找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2357|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

" u5 v% u+ k e 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 9 p4 c/ ^2 c% R2 }5 j

1 i( v' Y4 ?# T6 @- ~

6 e6 |, s: K7 T2 j- [3 h5 J. f 众亦信安,中意你啊!
8 W: a1 p, Y3 \3 }+ @
8 ~$ m$ x& |/ f8 y& qingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
6 i, Z E" K0 m0 T L4 M

4 x5 R* \6 d/ r, m/ g

9 O- a, x+ w$ A+ V ingFang SC,serif;">8 `* ~1 s8 r& D' W1 n, E

0 o+ {) F" j: ?- L
2 O( Q+ k. M% p

7 X/ Y( x' W7 y3 d8 M' }6 R 众亦信安 : w9 {$ a1 \0 e+ [: T

2 x* q9 G* e8 S( A7 f2 X' e" n

6 m% Y% _0 A/ G! \3 T W1 E; C 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ^: z2 P! b3 c. X1 }- u9 ^* X

+ p, W3 f5 h& Y% F( C& ^2 t3 e

0 T4 o* n1 Y) H0 ]$ ? ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 8 F6 B& H3 Q# `" Q" l: M

8 p# k' t3 W( y$ H

6 M$ t/ A* k% y. ~( P5 B/ g 公众号ingFang SC,serif;"> 4 f: Q. I8 K C5 s* \; _

# d" [, B; X; o2 J+ }! U

" P( h" p$ \* x
# N; r* d& _9 L+ O4 z! X+ ]- |* ]3 _
( a% ]7 E; b! N" M+ `. M! }, n
5 z/ w$ G7 d) j0 J4 k1 o) a

" Y* g& d$ M/ c+ T+ q& V
点不了吃亏,点不了上当,设置星标,方能无恙! : |0 Z( c- `, H; i

- B/ z1 n" e7 G/ G+ f; d ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  ! m% `: Z. A( [" b) C" W

- M! \! }2 ~( \% C

1 i# v6 [; S; w( x8 ]+ E 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 0 c% P; u& x8 G) F

5 y9 Z3 `8 {. e1 c/ U, G

# u( u! C* l8 {+ M e u- j   ; A% u$ |( v. F

- b& l* {7 @0 H/ B S
! d2 b. T5 S+ |; U. c1 D ' a/ c1 E S" F8 p, r

0 [& M$ ~. ^+ ^! [3 N9 v 无线or有线5 G- S L+ a, X0 l- A

& w& \. ^) u4 y" t3 K" e. J
+ w% a, M O. `7 n; F7 o) T0 [
4 {7 @, v f' T, U5 [6 \ 0 c0 n) x$ U$ ^2 |0 m8 `. u

5 D' [( T( z3 u! O% r. \ 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 3 F5 x2 D. t% W) ~" @7 K. b

' ]8 b0 A' ?0 o3 O$ q: ~- C

( {# C$ ^( M% Y; i; v 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 6 T8 b& q# D0 D3 {- w/ m

/ x5 ^7 z) n& q E9 r f

5 K+ s5 y/ T2 j" |' r9 ] vshapes= # ?% D( P$ T1 M3 g4 M: M3 g' ~

/ g+ `' |: j* D ]7 x# [

5 m4 M9 u; U1 a% @1 \# {0 D vshapes= 8 `( X; J i S+ _. l/ Q% U

+ r# V+ Q5 B5 ]7 }# m. }" v

* P0 f8 b- Y2 z" g5 ?7 {' u/ w: Y, [ 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 ) R' b1 ?$ i* d7 m C/ J; M

0 w9 x% |+ y z2 ^

7 |2 w1 ^, _ o# a vshapes= ) f' V5 K7 o8 b0 A* b

/ T6 `& l3 J4 p* g1 G2 P

' w( C6 v' _% P( F: [9 D7 }% r 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 1 w' R+ S9 Q: e

1 y' p1 S7 U4 ~( p: t1 \" Y- M7 ?

# H* A Y L/ C& E- u$ W' `: B5 d vshapes= # o" O. v7 M1 i# \( ?! B X

* a" X8 N+ e) }) E

6 t0 s0 }& G: i' k. b 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 0 p1 ]! H o& e Y; ~; Z! R

' k# d( ^1 Y7 h

+ s! s' E+ L5 E( R' Z( w 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 1 b8 P. r" A7 a& b' H: Q0 G

: D# k6 C1 w+ p4 Y

1 a( ?( ^( u1 S/ U* B3 q, q6 s 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) 6 q& x* W* [8 R4 R8 R

( ?7 I& n4 O/ E* J
6 U- y" q+ g% `2 ~/ h0 P/ @$ f9 ] * R2 ^& K1 j0 g, v4 i5 ?' r: e

3 O1 p* i+ u* [ 内网渗透- a; Q' l. y0 u

; m. a$ Y- v2 `, u: `
) m1 G# O% _, Y, u0 c0 E
8 \7 ?: b B' _8 w) L # G3 A# A* W* U$ @0 @2 f, g0 H

& B+ N. @2 b0 ~9 q win下搭建cslinux类似。 & D4 X$ ^# t1 {, M

7 C# a5 ]5 S- T3 e- Z, d
& q+ G. {* N. J1 u$ u% |2 x* B
teamserver.bat + ip + 密码
! H" E4 u H7 E( l) R7 p
8 E8 Z1 N. ?: K

9 ~- U* M4 F# B: f r1 w; ? vshapes= 2 E Z4 p5 B6 I1 k% H. n+ r

; L9 y1 j; t/ m3 l4 }5 j

9 d) I2 @% z$ k/ s1 x" L fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) # Q# G6 f5 w" q

; r7 F6 P: z; U2 S* y9 [

$ p7 H% c5 v7 k; s& ]9 c vshapes= ; l& |: A9 d8 {5 ^

4 R4 y! E$ a& c3 N. d

& _0 ]# p& y! A) \4 z/ `: D vshapes= % y: e9 a) ] b/ v" j

1 |1 X3 ]; i( I# U

5 Q W7 C* k5 [. p 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
4 s1 Q* @% ]8 j+ s
" D, z2 l* S# i, ?1 o3 r8 _/ f
: _; v# f/ f. y4 m$ I) _4 _: P

, V6 w2 N- o2 I! @( x3 D! O

# f: W$ _$ [. h( ~; E; j vshapes= 0 M" Q" p8 G* k& o* e9 N4 X, Z2 l' S

8 q1 w. @( Y5 c

) V- ?4 m# k m+ w fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 + J; B' k% `1 S6 R

5 k5 y% O. q- A0 M% M$ b( R

7 d6 X2 d% v. ^9 g/ e( ^2 ` PACS系统 * V; A! Z% p! @8 }: [

& r( v+ @% B) R9 L9 b

# X1 V1 H/ R2 J7 y vshapes= . @' g3 L& M, S

, |! ] V, j* h. I6 z7 B3 F" T9 C ?' }

/ {1 U+ W7 M2 q, g: c% z' a: S: z vshapes=
5 I6 Y2 O1 x& m
4 d, j8 j' _. u
6 L. {0 m: n3 D7 L

- [+ o9 @: q6 k4 h; c. ]

$ M+ R8 w5 n0 P* s HIS系统 - v- q0 d8 T, A# k. Q

! q6 h, G* h9 R4 e+ d& o+ h+ n

6 ?- X5 M" j5 r0 c" M vshapes= ' Z0 j" j" o- W+ Q& P! X

; K& Y( N" n$ u c

! E4 X/ }/ o1 W& r! s y   3 D! v" w2 ~" x4 ]

1 Z; J) [7 q; S$ p( z M- J5 ~

% O0 _0 c9 j+ j7 L$ J1 q- _) t vshapes= " h' _( n2 ~6 s5 s% m/ ]

0 ?# |2 v$ ~0 c0 ~0 \

8 [6 B& x4 r0 M Q1 a- v+ |7 {, ~ 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 ' @$ `# S9 L+ y+ x' t

4 d7 K# r* g+ x; y& h" L- E X

3 _4 A* R: H# Z9 Q# y
; _ T, v! ?* `' \
; ]0 K p3 J5 R5 G- K! s
- N7 I7 A2 H$ c

; o% B# F7 f8 k

1 O2 e a" a$ _* h: Z2 q9 O! a1 u, b1 L 后话 3 A1 J! h2 @( F7 B* R, V4 s

& }( y, D) d) J) ~6 D6 A

' d/ _# ]" g, {8 x S9 l 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 / z9 p+ w" n- }; p

$ h U' N* T; a7 [% N0 a& m
7 U( V. v4 ]& [ 3 n( O5 ?6 D9 r6 ^5 \3 B1 W8 c
/ S1 z3 [" `; S; F
6 Y: o( {5 Y B/ {: w
- t0 B6 A# T7 B* ~, J+ s2 m 6 l5 k3 U8 @" M

( x* k1 j+ c+ X- \0 W# ?1 {# ?9 O 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 8 ^; _; K+ `2 K4 T8 N/ U

2 N1 U5 @" R- a4 C, s) ~

: h" d: U7 o: Z/ g8 ], b   . v3 E3 r! |- b

# m/ K5 e) U7 N6 z! p3 X) N6 ]: {' S% p
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表