记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

: ?, x8 V. Y0 Z; u# b 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 - A- m) ]& p& @& V6 J! p* A! u2 R

3 R+ P3 X6 A! z7 s% S 众亦信安，中意你啊！
9 I6 O) E/ [- M* F+ E! C/ t( r
& U" a1 f9 c# X7 k ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ' J" L# ^9 i& e: e

2 k! G8 y1 R4 |: ~/ Y5 } ingFang SC,serif;">, J$ R+ Q4 w i6 T5 @

- y1 _9 C8 F, \3 U* Y! Y+ g' f
- P& o( ]# t+ y1 `4 U7 I, [) n7 U 众亦信安 $ U- D% ~- G2 {: S. l6 N5 o4 o
3 ~- z% W- Q0 y$ f& A
. F' |7 q% i) z 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> * g! g/ R2 M& N1 o# R5 O5 o
4 A$ R8 Q, e& h; Z; O
$ E; r# r3 `( U( b) H. Z8 V j ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> # h+ G+ J6 t1 r8 e- P C( {8 Y
$ f# w: a2 v1 t* _+ ?* n2 V8 ^
) e! o6 H6 z, R 公众号ingFang SC,serif;"> ) l9 w @+ R+ O0 C0 R' d
Y' \2 b: N- K
2 w; q& d8 X' k0 S' d1 p! a# S
& d2 X& I" ~& w9 {- ?
- b! n" E& A7 j$ Z2 H! @ _9 G/ |" m7 |& J- X2 i
: p' j- a9 r( i
点不了吃亏，点不了上当，设置星标，方能无恙！ 1 Y& X1 ^' v! L: u' ]1 \$ K3 G0 I( H
6 H! @7 w/ R. A Y5 P. n; _/ f) H ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> + S% L/ ]$ j) F8 c0 N
! L( _% H3 j, {% U
+ m6 o" f* z7 b1 r7 P0 A5 \ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 1 j/ L( n8 b% V* n6 W( q
& O/ V( k3 p0 s$ r/ _% N
0 {7 a4 Y% N6 Y+ V! X( }4 q3 S / Z. C( W" {$ [( ]$ u" N6 [# ]: t
) s% R5 [* }; _' R2 I2 E# t% V9 Z
' {! v( j+ V1 w, i7 G; {9 Z) D1 e1 H% g , N+ H. n4 s6 z+ e
* Q+ E* j0 t8 v; c 无线or有线 4 a9 s7 u( o9 z0 ~; W
4 p- `" [' ? f$ x' P& F L ; g5 V& ^+ k4 f
. C+ l' L& W- u 2 p8 _. y, _5 {- u, d1 X
9 N: z/ k) ~# f6 } 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 : |0 M5 _8 I( T. \3 S
) v3 M0 A; s( w' Z5 @/ J5 G$ m
6 e8 y4 c3 T& @! J1 }' o) g+ N: G 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 0 d7 Z* P2 q8 a/ @8 e( J2 O* e
3 M ^4 N2 B8 S# ^: }# E
* G* |+ P/ s1 ?) k 0 G! h+ w: F3 N. z: P5 a* N9 I
& {$ Y- U& i/ Q) I6 c
8 ^- z+ B5 y& i& m6 g 0 T3 H# l) M0 P( D4 _
* r& D) o6 ^' ^. r& a
$ W# m: a2 O# B 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ' F2 B- Y7 I" s4 [1 t: l4 |
7 B+ ^" i+ \* n) b% j
1 R9 j1 u5 W$ w# m) r A0 p/ a% p( e7 c) q) [
[) C, }/ c, |; q& Z5 K8 a
6 w! M% I/ X* t# M; q9 F 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ' e1 o( ]8 c+ s9 b3 B( z
. W6 ]% G& d; o1 C4 A3 l+ u5 f
1 Q; G4 C9 ^5 z& I* w. V" L, z3 _, R ( O* ]& ]" C2 l8 {3 A, [3 x
( M9 y1 B6 w5 h: Z4 g
/ l% B- C# H+ [3 Z( O/ R5 a) n7 r 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 - t# v$ J$ b. a* J. E) E- |
1 H0 h% n% _* a
' x6 F5 i5 P( a 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 1 r# h+ P! {* H8 n+ z- r
/ T' s' d8 Q# C1 w
1 d6 L5 C0 ]" i1 a( p 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 8 b# X4 h- D& p. X# X2 U& G8 P3 o
& |& q3 j2 }8 s5 |3 w
+ D2 Q6 h% g' V% A/ p( ? , F4 b- v$ E2 l4 L- C# o5 ~$ N
# \$ X- @( R% u/ B- t( u, _9 p0 x+ P5 H 内网渗透5 g" m- t; q- N: Z
) u" W) T: r$ B # x% ~; c! o: a3 x" x$ n, J# ^
; I. M8 U7 S" C* ` 4 A* [- ]- x5 D8 n8 z& ~2 k. ?
1 R3 {6 h" Z2 b win下搭建cs和linux类似。 : F. Q! M4 w/ f7 n, h
. g: c9 T# P- W7 ^$ t
0 C/ a+ h: [* i4 }3 p
teamserver.bat + ip + 密码
y/ F& J, O6 s
2 T- o: j2 t+ c) t4 L
a9 o# B1 e3 Q: C8 n 6 f8 b0 q+ [1 ?1 Y& n
( c) H9 s& K6 ?* y2 e
+ V& P+ f _8 ?7 F& z' T fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） & C* f" z6 N* n2 b6 J
' @; R M" r8 x* |4 K8 p4 ^
& p7 c5 Z# ~/ O _! j7 @7 G$ L) T ( J1 Y3 s1 [5 O8 Z S/ ~
& I9 H* |* e: O0 {4 g/ T# `+ }
$ e6 m, q0 Q" ]; r1 R; u' i 5 m. N4 o1 }3 S- o+ D! z* H% o# [
$ n) c- _% P5 j
" `( D. j# K5 V 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
: M4 o; h! q2 }. J x- r
0 X/ v I# y/ ?% @3 A# b i$ I* |' b/ f3 A. l
6 z h& B/ i2 M7 A
0 K: @4 m( V6 `' [ . k7 b' s$ V' F1 W+ _6 n! e
+ G4 F$ Z( X% s+ c7 G5 R4 P
& Y4 [# L5 ~) ^0 l2 q* {0 M# X fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 & @- z' O) @# G0 W- D& S
; L" ^8 J: z: y2 H
9 {8 B1 [6 t* n1 M* r* C0 L PACS系统 ' b, y6 q0 d/ l o
& p F/ E( {" G
5 q* I+ Z+ ~& r; N% ]. l6 o 4 C& ]& d1 _; ?5 ]0 m4 z0 X r5 J
8 g& e1 Q9 X" h) N5 c& A- ^
. W9 K9 k. Z9 F# k" q
, l0 U, K' H! M) R$ p
5 T& V& U* p G& O4 t 2 D" b4 k# o1 m4 K2 u/ j
/ @7 f [" O# `
, h% i! @3 M, I0 ?& Q HIS系统 : z4 ~ q' N+ |. x* M+ |+ P0 m4 N
$ t) Y! q' U# y N
# N; e) Q& _5 }% I4 M. M7 P( _# P 2 F" [) @( I3 Z/ g5 [$ t
: o; W2 P. k0 \7 A5 M! a
( a. y, b+ f$ [. B ) J0 d" x |, a2 x. ^
: b" b, b: S" z% E' K0 f3 ]
( G* e5 Q" `( }- T- H 6 |+ y& [1 G( K
& e2 [: {8 f. t% _ z
M1 D, F$ I6 L5 f4 m% B, m/ H 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 4 k( X3 [% ]; u/ N4 i; q
6 e6 T, `) z& _' d0 W
6 K z1 m+ k- M4 u/ t" ~
' u2 x1 g+ I* j0 A7 C$ D7 ~5 G
+ b" p. o+ z- g: |& ~- Q" H/ H 4 t8 L0 G. W3 Y4 K& N
) }7 ?9 p" h7 z! r/ G' y4 q0 @
% z5 w/ J* K2 ]6 I' z, j6 N 后话 . B, c+ b% A7 u1 p
4 f V# L0 O. \8 S! `
% D# q0 M$ W- R$ A! C+ R' D 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 2 F t6 G- p o/ ?; y' o5 G
~$ _* M, R* _& E
/ U7 Q3 J: B/ ~& U! _$ U1 O 5 r. p) S: K! A1 f- r: P. U+ D
( l0 j9 O# p7 t- C 9 A4 |! A6 u$ d8 g6 }# A
/ ?, m! I5 B- }9 W6 X$ w3 g% i , J' w- @- p% ]6 i p+ P6 K
0 x! f) y; q+ @( f! I 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 8 D* P& `( s; L' |0 d0 Z. O
, P0 A- J% u$ G6 v I ]
5 w! u9 G, G% H* b- n2 L2 C2 e 6 s/ W' J6 R2 [+ e/ H
2 @7 p% I) {3 ?8 W) }' w k7 Y