7 E$ X: }) M# O

9 V$ m, v7 L7 `1 t7 H8 C, x
# H! y, f H5 Q/ k# e0 E8 h$ _$ X
0 n7 h$ Z4 P/ @% y+ h & K, ^/ a$ s D1 ]. {

& ]& k" G h1 A win下搭建cslinux类似。 7 }. G% l2 s; Y. m! G. V; D

/ Y: u/ S% \! K' a, X
' X. ^) M2 D1 X) K6 ?& [: R! s6 i, J* ^
teamserver.bat + ip + 密码
[! ^8 L3 c/ H6 e) o4 E
! j. w/ z: B9 x& i& V- P' G

2 @: H0 A- s+ b: O$ R& l2 p+ G# i6 Q7 D vshapes= 1 X. c6 Y- ~' I

2 A' l8 v0 s, X0 H- R; _5 z

' R f5 {4 o- Z W. S6 G fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) - W) m7 f* G1 i& w7 }

0 }3 u6 H7 f7 L+ G5 g

8 U1 F/ T6 n; S1 P. i* ~ vshapes= 4 l9 C) L* |. l8 I0 _- H

2 b: a" `9 s! Y! |

7 |2 T! r2 ^% K: V+ Y5 J: Z vshapes= 8 h* H$ w- }' b! p

* [# D, m R) A3 K. o3 W# ^7 C

S5 w2 c, o* V2 p) w* ~5 D) ]# c 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
! k' Y( j% j0 d) x
% Y [5 W5 A s$ H" p6 O1 \
5 o- b4 T( _& n5 ]) l G

4 t! T( r5 X$ Q3 `5 N' g8 K* b, E

0 p. C! Y0 x0 Q# F8 f vshapes= 7 n4 d6 R! N+ y. F! P

9 D% u4 S1 C% J

) u' W: Y- L, @' B9 P6 X, O fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 4 y6 l. c B( B( w' q

/ c- F+ s: r/ O- ? H+ x" H% _$ O0 l4 J

& g7 q. F) Y0 B4 q' l5 S- t. h PACS系统 4 q" m p! }2 a# j

8 n) u$ H/ A" E2 d. E. A% ]5 }. _

- q D* U5 A! i, V vshapes= 4 t6 M& O1 m3 [% f3 \

& Q% f" `! A6 s$ R. e

! ]3 v! m/ K) d* Y vshapes=
2 Z1 V% f8 x% q
7 Q+ T; y8 P @4 k8 ]) `, E, e- }2 y
) v6 l% C# b9 e9 |

# k( R% g* X7 J4 G

/ r0 |, E" N# ?5 f; a& v/ h6 k* s HIS系统 * [; x: E4 b- \/ \% P! h" [

8 v4 Z. D. x5 Y

- [+ J0 F- L8 G- {) p3 Q vshapes= C1 z/ A% Q" \3 ~7 C% d

P. F$ Z1 c4 W: _% d' o. @

g! u) T2 t' n9 \ Y! ?   1 ^1 t) `3 y0 d( y1 `

0 |3 G7 \1 T; ~- T* q- r

9 f9 |9 T/ {/ K* w# \ vshapes= . a9 }0 V' V! k( ?- I

9 a7 r/ w7 G5 [2 f9 R7 g( N

9 s! I, E3 s5 ~: C% E 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 * L" t; A; w, Z8 X% u1 ^, {

* [0 _2 l/ s5 r

) @# S% f1 s6 G V g! e8 ]
. `4 \5 M7 a) I: {6 ]2 g
5 Z8 x- Q e0 K7 |
, \6 C7 R2 @! c9 U5 T/ c

8 L, _- I4 D) z

" D$ t* B5 Y2 |, F3 J5 m) g0 C$ a! u 后话 4 P) n7 ]- g4 K% X; J

' `3 y- P8 {0 S! F, z, \

' y0 L8 P" d5 v 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 6 Z# K$ v* z2 s% A2 ?, w) c

) ^( t8 m& g. T5 Z( [3 t- F
4 i! c- q, C- s, T! Y " z0 B# ]6 `. V0 _& H' u/ L
) G$ |- w6 K1 T$ U
% x7 N/ k2 K+ M) ?6 h- ?4 e
9 T' t6 @9 t9 W" { + ] ?5 j4 t; ]- ~4 f. J7 s

: r7 z+ {4 N. h/ f ] 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 : a Q( [. F; W6 g5 Z

/ n! _& X9 q2 l) W: K

7 r& M! j' g" h C2 ^3 ^   ( N& X% ?+ z6 M. b& k

$ ^. K0 D: K# c% F; h2 t
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表