记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

7 A( \# w/ I2 O5 W+ J 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 3 Z1 r3 c; C4 L& J

3 k% Z1 P' t: O( e& T 众亦信安，中意你啊！
0 n! F+ n# v4 r
; r. w* Y( m% J ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ) `4 o! e3 P: h& V

) v7 u1 i8 z$ r3 d8 q) m L ingFang SC,serif;">: Y8 Q7 l+ w' L% u

/ W, ~7 Z+ M: {$ w2 Q' S0 R$ {+ X
* ^+ V5 u, A* e G" J; f ] 众亦信安 0 c& i+ F/ C' M" f# h( h* `
; h& F/ N4 }& l6 ^
/ Y8 ^1 i' o, K$ n6 _# F( |; E4 Y 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> : f& F0 C$ a% b
1 C+ \0 F+ h! X6 r; ^
6 q0 j# \. T9 c4 s ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 8 G8 ?* k# }/ B' i/ [ P* e, ^
$ w9 _. J9 |) O# w- g2 X8 u5 e
6 C+ C. n3 j' n. Q 公众号ingFang SC,serif;"> % q! l- o& o# y2 H% n
3 }! q! e7 i' n8 a- u+ U6 `
+ K; ^- w/ T2 `! x) j6 g) a
q! ~: F) S6 N3 G3 ?7 w+ G
/ t0 R% L- V4 }6 F( a. [2 B8 V6 m 8 B4 }# K% T2 b& }) j- n
# e4 S) I9 y4 j6 {
点不了吃亏，点不了上当，设置星标，方能无恙！ . N7 O7 q7 o* u* {1 J) F
( T* W# h3 K7 v e% v, J: D ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ; m# ~* N; Z( F$ ^, r2 `( p
) l2 _4 b+ u6 E4 P7 W. Y9 {
- `' T) w# t4 Q6 n 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 $ a. Q; L6 n$ |
; T' x% V! T4 e6 R6 {9 g
/ L: Q! L1 q! a 2 U: n2 a2 q9 }. @: f3 ^+ k2 }! W4 q
5 r. i! @. z0 q" z' w: i+ p
g9 ~+ H! E3 ?( q! }+ m7 R: G & T$ T8 @" ~% A& `
C5 j" O. f- Y/ R 无线or有线 2 ]6 G. e) |" V+ r# a+ w
8 F# m6 K# a" H7 i$ R- T $ {. H- Z% U* ~2 n: H
R2 ^) F" V* X% Y 6 O6 h5 k0 X& U4 C; J
8 b0 r/ p6 E( G5 ^& z 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 # n( c/ p! `( L5 e
4 m& K t5 x+ H# M4 R+ M9 {6 g
1 U O0 B* |+ e 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 * r$ `$ D* r0 l6 p" x& a
! H8 C% \' p3 O! }# k; \
7 i* R% j- N5 ^: E 9 P! J5 E+ h* G: { ? u
3 g$ |* ?3 Z1 i
8 P$ w, e) j- E* ]9 l, C : H& U. Y0 y1 L( R& F: k. }
, s# P8 b4 y* R& R
1 t' P' ]/ |9 ]. u3 h 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 : Z2 S8 x( ^' z4 G5 [& W
3 B, c1 b* o! K @
5 E$ g7 i7 C8 g4 Y. i $ ^' c. N0 Z, h) H
1 j. e k8 ^: |& n/ `* }2 K
0 H- x/ w" Q6 J% a) b% ] f k 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ) G+ c- A" l- y6 v
5 R3 F7 w( A* `& u( d% n0 N+ T+ O
# y- T9 c; \% Z7 ]( R9 T0 T1 n1 t- p " O) U9 Z- t' f$ T
& a/ r! r7 V7 f. N
5 {& h( G; k( g# e% q* M! S 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 8 @7 N3 V b, `. q7 e$ f
. ?; ]7 c1 P' r% Q! C
2 S0 a) t, @ M, K: w. v' s 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 5 u1 s \, ~* p+ c" P
% q: V' j7 k5 W& @5 r- @
7 R3 o* q* K/ {& M9 ^ 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 . H. l0 e3 q) j; l
1 A# \6 r6 m6 N# O6 V$ }
+ y! z: i1 g/ N, c$ q' I! w % Q+ y9 E: Z2 E( ?' c) S
4 }: k6 @! m6 M0 G A0 l1 H 内网渗透0 R$ f% g) J. m, G& y( f) o% Z
0 e2 o1 h( _9 |' E- n . g6 ]1 ~0 W: ?0 U5 g, V& b# a$ d
7 u6 d" F& v+ s; ` " R3 c& y8 u7 R7 _: U9 j
* x7 n0 `6 u U. U. ` win下搭建cs和linux类似。 3 q: ^( z8 {7 h( {* _2 l( ^% w+ N2 Q
) O; u3 N) y2 _4 P, R% B+ O2 w: j
/ a8 V- H: O$ s" D; w
teamserver.bat + ip + 密码
) F" y8 E! h0 Y% V9 G" {: G$ ]& J
, K3 e8 Q; M8 I$ E$ Q5 Z) P
( N* v, L2 `1 B0 D% j : K$ A# I2 @. |
1 Y2 o8 v: W- P/ B, b5 G9 l7 ~
4 A2 ?# j# D+ O" M fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） # V, |3 ^0 v+ [' F0 z3 Q
. q+ m6 @+ N9 S( A! S0 E
$ Y8 N- M5 V( r% w% |. B, i" W 0 y" p* B- E- q' O9 \
6 v+ A: x/ M8 [# e
6 @; l( y; b* W% b9 o9 ` b' M " T( m1 _3 @) l( [
' F- V; W/ @9 t; _ ` R
, A7 M e! w/ g! E4 M. [ 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
( l, h1 j; i( {/ \0 U3 A. $ M
d, @8 C! k! u |8 A+ [) A3 u ' G" i) C9 w7 C1 R0 q
' v* h f$ k& v2 J; g
1 G' D4 G% b3 w8 A 7 J( S4 $ ?6 A
" \9 a# ]6 C4 [0 S7 L k
( ]! b! e5 f2 L S fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 1 h. X- ~* p9 @! J5 S* k3 |$ X
$ E% A9 \* Q0 [- ? j9 D' K5 Y8 e
/ ~8 G3 f4 s* O& \ PACS系统 + |* ]. E/ a3 l4 j3 _7 F
: {: H8 P& v. V& l, O. J
' k7 B4 K4 t: ?* P& p& h 8 q6 ~9 l' h3 Z; G0 d
9 A0 X, E, ~8 E
8 J4 m0 P k5 G
" f4 {* j3 K7 b$ j3 u G
6 K# x: `. H8 X/ ]/ U. n$ A$ V h9 x ) z( ^7 c$ m. ^. X6 b
. G- W: c1 E3 a' t ~% G
) F: k6 S! v# o) ~ O HIS系统 ' {7 d+ T/ Z. @" i
2 M. Q5 l0 E# |9 c' B6 D7 A. V
" h( I3 b" B7 M; `3 i! X8 x! I ( }% j- g! H1 f
' c: Y- v* a# G/ t
! ^+ _+ T# e: n [1 U' m , w6 g1 u7 E$ i9 ~+ A, X. ^
' e/ y3 M" ?! O1 M. o# W
/ C# m3 Z$ P, n' ^2 C" F3 q$ d - N0 r5 B. l3 b2 k1 h! w
* C* E' f2 M' h* P" Z
7 H! x1 h+ G+ Q2 B3 }; m 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 3 p- K0 F3 {9 f* z
! |. z% B8 p' r: `0 s
! B5 N# J7 S+ `) h
4 Y( s- R% c( [& z6 Q9 m
# `" g3 y5 L3 `# g% l b 3 v( e- |5 T4 r
$ ~& `6 d' z3 P; }
# O0 y" K# ^) _, r" t4 P( a. G 后话 0 B# c) ?7 G) [8 Y" U$ r# u7 j; b
; v& r; s, h2 c* C9 _% r
7 `/ Q- o. \, E, K/ P 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 3 ^: Q; _$ t+ [ ~% x! ?
- k1 b: X3 L8 d, `: }
2 T% ^' j) G/ U: B M 5 Y' T3 L! X" ^1 O5 x6 h; X
$ ~, ]3 v+ q) ^8 L+ A 1 q0 t; S% i' x" p) ]
; `6 {5 S+ N8 N( ] u' b 9 Y+ u ]8 i, V% w
% L z; {) f k- u" z' F* \ 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 0 G9 e1 H3 J2 O) ~9 J, Y
5 |4 _5 Y9 |% e' Y! \5 b
' g8 R2 w) M, o% p) T: ^: p " O5 N, E" b$ A3 w) q- ^+ J
4 X! m6 v% k! f0 g' q