记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

! {/ a2 r/ Q3 p 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 - j1 T/ t7 _& L; ]7 s( R

7 S, f1 c; x0 g 众亦信安，中意你啊！
, Q5 g0 ?& y: T* ~: E$ m
5 w; H& B9 V- @) fingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 9 d6 d, R+ J+ W! U5 W0 ]

4 d4 @' J' b! H ingFang SC,serif;"> # T2 w: E9 Y- I; R! q

0 m8 s, ^- k" v
1 n7 Q4 y2 e+ r) ]6 R2 [: M1 \! X# Q 众亦信安 " Z H6 S \" z; y0 h% n
2 q j) F3 i/ t' G% T, |
0 f/ w! ], N) a+ k7 Q7 K( l- D 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 4 x# P, X7 ?4 R: p4 L+ p+ U
/ y# ? S P% E9 d
9 _ v! m, [$ o' H3 O8 v5 e' E ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ( P& y" x8 W' O+ [1 S2 Y) m' R
# |( b5 X: c& a o5 T/ _
* D! b B! J2 Z3 g- A 公众号ingFang SC,serif;"> 0 ]7 m( K2 k/ S& K2 z* O
- s4 W# c' g+ \5 t7 t4 f {
( T2 [0 m$ S9 {0 B( G- d
6 y3 I, o% G o; y K
8 _/ `: j1 C# A! u- J3 j6 b1 Q " V2 E& I5 f9 b: l
( F, r( p, a+ D+ k
点不了吃亏，点不了上当，设置星标，方能无恙！ , z8 n/ V. R2 `3 V; d
$ k2 ?% u6 j# `+ R8 Y. y ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> * j# ?. `9 h8 s2 c4 Z2 n* ?
& O5 ]7 {. w. q N3 P( V7 P
2 G4 Z" j+ K5 q0 g1 n7 U 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ( d8 q' c' ~! n4 w
# ?6 j5 V% z# U0 O
: M# V7 ]- r! I; x$ ] - i( M$ Z! I) m: i. I! C) s3 q6 s
# v( F7 D0 v, n! A B+ C
, r) ]" d3 e& g4 O( J# d/ G $ j7 P1 x% a- I& L
6 l/ y. n; L$ ` 无线or有线4 m! Y2 J! A; b+ K5 G1 I8 O( l
0 M* H- u& `# D' _- }, K) K- ] 8 A, M$ w% N$ I3 g
2 [3 f* D, k. i. U ( J) @( a8 r# k+ k* a2 W
* m1 ]! P9 I9 F: K6 w/ s q 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 * n" K3 O! ]% L7 w/ u" M
9 U& h/ n6 K. N6 \
& V& e; K5 |) H- p 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 - c/ z: k6 s5 y9 B t8 C6 O5 ^
3 T) }& K. e, f8 Z- {6 O# f
: n0 J! |# h& W4 b" | 2 v% n& A: p) A0 h* b# F3 ^% [
! _ }, H) w; T9 c/ `
7 j8 c4 r# `! a: } ' G/ B/ G3 e6 L5 D0 B4 x
) g/ u6 _6 } m$ B% i: U0 [$ j4 D
# A4 A6 o* o& U2 W& f6 f 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ! ~$ U! W7 u3 |9 M
% f7 ~% ]+ B7 b, Z) i/ Z
$ y5 p, L; L, R 8 F) u$ X7 O- _% \$ q5 H7 G
( E+ e1 S* ^1 N* U' I( f7 _
m3 m) A8 ^$ ?, c, J 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 1 _; Y- f+ K' G9 p" D$ f# F! _
+ e! [8 {" l) k
* J$ N( a' l6 M! t0 ?6 F 9 g8 z+ D! B' n1 Z# f* ]
3 y+ O$ Z4 C5 K6 K, e
. I7 r! r- K6 Y0 F! } 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 6 a$ N* O% ]7 N. |; K8 x9 e
/ I4 `/ I* G8 g0 _1 D& W* t1 `
) e: q% z1 h, L: Y5 E5 X 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ' k8 ~% \1 T3 B$ J
- S( Z2 H3 j& V# F( r+ Y7 A4 {
6 V: P) k' q/ Z4 B 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 + {8 ~1 z; h: z$ p0 o4 S
5 D' A% N( Q, N4 U' U
0 X( H5 k+ J9 {1 q" T+ S! C: K ; C1 ]; U7 ^/ E( X
/ G! G" N Z7 u" R6 u 内网渗透2 U# ?. R$ Z2 p( k7 E V2 B
; c% H$ i# f, I/ s2 c$ L p / [9 ^" S2 e8 j) L. i& v
9 p6 U0 M% k9 [/ Q( w - c) Y8 p" @! m# j* n& w, v0 B: P
4 N/ l8 k% r9 @. u win下搭建cs和linux类似。 4 _# K2 N; A7 h
( {, n) J' }# m% w" w
+ }1 t8 ]2 N. m; w `, @9 V r
teamserver.bat + ip + 密码
0 Z. r. n& Z# n: s4 k2 c
# B" d& b' `1 [3 S) e6 d" h9 R
, Y" {7 {$ {2 }4 _4 T' X * h6 t% W0 m' R0 [$ h% ~, P- t
2 Q# s& H( O/ p" M8 L T
1 t% m' X( ~0 v1 v7 j3 { fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 4 z7 T0 o! L, @6 v0 i6 z
+ D8 p1 { v1 N- T( q, Z3 D: s
! ]( c* U, X4 k2 \ U/ m ) k* ^" x" w/ s- t2 j. A4 ?3 F' S
. r* C% G. T& E- A* ?; s
7 k" \9 H, e4 v F% e8 D: ]' I % {8 Y2 N* Z8 M. R2 _
0 B, {1 z- c* m% S) s0 _4 Z
" V7 a6 T4 @1 n/ @ 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
2 y1 ?1 j9 }5 y V6 R/ v: f
/ i: Y5 t. W! G0 g ?( }# T . t6 K8 Z: z- g; @4 A5 }. l
+ C' Q* T- F' w+ ?( Y
1 g1 y9 D4 z8 m9 i. s 9 K3 z1 R& M! ~# C' u# w
$ g& R5 h. {" P, l8 V
7 j) z# n L) s, w |% w2 e fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 " J* v ~# F* A" L6 T- s) w
+ S! @/ [8 R$ S( v
3 A. F5 w M% Q( ^ PACS系统 ) `- ~$ Z/ I- g7 x5 h# ?+ ?) z
: p8 W/ ]5 y0 c# r! U+ B
' y% [0 w& d) F- T) L* t! a* q" g # V4 P% b; u) Q9 e E. w
/ b: s: U: |/ a% E# n% M
! K2 p6 g, [. c2 {( I
7 L4 B) [8 \' Z& ]/ d8 |- {7 W
; }6 J4 V2 b9 }! |8 ]0 Y7 `% Y' G7 r % S5 C% p; I# k" L, L
; C) g0 U0 y+ K# M& v
8 e7 L3 z5 K) A HIS系统 ! ]+ Y4 l+ X1 J; r
( X. c7 P3 [: u; l" u: }. @
$ W* k. E& O1 q7 E ! K$ k( h# s7 P! X8 e" Y% Y3 L( f
6 @+ g( W* Y; }: [% r3 X" m
" F- K& [; i) Q, s' U 7 c! |3 a: v a% \. i
$ A: m. d" a( P$ O
' S: S" l; ?5 s( ?0 ^ 2 g# h5 r$ m% c. I" C
3 s# p& z1 O5 @0 X; L: i! x$ C
7 Y8 x8 {2 G- M' {: c 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 7 C. c- u' w$ u1 f9 X) l2 G5 |/ Q
# S3 {4 o F- G; B* L
8 u2 b* G/ l% g! I
) ?4 h7 _! t( F' U( w5 o
' U/ d; j8 @- V0 Z5 u. I 6 X5 M. Q7 V( j1 \6 e9 U
/ @% b3 R5 m( l/ M. v* t! {
+ n, J/ |1 t6 V. P0 l 后话 1 y* f; B: m+ e- Z: H& [( Z: G- U
z' ` q% M+ y
4 B6 o7 Z, z8 {; F0 c4 ^0 C9 r5 g! E 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 3 w8 t' k9 j8 s+ |- t
( o" J5 J- [: b( G$ N! x% z6 Y
3 m0 Q0 `) x% Q7 L8 I$ @ 8 o4 g0 T, {. _5 D8 v- k/ }; \' I
( F" Y M1 M' V9 N 4 n! J9 g, v; S) F
/ P( t1 M5 b/ M ( L# s. t% V Q# j- M
; o q) d, N1 u& D, D$ Y. H 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 1 V$ _7 z) O' H0 P a g4 K
. K( K U1 g: k: n4 h
1 c' C" m# h$ z5 m 5 U( g7 @1 g2 R0 `
D6 b: O% c0 m, ], ~: ~. f/ ?