记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

2 D( M0 c. f1 t# f7 k6 L$ F4 U 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ! R3 T5 u- J) v1 u7 u$ Q: @! K

: _( e( @) N$ l) a2 E% P 众亦信安，中意你啊！
8 n3 `( l! L! Z. A. u( @3 b
t0 G& F5 u) N& AingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 0 N {4 ?( u+ \. D2 ?& x0 z

9 k& x8 U! L9 g! T y ingFang SC,serif;"># [" h* F6 h6 a2 ]+ E5 G

2 s7 m; U0 R+ q! T0 j9 p
! E1 R( V+ N7 d8 ]" ]$ M; }. F! y 众亦信安 2 a/ b1 g" i' N$ Z" i, |4 D
' ]# m# L. ` ~( Z- u9 c
: g6 i! E( t5 y/ V+ ?7 f: @ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> - R! H# A6 A* `, C# n% R; Z! N/ H1 E
( a1 G. y a; c7 E
8 \) q% I) C' f" y; K6 b5 ^ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> * Y7 E5 @5 u7 \9 }; K: G9 X! v
, L2 p' k, F5 G# N& a6 w2 S) `7 K
n5 J& x( B( i8 n s1 } 公众号ingFang SC,serif;"> 0 [- g, v) ?0 a) |; O, c, i
/ i. V4 T& U% i* N& y* W" U
* c) s6 {, U0 J# ]- Q7 B: ~
$ c% m* e" {$ `% K
, `0 G! |3 u/ g/ [) S1 b ' k* @2 {; Y; b
: }9 e: a' H0 O
点不了吃亏，点不了上当，设置星标，方能无恙！ 3 J$ C( M: {" y3 @* J0 y* C" \- e
" w" E) A$ t" S! v* z( _ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> + H% B& b W/ [5 j
! h- w/ T# \2 ~4 q8 C
" P: N7 X5 a% \! Y" W9 y) W; Q 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 * f+ Q& c2 O* e, q9 W S
7 S! H# T7 Z( {0 d
; R% ^2 [$ k ~0 R% X( H 6 j) ~9 S, f }! [% k: I
0 E# d! y, T2 G0 d; a2 Z
' l3 S* H0 t% Z5 E0 l' a4 f5 W* H ( I6 o' \9 @' _0 m5 B6 C! `2 T
" l0 ~" Z% H6 f 无线or有线 ( z n; n4 n! F' g u
* m1 B2 k% N/ @9 s / k) V3 `4 D9 m2 \0 { C
2 O! q( z P7 G# T( _6 C9 C- C5 T4 E & g+ f6 o; l0 j8 A: _3 c* f
4 L C* a: I+ E3 I6 G8 w5 d 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 $ F1 Z8 r* j7 Y) K) \; X9 p- }. {
. g5 Z% r) f/ R4 D
! L4 k& Y$ z8 {1 v 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 6 D1 ?) k+ B1 [9 Q- J
5 A( v9 y+ W1 |: n2 N/ N4 E
/ f' u; V+ V0 K( K4 ?( j9 @- U ' r! e1 M4 j! n0 R W; C- Y0 j
8 ], X( X7 _) o( Q9 F' e
# ?# Z+ H4 i# j" U! [+ b( ?! o 1 b ]2 n- [4 m b) O& t3 D
$ Z: w. S5 N4 ?# X Q t% o5 ~
& p5 T y4 ?4 |$ }' [6 O, R* h& B 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 0 @" t( S- Q8 L( K
% G# E/ E7 f# m0 T+ G1 ?" i: T
& N, L( {6 F5 ^, [: ~) K 1 f" N5 z9 H$ e$ f! S0 d4 A8 a
5 ` A" _! U7 ]# l6 y6 V, ~
5 Y2 f6 p, `" g, | 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） * D& @: l( { \3 {1 L
4 t t$ `; P' o C9 V; e
1 J" M# `+ H' w1 y ( @; c9 G8 g2 G% A1 _# c8 [5 Z) i
% J6 Z5 C f! l0 x/ d( c+ R$ K
8 k8 k& q- I. s4 Z: o0 u8 n. D 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ; [; s; b, a% W! Q/ A2 ?) U* C
; F' b" _* C! t5 S5 |+ O
6 w" i, ~* z( y2 s7 E( ~ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 9 ], g9 y/ x& n" @: _
( E$ _& i& d% c
( o+ D9 k: N/ c( {/ a0 x" @ 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 * A7 ~7 [/ U8 N" V, G: a, V
) Z0 }0 k: \. G+ i. H' p% R
: L0 Y/ N4 M; ~4 b: z$ _ ! p0 D- h( T! T! U
/ d8 O: g8 b/ j S) {& n 内网渗透0 m5 w0 @7 E$ X: }) M# O
9 V$ m, v7 L7 `1 t7 H8 C, x # H! y, f H5 Q/ k# e0 E8 h$ _$ X
0 n7 h$ Z4 P/ @% y+ h & K, ^/ a$ s D1 ]. {
& ]& k" G h1 A win下搭建cs和linux类似。 7 }. G% l2 s; Y. m! G. V; D
/ Y: u/ S% \! K' a, X
' X. ^) M2 D1 X) K6 ?& [: R! s6 i, J* ^
teamserver.bat + ip + 密码
[! ^8 L3 c/ H6 e) o4 E
! j. w/ z: B9 x& i& V- P' G
2 @: H0 A- s+ b: O$ R& l2 p+ G# i6 Q7 D 1 X. c6 Y- ~' I
2 A' l8 v0 s, X0 H- R; _5 z
' R f5 {4 o- Z W. S6 G fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） - W) m7 f* G1 i& w7 }
0 }3 u6 H7 f7 L+ G5 g
8 U1 F/ T6 n; S1 P. i* ~ 4 l9 C) L* |. l8 I0 _- H
2 b: a" `9 s! Y! |
7 |2 T! r2 ^% K: V+ Y5 J: Z 8 h* H$ w- }' b! p
* [# D, m R) A3 K. o3 W# ^7 C
S5 w2 c, o* V2 p) w* ~5 D) ]# c 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
! k' Y( j% j0 d) x
% Y [5 W5 A s$ H" p6 O1 \ 5 o- b4 T( _& n5 ]) l G
4 t! T( r5 X$ Q3 `5 N' g8 K* b, E
0 p. C! Y0 x0 Q# F8 f 7 n4 d6 R! N+ y. F! P
9 D% u4 S1 C% J
) u' W: Y- L, @' B9 P6 X, O fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 4 y6 l. c B( B( w' q
/ c- F+ s: r/ O- ? H+ x" H% _$ O0 l4 J
& g7 q. F) Y0 B4 q' l5 S- t. h PACS系统 4 q" m p! }2 a# j
8 n) u$ H/ A" E2 d. E. A% ]5 }. _
- q D* U5 A! i, V 4 t6 M& O1 m3 [% f3 \
& Q% f" `! A6 s$ R. e
! ]3 v! m/ K) d* Y
2 Z1 V% f8 x% q
7 Q+ T; y8 P @4 k8 ]) `, E, e- }2 y ) v6 l% C# b9 e9 |
# k( R% g* X7 J4 G
/ r0 |, E" N# ?5 f; a& v/ h6 k* s HIS系统 * [; x: E4 b- \/ \% P! h" [
8 v4 Z. D. x5 Y
- [+ J0 F- L8 G- {) p3 Q C1 z/ A% Q" \3 ~7 C% d
P. F$ Z1 c4 W: _% d' o. @
g! u) T2 t' n9 \ Y! ? 1 ^1 t) `3 y0 d( y1 `
0 |3 G7 \1 T; ~- T* q- r
9 f9 |9 T/ {/ K* w# \ . a9 }0 V' V! k( ?- I
9 a7 r/ w7 G5 [2 f9 R7 g( N
9 s! I, E3 s5 ~: C% E 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 * L" t; A; w, Z8 X% u1 ^, {
* [0 _2 l/ s5 r
) @# S% f1 s6 G V g! e8 ]
. `4 \5 M7 a) I: {6 ]2 g
5 Z8 x- Q e0 K7 |, \6 C7 R2 @! c9 U5 T/ c
8 L, _- I4 D) z
" D$ t* B5 Y2 |, F3 J5 m) g0 C$ a! u 后话 4 P) n7 ]- g4 K% X; J
' `3 y- P8 {0 S! F, z, \
' y0 L8 P" d5 v 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 6 Z# K$ v* z2 s% A2 ?, w) c
) ^( t8 m& g. T5 Z( [3 t- F
4 i! c- q, C- s, T! Y " z0 B# ]6 `. V0 _& H' u/ L
) G$ |- w6 K1 T$ U % x7 N/ k2 K+ M) ?6 h- ?4 e
9 T' t6 @9 t9 W" { + ] ?5 j4 t; ]- ~4 f. J7 s
: r7 z+ {4 N. h/ f ] 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 : a Q( [. F; W6 g5 Z
/ n! _& X9 q2 l) W: K
7 r& M! j' g" h C2 ^3 ^ ( N& X% ?+ z6 M. b& k
$ ^. K0 D: K# c% F; h2 t

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

" l0 ~" Z% H6 f 无线or有线 ( z n; n4 n! F' g u

/ d8 O: g8 b/ j S) {& n 内网渗透0 m5 w0 @7 E$ X: }) M# O