记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

0 G6 q. W5 X4 _7 X! L$ j+ f; { 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 7 p3 H# P. A( j2 o. s$ T

+ l! O5 d1 x8 P+ ~ 众亦信安，中意你啊！
% b6 M/ p0 B0 Q# l: c @' I
3 o( g3 S; c3 Y+ c5 g ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> - @8 v8 c7 ?! Q/ x. x+ k; \" X" `

) u O: S, E `$ R7 t, m9 o ingFang SC,serif;">, d% v! k# w; x2 g

/ W+ V- ]+ U! C
# @! A; c' W. u j( K! l 众亦信安 3 l+ q% J7 x4 ?5 L
0 I# `+ I9 V4 x/ v2 ]; Q
2 g, T$ l8 z+ v# j3 X 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ( k: Z8 o% ~3 \) o, r
0 M" V+ Q7 N% h
( D" H; {1 F# U1 `. [ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ' D' P( W5 ^* A. A& \2 P
5 ^. n1 L) j% d6 f& z v
( u5 Z% l, x& ]0 z# u3 f+ x1 w$ X 公众号ingFang SC,serif;"> # y( V) [2 ^: m. ]: F
- B/ S# E4 N; P) k) l; k
, U3 m- G$ h! j
+ c) [. e7 w# m& T. s0 O% S
$ R- ^7 U0 |: N% v$ O / D1 O7 B2 e8 n, j0 M. o& P
6 g, c$ w1 n, B$ r4 f n8 W
点不了吃亏，点不了上当，设置星标，方能无恙！ ' z' |- |6 t8 `0 @- K, S) T5 f
7 ~; y4 `- R9 g, [3 v4 z ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 5 ?+ ^4 a, w! r X
: n- X i% M2 R$ h f2 d( |/ n O
1 [6 L5 a: w7 j' m7 Y2 m! C! W 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 % ]4 `: t* M9 B; I1 d4 r
# l+ R: T5 c2 ~( G- i7 t& X
& E3 ?0 x" f/ a $ w8 [$ M' ~: t w) e, u: ]
' B3 W( F' ?5 c* g6 R3 a9 \
, V! X3 ^; Z; R0 F" X7 P ' J3 K$ n4 {$ O: w; P3 }: K
1 [2 |# ~. M+ ?: {& o; Z" {6 [6 v# I 无线or有线 7 ?2 S: {6 q5 k/ P9 U
: B6 K, P9 z |/ C& s' T 0 A4 C o- g# f" C6 \$ ] T( `8 ~" Y
w! p' |$ W2 l" V! A8 I+ ] . u5 D( t0 u* _1 h/ L% G
& {/ ?4 F* a ?) z7 Z! C2 L2 | 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 / z3 x% F! E- O- h: }" Y( j& E+ ^( l
) R8 H1 s& `/ o) U5 Y
4 S1 p# M' p8 p2 y* U" P 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 " B* s! w7 O' F
; L, m1 S/ W* L0 g3 X6 _
$ F0 o- c! G( H& m0 k 4 ^* p9 [4 g' G& {7 ?+ W1 E" `
- f% s0 x; ~' A9 ]2 m* H u
: a. s0 Z9 }5 v# U# o* A $ |: z X- M( I# _" B* n" \
# \8 V( w2 i# P/ p/ Q! l: M
5 y$ }5 F1 k/ u, N8 E( q 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 9 u, l9 T. ]# l! T
9 n0 O9 w2 J1 t, ^1 w
8 H L: F& m! N, {+ V8 L ! t$ g/ }8 |: W8 w7 w
5 `6 g0 x" x* G# s* l" O( A* y
$ @& w2 \9 Q' [3 V; q9 w& s 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） & V1 V( Q I; T2 T2 ~8 u9 }
* Y9 l1 z0 ~$ M3 c
! }3 g! J8 d' J- J2 J& L ; n- e' K5 H. G
$ |( O/ h0 u8 c& S
& w$ E1 f* v; z7 m: w- h* @3 H 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 3 Z3 ]& u4 ~$ [9 U$ m
$ g; | `) r" _# L8 s" _5 z4 U4 O. X
3 K* F0 @6 X5 s9 T! r- i 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ( J1 Y$ h" p* c0 `
5 n" W( R% Y/ o; V/ O
! {4 d; R3 y& ~/ f 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 & u5 {/ m) @# G2 a" F4 p& i4 t0 b# R
8 [" v% e; I+ \7 H+ h
0 p& \4 z: E Z0 | # B. ]( Y8 o0 T$ g$ T& C6 J
$ J) K$ M) q6 F3 X 内网渗透 % P. j: P4 j! A: n+ P
/ p: h% j3 W- b+ v8 ~3 ` / }1 W& l! @5 [3 L4 E- ^
* |' @8 r/ R. ~1 V* t9 @ 2 J- [! y! w* [( k. c9 f
# q, x+ {3 u4 b$ _ win下搭建cs和linux类似。 ' B2 o# n+ T7 ?& ^. b Y/ g
/ m* b0 I: Q4 s
, S5 a- S1 \& g. `$ f
teamserver.bat + ip + 密码
9 ~ I% o, Z3 ^) \. b
! U- w' j: D5 [, R( I2 Y
; e# e# `+ d2 y) k) \ # Q8 T# g* u. g, o3 j5 T8 y0 u
* M6 S |/ w$ J4 R
4 ?3 T. n* M2 `: `4 O7 Y fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ; t# B5 A: K% A7 }+ O% b
" X" ^0 i: ^% j; b
& b/ z/ u7 i! r* V - I. b( D7 O; |( \
0 z( ?9 }5 u% Q, z4 D& b
4 Z) S- ]! B* W; [ 5 D, a7 A( ?. H8 p1 L" Q) Z
1 W' Y$ v$ _) Q' ~ u
# K) H: H' V( x$ d- H+ R 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
' \1 p# i, Z0 W0 r6 }4 P3 Z
5 H6 ~4 O2 ?5 x N# v) `) W+ W3 h' c2 S* O
8 D5 I* D, K) G% P i4 ~
5 |' ~9 v3 f$ X Q! M1 C; e- Z + k0 w, G, Z2 c! @% E) k
Y" G6 O' p4 S. J: P( b
3 a+ r& }- _" P9 J4 f fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 n7 u: o, |' o3 _2 ^
& R! M ], Z$ N; o% V
% h7 M/ x; i. b7 d$ P, W: B PACS系统 $ A- N) z1 v2 K5 E9 k. k
( D4 ^1 X6 u* t! N4 T. H! g
! s0 E( r! V3 z3 v4 c " Q7 _, ?& _% h6 `+ v2 ?0 r; H
5 _# R8 }1 u k4 ~$ p3 X8 W2 s0 M
B5 i/ G1 p& O( j8 s
4 v$ y+ J/ \& ]2 z8 J* z
1 I4 G1 {! t5 I. `. N z ! n* o# I) R) Z' O- Y) D
: J' Z6 b. `' _" U. a4 ~* ^- k
4 s5 n1 ]/ S0 r5 d( V HIS系统 , e( S( |3 b" {
8 g: ]+ ~- i$ c; v
% D. ]6 f( N) b' [- ?/ g: D . p; L: t8 T _3 R+ R9 L4 ~; [
* @. t9 y7 U: f$ m1 Z
2 q4 |8 d+ z2 G7 v- s: y4 p 4 s$ i Q) m: ^+ Y; X1 w! s
( `) ?- @6 x2 `- I+ G2 p0 x/ p7 U
' H: i; A7 y7 _$ S % d9 j! A: T! X7 u7 g# l
+ a, s, |/ I9 G, a
1 j7 I( g% I' _ 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ( T+ J0 [9 ?8 S% ^ D8 _# F5 P
7 n; s% q3 f0 t
) s$ h$ _+ l0 a1 @1 _( P9 n9 X
* F3 X% r+ ?: Z7 w
c2 t) S0 ]# h" _/ O. L # m. t0 p g, u- o
" i8 i1 d6 m7 F3 |
5 a$ E( ~, o+ G# \* W- d, W0 g9 j2 Z) s 后话 0 W4 Y( C# j6 u0 m
4 p ]# |; c! e& @. Z+ L
. [: t: {* h* V* F2 i 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 4 k- X7 h( Y! u7 T% h8 R
- O6 n* Y0 M' J9 d7 y- V
j6 I! S C7 v) G* p9 I$ m % n% V8 `$ e# u T' N2 Q$ X! K+ _
+ q+ B) F% t, R! _0 C 8 z1 D' z2 o7 Q0 Q: l
4 Q& B+ ?2 \! S2 a9 Z. R. N ; v5 w1 U6 ?0 j6 x7 f6 _7 H5 Y
- W/ e" f2 K% e6 Q6 u4 w 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 5 { U9 L5 H+ S8 d
) h% E% E* a7 h Q6 {: q
. @. W4 v7 x: w+ U0 q& l % C1 B3 l+ h! }
* e4 p+ D2 S6 m$ u