记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

% H9 R7 T4 D& |& f 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 + f7 d5 a8 [) L' L5 E) I, u* C

* r" _' g5 J- \6 s3 ?1 x/ q 众亦信安，中意你啊！
1 ]& P8 U' d5 i2 o2 L7 B8 `- ]
# J( W7 M$ Z. m- k3 Y! f- \ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 6 x6 v, l! @+ P* p* q

`% \* ^3 @' D" Z D- K ingFang SC,serif;">3 [# {# C+ |+ {1 ~7 t, b" p

5 O% X$ k$ T( [3 Y* `& y
; m1 A6 v6 |, k2 h 众亦信安 . w1 t, A( x) ]0 t$ E1 y. W) p
. P$ B+ C$ M% U9 v
% ^8 d5 }# G+ V N( Y 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> & G" M7 C% ]4 O& m. Y
) {, S2 w6 {) }0 [8 i/ [
/ ]( b, M: z" l: x, w W7 b ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 8 o& y# F/ s: R
2 x/ N3 A' J$ r; X% q0 p
7 O, }9 C2 h: c; m" i 公众号ingFang SC,serif;"> " O; v: d3 m% K: s3 X# Y, K
4 K4 x& Y. g9 A& w6 L: R! U0 y6 T
( r5 w3 V D$ B* i4 B
6 ^6 O9 Y5 l2 h- i% z; I
& ^4 Z) Z! n3 C1 o1 x # C/ r& R0 b I) M" c2 Q* r
& F, n, P' ?# Y6 R) T+ q
点不了吃亏，点不了上当，设置星标，方能无恙！ 3 M0 q8 {) v: ^/ E
! b/ l. m8 w* d& g q) ]3 B ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> * }5 B5 w+ o1 X+ ]& v/ O. K: y
: E; j1 U5 U R# y
5 Z/ Y+ U n& |" o+ o* _ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 : g: B% \. U! c0 h, d
, w% _( E; H; Q( h3 M E. R# Y
: h! D$ I X, k% N+ C c0 { . x, ?6 r9 M) o! P' g+ e- y
3 M' |1 `4 Y/ d2 {/ D
( T+ ?: v" a2 j7 i, S9 F A& s- Z& k p0 ]2 e# ^& @+ L6 M
; H/ u' K+ M/ v1 N 无线or有线" F- v+ N5 b+ n2 I; d
+ ]8 g& t+ H. G * X* L2 h$ C) B+ T! Z* Z: q; y0 b
- t. Y0 ]5 t6 s" B5 X8 S 4 o: @- G* K# [( ~# ~
/ D6 K5 j) B: |# I! D 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 w' m3 A' r7 y$ o! i; @
+ }+ Y& g1 a$ f2 b( m
# i* D) F7 U0 I0 N2 l 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 6 b9 F0 V/ K8 N) p( X0 e
3 g1 r( N1 d% F W
- K( M6 s1 P& D9 i 8 Q5 d7 j* G$ C' e% {* P7 K
$ R1 G1 L. w* N4 D
; z( ~- P5 e; P1 i1 T 6 Q$ A% d, A1 Y4 l9 D2 Y% Z
& d# g6 j; }, n
% f: I6 l0 ~" ~6 t) U* ?, y( l 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 4 O0 J$ V7 i# E
0 _; n+ e' X" M B4 T! s
6 k! Y4 K4 ?$ n$ D0 X . t a. W2 b6 ?: n8 p6 T0 H
$ X O5 z. R% ~
+ x9 j# B) D2 f( d 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 1 |) R$ e8 E+ v" k* Y! S4 t
; m" O9 Y) Y+ l7 G+ y: r- a6 A) L
d5 S' } g1 A' e $ p" K1 q4 n: H% ]5 o
) F/ U5 b8 N6 O, E9 G& }0 _ R
$ j7 J2 ^0 t% k1 I# A 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 5 j2 X4 S9 q2 Z8 w- G q! H
, U5 e0 q* H! ?1 `* N
1 t. T$ w3 ]6 l7 H 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 + _9 R) P+ a2 G. s: H
& p8 ? Z6 j# n) F7 r( w
; m) E$ U3 c$ i 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 1 R5 ^- z2 k( Y) J$ v8 Y* G
6 |3 V: U( h- q% H' `9 [& `
+ s) T$ f1 ^& E5 ?& I: X 2 k6 P1 ]5 J4 Q. n4 F
9 V. e4 m/ b1 f, @. y" @+ v: G3 D 内网渗透) v6 f; M, ]9 X, n7 i3 m
! g, J) r# r( E+ J) n * X: {, m' a$ T2 E# `
# C; V/ i j/ w4 H. k" l0 z 6 P# d' M) K. C8 L0 v5 o. ]
* [$ v; ~3 d( S5 S0 x0 X9 i/ E* y win下搭建cs和linux类似。 1 L( f$ {- i6 n! Q
' ?% a' X# [1 l q3 M
- o, ^# L1 o9 O9 z+ C( D+ T
teamserver.bat + ip + 密码
9 A2 P3 K6 w1 P0 m- U1 K
/ c5 k7 [- g. D( e: v- d4 n5 O
1 ]7 |8 U: ]% N$ O, s6 U . V1 U& c. ?1 R) H4 u# i) a
* t) Y8 ~0 a6 s; }( f5 g1 V
9 X8 V' D2 `0 ]* {$ }+ v, G3 n. A fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） % O( D" R9 y+ R# x4 s, B- ~
4 ~- [5 s, i. v& b
) H5 S( ~. k. Z% k2 E" [$ G 8 P6 i8 \4 @7 R) x5 Y
. I9 t/ s+ w% f
4 H6 y: h" S' p5 X$ L , M& J$ R/ S0 z2 K/ H! B: G% M6 h
. r$ e" X1 j4 s4 w: F3 ?8 G
/ @3 E9 d" E" P; s b0 ~( U 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
2 V& `- [/ j7 J+ [' A' r
: t0 [# d: b/ E& S! [ . J5 e0 d* {4 k+ ?" y) A
$ l) }" D5 _0 y$ H: l
# h" l/ @. V4 Y! H: r5 n: B % H; J( i: L7 Q/ L( w4 p; U
0 a% j7 k3 q1 e G; c2 L
$ o7 b! J0 `" ^ fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ) L2 z9 |9 x, w- h9 N# y
* v9 z2 }$ |1 c' m
3 n, r$ y3 Q `2 I PACS系统 $ ?7 f4 v' U. _* Z0 F
1 h6 Q$ q; `$ h! ?7 Z' D+ \% F$ [
7 v1 h% {7 Y7 I2 f: A# h; B# o 4 z ^! m' l7 u! w) W' e
- I, k' D, t/ v' b" e
* c' R4 v4 n- }" \% ?
* ~: P3 h( z8 e! }4 ?( l* t/ P
0 U5 R9 e. U; ~ ( ` {+ l) t+ J
% W9 l! \* u! j0 W8 a0 }/ k
, V1 W, a" F b+ ~& c HIS系统 / } |% a/ r A; B" L' ]9 Q
7 C, b; t) I; ]7 p
- O7 K" p* t% \, U$ b1 { 7 B" R, M) F5 M/ Q/ |8 w2 u
* Z4 Y1 S7 j+ _( |. E
6 X: A, m" Z, L; D% D * y. s% r9 I! y: n. m
& M1 t+ P8 A( n4 [) s
$ R1 x# j0 P# T0 `/ l [" t! Y0 {2 A
) y; L0 O: |- L0 l0 L6 |0 G: V r
! w5 b( I, `! G7 e 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 8 x0 y* B4 ], ?4 W9 {5 o! U
- ]- U' I0 Q* C; K5 @- ^4 V( ]! Q( N
; R! t& Q+ v5 k
8 Z t2 v; D$ g; y& T
! I4 y6 ]$ V3 M* w 7 j \( q. J0 {. y; \5 \2 [% F: `
9 E2 m; U6 `$ i4 Q
+ ~% `# Q5 M+ j% A0 \, ]3 _; U 后话 ! J, N! Y- ~" {6 k8 ]9 V H* F
2 e( c$ b$ v; A8 n
+ p8 c0 w# K3 S# b' p6 S4 b$ X9 t 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 0 _$ D. D/ Q- G; E; Z7 }5 Q
* n$ h: c7 r% M. k! |6 E
; V, b4 R1 M' A5 c9 ^ ' M7 p& r `! V9 T: Z
+ n4 k/ J: \' d, r7 Q - Q" Q" D5 c3 |5 h7 s1 M/ j& W
( G, i9 {6 R7 ]5 g2 @4 M/ ^ `* u6 p. l' y: v8 F. U. r- f) i: Y
, X! J% x5 Z# l$ h8 k) b 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 0 G' g' [! i6 t& H) u* N
3 s( J+ }% N2 b' a- c) U
7 N% E1 v5 E. \0 }1 n , M0 a! Z3 @1 n, z# }2 l
8 G' F* @8 f* l" A( Q+ }