找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 记一次某医院渗透(近源)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2356|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

, ]2 P% M/ F- n) L 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 ! _2 R G6 N7 I8 U

. g E# ]& A9 x ~+ L5 m

" u! f' a; C" q: K+ `- l5 g 众亦信安,中意你啊!
+ Z* Y" R; \4 a8 F' k4 d4 x. G0 y
) C6 h# c* V- p& r5 uingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 5 G {& P- z6 `6 l5 i7 M, Y H

8 U6 j2 o |! ]/ p/ P& ~. D

2 u+ H) F5 {0 Q" L ingFang SC,serif;"> * S3 d! r, f+ {8 A4 `" g

5 N1 ]: `5 C) r8 w" z s7 A
% o3 Y0 g5 w# `6 k+ \& H' r; |2 \

: H+ i3 \. g% L8 `) P( E 众亦信安 7 w" c1 U8 ], A5 J

% M, v7 R3 _4 a( L- K* e5 T$ q

+ L# W6 U% E* g* G 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ! a' z; W. t) J1 N

5 ?/ |7 o g$ g4 P

; V) M. a% @! g" a ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> : G- j0 V% r X- d' Q! x" o

6 u) x, Q9 R+ G3 \1 h+ b; L, d, t

; d0 o- }5 B7 K3 J; f9 V, o 公众号ingFang SC,serif;"> # z% ~, i3 P1 D3 T+ z7 M3 y

$ l9 W; B0 W) b

5 v( k) _" x/ J
% J. j" H9 c5 z; Q8 m+ c1 o
$ O5 U+ {+ Q# ^& @* o ; a6 K$ M, w! L8 `( N: I( x4 Q# U/ J

9 J' W+ A8 e1 W( y4 z+ @ u' [
点不了吃亏,点不了上当,设置星标,方能无恙! ) g, S3 z: {# U

3 p9 _, g4 n7 F0 V2 X% L* ` ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  ! U/ i' F8 _1 l# g

4 {* n5 W D. @! q6 y2 b( I5 X

1 R3 T& l0 \5 Y! |( g t; K" N 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 % V7 ]- E0 {) t( T8 _

. `! H7 d2 O( l; Q8 D

% T; T1 S& H o$ r6 D   8 l* [, D; z2 Y2 W3 _

) ~% D- C0 R& p W; q* k
) ~& C1 _2 p% W! I- d * e" ]" m1 I- z3 F9 y. n

7 a P* B) U* [5 `+ | 无线or有线 * z* C2 `' f$ x1 M: P! L' X% z8 S+ p

* O3 F* [& x B : ^ U. A7 R; I; c, Q- g
) }8 o) _- y; V4 E " [( Z$ z& Q6 f* }

* ~) z; t O; |: i 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ( {, F" y" z' k) l) o, @

, M. {3 ] ~! r; Z, n

2 |9 g) m6 x9 e `1 a 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 + X4 r0 O: M/ s! E

7 H( ]% B; v: u4 `

4 a: X. [1 @* K% T- z vshapes= # S; e. |1 c' r- S

8 H# B: b8 H( v9 h

M2 g7 Q8 m2 y8 J" @+ ^ vshapes= 5 b; _! G7 N3 @& s9 _6 {

' J3 [2 @% D7 j- G

7 J. v1 ?9 s& x. Q. O 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 9 z! r o" ^) W7 m4 E y' E) s

- ?6 h/ N; u4 \+ q b

$ N* B; o* i: \6 z3 v: W! x vshapes= 3 K+ }+ ~ v3 l9 A9 w

+ f9 b q! L! `" B2 [; b N

% p5 c, k: y8 z3 F$ n 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 & r2 p' h& y/ b8 a c( `' i; M% [

- e$ |* H @; B2 @

. U5 l( T n6 n, B" N vshapes= 7 b5 U+ _# ^9 ]! g/ [7 U

, Z! m6 A T" T* s. E# Y) i. l

, Z9 A1 W, |' U$ ~ 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 \' Y6 k1 Z+ o' E/ F9 g

+ `. W' V5 r' o) v6 Z

/ x. |2 F2 E5 V h/ H. E 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 9 ]8 |: s a; O7 l) W

7 X1 ?! [& c1 \0 ^; `

2 y% S) O: }& T% G/ N G6 }( K 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) # X+ Z$ F" W' d6 l! c0 E: b

( A; L% w1 b0 n: U0 ~3 z
+ F2 X' ~( l0 j; J ( F+ n) _1 l4 R# W" v

9 Y3 w( _( m/ g- J3 i$ p8 d 内网渗透 8 O7 ~1 Z; w, s- a: c3 l6 z

3 P+ Q" k& k) X7 z- D; k5 P 9 b$ H. t+ L1 G ?
1 X9 E+ l t: g& S7 x& b 1 Q: n( e- N% I. A

# n6 G# f6 A9 I8 E4 V; w5 g! o win下搭建cslinux类似。 . c9 Y" @5 ~4 f8 V* X& B# d

H; A) u) B! o3 j
- N4 y# J3 ~7 F) J' M
teamserver.bat + ip + 密码
|: C l5 E5 p; L5 v
/ `1 ~* O. ^. V' T' A8 }( _

* f% b4 f r; I/ b vshapes= 1 Q# t; M1 [- r# ]8 m1 M

+ J; H, F9 E: z9 x3 s

- S0 H& z8 v: C4 i1 Z1 R5 Q# q fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) , F% H( v" ^# l& J- r% g/ C5 G2 u

: D6 B. ]$ s+ H7 f

' S' \9 x5 p: J( m& O5 }% R vshapes= ) }0 C5 w9 o' P( p! W

7 [- g) p2 j0 x4 ]1 P7 _$ N# I( p

6 A" A$ f( I$ c. P$ H vshapes= ! Z9 L# Y6 L9 _/ T& o) [" ~

" F4 Y1 @ C- ?

4 g+ C: F/ K, j" [. y 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
9 s" Q! p, s2 a/ Y6 A0 g9 K
7 r! D/ D8 m1 y6 B E q0 { : C9 U) w5 O+ f p) k" y: }

, W( U* o. y; V4 U0 P7 P9 `

/ l. o) e: A M" h vshapes= * m/ Z5 U ]- _

6 \' Y9 f4 Z' T# k

+ W5 q! G# s2 L% Z, {5 X fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 + u) @1 V6 U5 f+ @

8 H) P) g8 O ~ X

; \0 M& |/ O% n) t4 [% p5 I4 J& X PACS系统 , E. \6 Z, i$ X

2 y$ Y) u5 Z: ^8 o% K* O# |* j

2 U t h8 O. e8 F8 m vshapes= 5 |5 r2 s. d, R) t5 V" v4 i9 y1 v

, D$ e/ B' e: h$ @

0 I" F7 s% Q3 I5 @ vshapes=
* g( o- c# L9 c( w
) ~" v3 d1 A' J0 M: N! D4 R% s * i- H, ?% ]4 G

3 S9 g4 A) _% {) R x& l

5 W8 m- {3 A# U/ m HIS系统 # R. w `5 _! l' ?/ h+ N

# ^/ Y+ x2 V) J( `

3 }( N, H" c5 s4 s8 Q5 x- b) h( \4 n vshapes= : N( v+ y+ z9 p9 m

: ]1 y! Q, m1 ?6 M

2 b& w, g! X8 A3 `, ]   & f6 K6 n7 ~ w) o+ i1 v; u

( L) s' y9 Q0 e4 {4 f

. u6 U/ |8 i5 W. M F! } vshapes= 8 y7 A5 a1 x3 P0 z% ~

$ I' X4 Q" n$ b+ n- L' g$ W

' E: j! g9 j* }8 J9 O 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 * K c" n( ]7 `0 ~

5 L# g. E! [( _- D& ?# Q* v

& O8 [0 [5 q3 M
: G, e5 u- E) ^, G/ u& I+ q
- k0 i) x" \# I8 I 4 S% P" V& z" _8 @

! t$ w7 h- [/ R. h; a2 f- M

0 ~ W2 H) b+ B' f9 p% d 后话 2 i4 w. P3 N1 s

# l' j) }8 E- X5 H4 n

z$ x$ X% S$ [$ u4 ?/ k 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 7 I3 X% b2 L' n& x, ]

: D9 B/ g* f4 i# e5 |6 I/ L8 } I
0 G6 F8 v' _! M7 i ! [0 U( R- ]5 j& w/ Q! n$ l
, j8 Q+ u/ i& ~ 4 Y' `6 A" O3 f8 ~
" B/ n$ v$ M8 s" _/ Q& H : P) v5 v0 y$ c' T

; r9 U4 G' \" ` L+ M* t% k 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 ' i7 p! Y2 H5 ^2 x0 u, S

1 ~" x! d8 n8 N7 | q, V' {

: T; {5 @! j; r; l% m   6 k* Q8 G0 K. c

1 s% f& `! k3 @& G
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表