找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2367|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

. @+ l; j D5 s! [9 } 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 0 Z( {- ]% k) b( {$ J' h

% x ~ D' w$ L& r2 [* [5 h

& e! k/ B0 f% l; _! f4 D. W 众亦信安,中意你啊!
+ L' f7 {; a1 j+ U% u5 k& J
1 a+ u# M) j7 j& w: mingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
, M6 G6 |" l7 Y% ?9 ~6 ^

# Q1 L0 ^! Z) M5 Y

4 N; [# `+ w; l, d ingFang SC,serif;"> 0 Z- e1 J( o7 [' C

|% s8 n8 y5 R* \* Q9 n( A
2 C5 W7 {- X/ Y8 D* E, e

& ], x9 t9 V) N/ C 众亦信安 : J7 a8 ~ H6 u+ u. h, J" M

" e* G2 w5 ] F8 z f r- n

* {1 r3 M6 R0 A8 ~9 |( C 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 7 W9 }. P% a1 ?

( N( u% G6 i; d' e$ q: @, ]

+ k/ c8 ?$ W- w' G! ]& a5 t ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 0 n( l+ P$ E/ T. | l

$ v/ I$ @) C& | E" W$ C

" V4 m5 C1 n# T+ `& a8 ~& q- W 公众号ingFang SC,serif;"> 7 t- i8 y, W7 S, a1 G+ J

) q) p$ x6 ?& d# q

% |1 z. P; N0 q1 X
" Z8 N w" B4 V% U6 I8 s" F
5 _ I$ Z1 l8 y$ @/ C$ n
" u4 O- V% X! M) K7 o% M; _

0 M" ?" {1 ?* R! D0 }5 e4 k
点不了吃亏,点不了上当,设置星标,方能无恙! % ]) B H- q$ i6 {0 U `$ g

: `- u9 I, c! Z |0 y. Q ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  9 ~2 k! M2 r. Q4 n% Q- _9 o

, E! W& N- [2 ?) Y( K j

. X! m$ Y/ F3 }5 K# C$ z% k 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 ' X' H2 y* D, v7 h0 J

; q& I5 a4 K9 c' I( u4 F/ E4 E/ i

( a: a% B0 y+ F2 b2 [* f, `5 A   " X+ g) T- T) \$ I0 A

3 P' O1 ^% A) v9 d8 {
* `" c+ T7 N6 s* ^1 o% w ; p: M e- m, r0 W. k

" p" q z7 t/ m/ B 无线or有线 . b* t3 U+ `; ]9 G& o3 n* q! Q/ L [7 e

, L* Y5 ^' M1 V# u" U: S+ {
3 b! r+ d* M2 W: {, N
$ q7 f: C3 x' ^ : w2 |! P. @- n c; Q. e; h

0 a. I" {8 ~; s# S 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 5 L' H) q8 o8 n4 b5 C; B1 T

& z- a: q$ M7 e7 u

. N9 g, X1 o* f- E& B- d 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 3 s/ A+ a. a- y# {/ y/ t) y

5 Q2 n% T2 f- {7 O8 [0 ?) Y0 L

) \: B+ y* f4 r h; z, C vshapes= % b1 b) u% ?7 O! L

2 D2 B' G0 t! N1 ^0 `9 f7 m

7 F' a" m( M' W3 b% h% \5 r5 N vshapes= 9 d* e# ^7 Q, P

3 h) O4 e% a e0 F5 C* h( ~ ^

/ J$ ~& t. }4 @ 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 0 [. U L; q( I; F( b% v( }

$ G: T1 S4 A, P g

9 H; G: e+ i4 |7 ? vshapes= 6 k3 C7 B; N. a; S5 O: V

% Z- Q8 P& A4 T2 H5 W5 n: _

7 f# k+ l7 w! n4 _# p 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 & |* T: g, j* P% T# Z) d+ E. E9 K- g

g6 `" z. p2 J$ `1 _. X8 a. j% n

' T5 @# l# I k8 V! r vshapes= 5 Y m; E0 ~# B7 [# T* c( s2 C

: Z# q G4 s+ }. ^

! j2 D$ a$ W6 l 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ! B! }- g! N8 f! M$ `: b1 Z

4 f, r, U2 m! L: N5 b' t

- P' M3 n, A6 A, `) W- S! o9 r 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= % w% @' l# S% G: H

8 V* T9 A" B b0 v: J/ t

% s! J- Q6 k9 l' ]) v3 x' y 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) ! v3 w4 t- W* D7 I7 q

9 I: D( P3 I! C% g. j/ T5 Y
+ b2 `: W% H' Y A7 ^- y 7 j4 A3 p/ N! G8 M! S6 U. {3 m

0 d# j: C6 y+ g3 x# A 内网渗透 8 g- B. u/ c* G1 t4 y

5 F2 o, v8 T, |( T) c) C
: _# f2 X, r9 P0 y( {2 [
3 o/ e& f' u" S$ S/ ~/ x: e + G! |' q# W0 E

" E- _: Y, W4 O+ ^0 o o9 w# D6 o win下搭建cslinux类似。 . `) ^1 W: s. D1 W @ m4 T

' t+ k3 u7 p' _1 q8 i
5 \1 i# x- J1 I. Y" X* K9 ^
teamserver.bat + ip + 密码
: R2 e( C) O( r' V- z) m
+ C; C c- o; y( e) E/ V3 @/ j

4 W7 I6 O' p: T+ c3 _/ U vshapes= 0 m; S$ i, ~/ m) Z/ n$ ~$ M

( o8 n( L/ v, m: Q( {! f2 f

f1 n% |, b$ f& q7 w* ? fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) ' q* r* ~( b( i

- d% j3 D0 S# J+ J. Y

' H# O2 w! i4 @( b, J6 c" f vshapes= 6 ^$ U. h0 u* e( m) g

8 G0 N* Z1 A( k* W: I2 Q

( W+ n2 \* g- r/ N) F2 I vshapes= 5 i4 H9 \7 v7 u/ e8 E( F5 b

# V# }) I* F. n4 f

5 q: z. y, J% S2 r+ z% X 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
5 F4 ?3 ^3 r& x8 L9 ]
$ J- E/ _! H* ]5 p; E" }
# I x# ^- Q8 A

3 l8 T& m+ a$ `5 C$ m/ O, i

/ i* G8 O1 _9 G8 M5 d vshapes= + x h! ^/ q/ U# `( |4 S) f7 ?$ J

( y: ~" G0 k" T4 {5 Z

+ Z$ Y% c. [4 R0 D fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 ( A, E* Y1 C% M! p) E7 R& T

" d) R* z+ S7 C; z) P% L

: m6 A4 p0 V; T$ i% o' b PACS系统 4 ^5 V8 _7 y' y+ J8 }

7 V' X0 N4 m- J+ ^7 Q

+ K; S' i: p2 ^$ [9 F# ` vshapes= ) B s, [4 ?, {; ~5 g

3 S5 T+ v) q4 c; l( ^

! v. [' \0 X( L/ |0 w vshapes=
q# l( S/ {, P3 ^3 L* |
7 Y6 Q& Y* N1 z6 d, Q
) e6 N( Q7 l( @9 F( a. P

; G% K" K+ ~7 _" I% t; o

1 V2 \, t" u8 {' G/ a+ L ?0 ? HIS系统 * s( C' B, s( ^3 t( r1 f$ O

. ?7 ~; j7 m8 A

% S* }$ y, C/ n; U+ E vshapes= 6 U8 z9 S0 k! Y, W; u9 ~

1 E/ L, X5 U- ?# z3 D

" p/ H# ^% c1 }2 K   - q1 v/ x) e% U/ X7 ^2 ^! Q6 ?- r

0 t1 r" ?2 Z2 A& O. I1 D( q

; h- O& N0 N( P/ M+ V vshapes= + B% k( N# E/ E- E7 x! u

3 x/ i4 d- Z1 X7 a6 z4 i

. d7 s2 T! ]1 g7 W+ c* ` 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 . a2 o P8 Y% ?! g1 w

) U% K) z+ `% \

! ~+ E, Z$ `8 H0 Y9 x' o
3 k+ v6 e& V' X' v# ^
2 a( P. z; d) A8 M b" K
5 R: Q8 f4 a9 T3 v$ p+ F$ K/ A

" c R) D% \. |. i1 \

# C& z3 s! y# B, ~ 后话 " I+ X. E9 P* a0 W/ L

8 N6 t* O4 v5 d( z7 B/ ^& M

5 G' k. b4 d- E1 L( I) g3 X. [ 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 ; U9 Y9 y$ u( X& L

3 _, n* d( s1 P4 V8 s4 T$ E
- z/ |/ X1 A, y # p: C- |! l' J! X
. G- d$ J! d0 V4 ]; t% U0 F% e% o: k
- ^, H7 u% \) X
# ?' P- ` P3 ?5 Z; s& h0 w ( g r/ k8 l0 ~7 M

0 O, I: C @9 | w$ k/ U 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 5 M9 U* {% e3 y0 K8 {+ |! ?* z

, I6 V- i+ `2 F. ]7 q

2 D1 \+ {2 e- l2 L. R   * V) j6 @* O5 ?3 y

6 m$ O( L1 \/ O3 G* D: N
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表