记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

* y% x* [3 k; n) f4 p e9 f) c: a% f& G 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 . v; p1 P" H. L5 r, b& g# C

, d4 S3 C- Q4 g& [$ w O" v 众亦信安，中意你啊！
. b; l" W* q& Z0 a* n
4 e4 w1 _5 J. i0 [' c" vingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> * u8 J. e: n) u& Q; s( v/ o

- @- c* x5 Y. Z: U ingFang SC,serif;"> 3 u; s6 l3 e3 R/ A* |

8 w H* n: A8 `! i
$ A D, g* \" z 众亦信安 ' H* N$ d' c5 t+ Y! R- D. k
0 ~' S' d: z+ N$ ?: n/ R
9 [0 `& W w( e9 y8 f 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 3 {& j; s1 N' n7 q0 N+ N' y
& l) [8 d: K! @2 P4 }. n( j- P" y
( Y* L, L$ m) V6 J2 N. r6 E ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> % J @8 Q7 b* O$ g1 t8 e5 n0 C$ I
$ u3 k, [, w$ K2 V4 L/ ?
( B. v, t# q( X6 l 公众号ingFang SC,serif;"> 7 k0 V% p$ B) W; s. P
0 m* W3 q3 W/ `
2 }. D; Z# Z, D0 E& `
$ ?/ F; F6 r) G- P$ ~3 u
+ W+ O! s0 w% M' U6 V! g' M' |
1 z( d' u9 Z# W3 C2 H' x4 u: x) u5 B
点不了吃亏，点不了上当，设置星标，方能无恙！ # A1 u; ?* ?* n2 a
# N+ H# Q& V q5 |. D) b ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> " M0 @1 F/ J2 A* ~# ]; n( z2 m
$ b9 K0 u/ \0 r( v6 d L- I
1 `; d0 k4 I! m, x" ?/ h 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 $ b ~5 a' B# B3 l' Y4 u
f- J# e; l% k5 D r9 |
6 L J- c* y1 V : ? x. [! U8 q. J
$ h! p: F' t2 n: h
- n; P4 Y) Q5 ^. t % p6 ?+ ^; E. h+ y1 d
1 q5 e6 h. Q8 j9 T 无线or有线3 T$ y6 ~( j, z. ?. [% H" Z
9 r6 E1 ^' H! O) x" @# _ * W. v+ l) ]; Q/ r
8 {; z& S6 P* i& J, R 4 f9 [" W/ W" u2 m: Q% F
+ A( o' K; _5 Y- V 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 0 n: |& d, z- i, G- E! T& Y
' @9 [& c! ^7 D/ |1 U6 `9 o. B
. B; R7 q/ r I8 ` 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 5 L0 u6 B( e2 N7 r, g' a/ A9 c; v! e2 u
( [% Y$ Y; `9 a3 H
* G9 l; G4 S& [# L/ Q, R ( y" ^1 \1 W7 v
1 X" f1 [+ k# `) c. {
/ s) y& o3 u9 |8 R& x0 | ; I `% Y5 b d
, g( q6 d$ |' g( b
9 f- b2 W( k1 o 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 # [" J1 ]- g. s5 D# Y. H; T
' N* {0 y' x! r
; a: G2 m4 C, \. ] Z 0 ^* u0 U% \3 c: k
" u3 Y2 k( v# v( ^$ X( m& H; n% o
' v8 ]8 u1 c* m" z- b 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） , e+ t0 V; o% f. J
# c' ?6 q" _2 B0 j" Z4 `6 b
* I$ _5 O& I' Z" Y 3 c9 V* o# Q/ V5 C
# v1 ?! _5 H6 x' U V
! J& \) h8 s: a5 m$ X& E 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 " C( U$ \5 R; A, _
& U$ S, q! h# ~( \! O2 h4 S
0 x: @* m& }3 K" o 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 2 B o# @3 [0 r: W
) U4 q% \7 B/ U) A/ l6 P
2 s. `9 _+ S& D 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ' r! W$ {/ Y" \+ R9 |
0 w/ |1 ]4 F& b( |
' r, D! I/ S3 B+ T 2 G' ^. z; ]7 n, b& ]
. X% D) d7 |; k& n% d2 {3 N$ B$ m 内网渗透 0 [7 _- R9 t0 J& i
9 G2 m$ w+ T+ w7 V7 } / l; m6 E1 I4 S8 K' |" ], B. ^6 Y
4 h6 Q0 Q: `5 u5 U1 { ' z# t# z9 L# V( O! _. \) ~
) w5 O& K- S, q( _ win下搭建cs和linux类似。 5 P' h2 q4 [ C! ?
2 B) p7 d# W- y: U, t
: n* e$ S) X. {6 Z$ J5 j0 |; X
teamserver.bat + ip + 密码
, Q7 Y9 D$ ?' |3 j# ]
1 I: \; I/ ~ w% G! z
1 k8 O! }4 B/ b% ? # ^& j/ f9 ~2 R
4 {0 }) I3 b6 p
5 b& d: P; h, F8 a: d fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ; G5 ^' H7 F/ y) L6 Q9 e
* d1 @+ A* e7 ?8 e5 z0 Z
b0 g5 W) O8 v% \1 |" h " N6 g0 f. P6 z& A/ b. t4 n
+ N0 M2 a5 C' Y5 U5 _0 ?8 `
% X( n4 }) u) U9 }" O 7 e# H( _4 E! |. H% k- v
+ }1 q1 Q( P7 h( e- h+ Q- j
9 z: E! f* W( M( J 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
4 v* |$ b" ]/ ^$ V; y. c5 @8 p
/ e; X, i/ c$ t0 h" V0 u8 J H3 f' d/ d( |5 H; f
$ r) ^& ] r, y; y' l3 X
1 A7 X, }4 r M% C- @, H - P; N1 v8 x* {1 j
+ W! a! X7 b% C& b
1 D2 K* ]9 d0 X# K fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 - D2 K. S5 `1 Q
% \- l/ K% r8 x* ]3 W% F1 x
7 l. w( n; h7 { PACS系统 $ j0 ^ N: v; l! F! v
; a$ S) g5 @$ z0 U- m: H: t+ M
( _* a! S* w2 M- U $ e# h( `( e8 ^. p& A
- j3 _* N$ Y( p; S4 e
) d9 p' v! _4 ]4 w
0 C5 v: W8 w. ^5 W( x% Z- j: v8 v
/ ]3 I# y" Q/ G1 U0 B0 @# m. m ; f) K/ E. x( |% k" {
& Y0 F2 U3 j6 \; x D0 Z! g
7 e+ ~# O* O5 B( H; W1 e2 K HIS系统 M3 |2 J8 c0 h! q( F) c
3 p* ~+ b3 N# a& G. G
* D; u5 q$ Y+ c8 U1 \( b/ { : v- |) A) _% J% w9 G
" ]; v3 l5 m# s+ Z& S* A
5 ]! P# u" y1 [) ?7 J 0 C) ]$ V# G, O9 B# l. A
& D, D z5 l7 c6 K
( r7 g7 Z$ B; e% ^' O " ^7 q( C/ `. h4 G. v6 V; w
' z% S, P% g' T z
m4 K4 E1 U4 \, b' u4 j+ M 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 1 }, ?, z N4 s G) l
8 N: } b5 o/ I/ i }/ u
" K" W+ L; b& l: P4 F- C* S
: S" k8 |: Y$ @; Y1 w/ ^1 t
. \( P6 p- z2 A" M/ d7 j. \' f - ?2 q* k3 q9 j' f& a- f4 g+ X- I
. f+ y+ X* q5 B5 h- ]7 a
# X g6 C% y7 G0 U8 C3 r8 V1 [ 后话 ( ?/ g3 a) d. h5 m7 o; n" X: }
4 H4 _* g/ o. C) y- Y' v
7 g1 m' l: m* d2 }; m. H 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 $ o6 R A. f# T" a
' `5 T2 J* R/ K
- j. B, ~. T' p+ c1 y, M, U5 j4 y . h+ N9 L( ~8 E& A$ ^0 J q
- p$ K! ^+ c6 u) `3 W& d i& T' n$ D5 i - i7 p# X6 Q$ Q3 D3 v( ?
6 T, H: O5 [# h / |0 r& q7 | V. p! v
! k9 d& A6 b: Y$ ~0 W 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 1 N( J# f: R8 g* z7 C- y% G
; X; L$ R/ j( n+ ~% y+ u3 n
$ Z) q( D: Q# i, _ 5 |% d9 O6 I( }% s
e. v, F% u& C: R0 O