记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

: t3 H! `* n0 K) ~& N" u 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 2 U2 f8 r- g% @5 F

2 W7 W& A/ n# D' x' q 众亦信安，中意你啊！
0 V1 ?) u( B u& r/ @
* D% Q6 w ^1 C q7 \/ y ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 1 G d8 V) ]2 x9 @ D. l

' d3 Z2 T& O* Z ingFang SC,serif;"> , `9 Y5 X" m+ k# A6 ~' t

7 o6 F- d. \4 S
/ D8 z1 f5 y3 \# N+ N1 } 众亦信安 : n# v7 N$ M/ s0 i5 E
. J1 P- s( E j* e+ h; ~/ I
2 h# m) V; \ @; A 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ) ~; k4 M" r" @ i7 v2 Y
e& _; Q7 }2 j/ P9 _" `
( @! F/ j- `. D3 m" y, e ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 4 J+ z5 t' J$ ^" u u
. [4 q4 V1 f; ]# X6 K* ]4 P
( [* [: F( B3 N; x: F1 h% D! J T 公众号ingFang SC,serif;"> 0 J5 ^' a y- H8 y3 D/ j9 I8 @
* U/ I4 q! M& b
; J" A4 g) {7 t
% F* ^ [1 F1 d7 {
: q7 m/ @( H/ H0 O( O$ r2 C- b- Q$ }1 \7 ]* {- y
; w+ Y5 |5 ^1 J' A
点不了吃亏，点不了上当，设置星标，方能无恙！ # L! Q* a. K0 s/ n6 V5 S
6 g E& w# k. J" m) p, ], k ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> & D; B, T1 W+ {0 r# P# @
/ f* ^5 ^% L, A p* W
) [) d3 S/ \+ k+ m5 u7 _ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ( @5 W3 b0 a. J5 ]" D4 g& @9 L
( s- H! c5 A" Z* _
v3 _ T* \; b! R! {! u . c \0 ~! a9 u) z2 ~7 T) J
) k9 g7 L6 w+ F8 m6 J: N
4 Y! b/ h# J, T; B1 F9 n / L1 V6 W. T7 _9 W
w( l$ F/ E/ {8 |0 I 无线or有线 ! W- W$ F w$ [3 j- o' i! [
6 b5 q4 B' m7 T/ M7 \1 O 4 I5 {) u4 Y D$ k& I+ z6 O) p
# Y: f2 D$ v# r( E$ Z& x: |: r# K. l + ?& \5 q+ [ G1 Z; c
1 p# H3 f( t5 j& W9 \, d 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 . s3 q3 J: t2 L" r
( f9 \) f2 f7 y; c9 y
1 b: k5 ?2 g8 c8 f* {3 ~- x: j 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 j# U* p9 b" z. [1 M
* i0 _" o6 v9 ~5 L v) E
$ N0 z7 D5 U7 F- n& r 4 }1 a6 E' A% [, }$ S2 v
3 B) G1 c6 ] | I
) [5 F/ y3 a: w8 y& }; c! }6 k 1 b' b5 q! g/ _0 m" X. E1 I& I4 m
7 ~ v& [5 ?) X
9 e3 f6 q* n( B 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 - {% x; X0 P% m* f
0 d# r, L( \% U* p: h
9 |4 |: _0 t& v% i" | " ], j- v& F& x/ d" I( u
! Z; n( v# }0 `0 {
9 j! E8 F @9 B1 u* Z 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） # N/ S; s4 P; q9 r& c N9 W) I
; G$ r* \- s2 a) t- I
- l! }6 |7 b: O1 j. l ! t- A, w; @4 q5 U8 N% `
; o" E) \, ^+ J/ M5 U
# J& K4 l' v9 a8 z3 I- E 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 + j) i' M: G c8 `6 ~
# O; ^! L& ~$ x( N8 c, [# d' g
9 D9 Q$ n& ]- v( O 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 5 q4 |3 Z, L5 o" u
9 w6 L# f4 {! E0 k4 w6 p+ `; U
{% k$ v2 E# V- O: W+ ~' k3 C 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 . M- S5 I2 p0 z v6 J6 O+ [
8 a; P! z5 \9 B: q' D# t
+ p( q# d# U& l L! \7 G, A ) k" x+ ^) k) Q
/ n. L6 d. t- [' ]0 Y) [8 }$ h 内网渗透# }2 H0 P& h: v2 H
V# |) ?- ]: `8 i4 \! q/ u1 B6 O % F$ W6 P4 p! k$ a4 X" ~& q
1 Z0 M4 u4 s0 ]8 ^" n' D 4 k& w' l) z$ _" }0 a; G R( \8 {
% u2 @% E, L6 o win下搭建cs和linux类似。 # ]% t0 h" v1 K9 [1 g
! C, g% T# t, F% a( o: V7 B. v
7 z; c' Q3 N% y# M; R
teamserver.bat + ip + 密码
4 m2 ~9 y0 }: \3 v8 A: i3 [& K/ _
7 G7 x+ H$ D* Y1 u4 Z/ w3 ?
9 L6 c6 Y% b1 u. T7 Y, A 9 @, X c7 t3 C8 }' D
8 ^6 h) f. @" B( Q+ a) ]
}2 d3 U: m e+ ~! W( E fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 4 W, p, e+ J$ R5 h% F( I9 T
. p7 ]5 |- c8 D2 z) h6 c; [
( |# @3 l; k& \) f) o/ u, v, ~ $ p. [/ q8 I" V! h9 U1 |
' N' {" v- o) K/ E" m& ~
9 S1 E: t+ _ g" |: x ) X" X8 S5 J- K$ y% M; I/ G; t
; `/ }) P9 O- A: X% b' D
+ f: ~$ p" w" b- x% Z 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
5 _/ z9 D; V% V+ M- F1 j
) k9 r0 o w! k2 g1 p2 `5 |2 E9 y4 O3 K
0 P7 P5 t b0 T5 C2 Z1 `
4 P* _1 s9 ]0 W: S7 d% I " a* {/ Q4 ?6 ~! J
2 y1 ]( e8 ?; \ U
- E3 l# C' S" p) f3 l fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 1 _5 ^1 b* ^& g4 E! R
; F/ A0 E& F! q$ L4 f* A
" V9 t5 G. M8 o: \! w8 Q* @3 @9 e" y PACS系统 / A* r! X4 K* J# |2 m
: {; ?& I! R9 a$ g- g
) n) D6 R* H# f0 V + n4 [ X8 z9 i# _0 A
' [0 e) g; j+ a3 ]
0 M% x- S- J: A. i8 Q
9 ?2 |# l6 c8 W3 H
- ~" C# m; F6 O0 [) V5 O 4 t8 p4 d; s2 t' ~% t! `+ w
" b2 S( E% j/ C! E9 ^! A: S' f
- P0 ^$ u: x8 X1 Y5 Q6 H9 x HIS系统 * n" `5 S: Q& y/ y: {9 N8 I2 c/ W
1 F: E: q: V8 ~# w# t) v3 F2 W4 Y
$ N$ I( l% B7 \/ R5 X/ B" g 3 \- f: f. ^* p+ ]
7 V' i9 z! S+ o
, g, N3 k! d( F2 g6 o& n8 [ + W) G! S: B! z: o' x8 ?5 k
& B2 m7 J* B8 j
0 u8 h: R5 J( d) r 0 _$ c8 ^# d H; C" O/ A: H
/ w: \6 U" l$ S6 J1 n i
% c* ]. o% o# ?3 S) H 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 $ X) Y7 d, m' a7 g" ~; v" Z
2 d; e/ G6 w3 \* I0 g
2 X$ y" U! T# D3 g/ O, @+ f
. M% R, `- \% H! q4 l+ d6 u1 n+ {
5 e+ |+ j2 v- r, U 9 L6 u4 f Z2 J
+ g0 O4 U! P) h8 W& R1 u
; k( C! j: K& O# b: t 后话 ! a" x7 G! I7 v! ]: u( g0 j
( L+ C1 x, D* j. W4 v; T' x" l
* r5 S$ h8 {7 {5 }, s4 Z3 G 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 7 q" K$ ?2 }. [$ y* H$ @8 i
3 y' q# R7 b$ F0 H# V6 Q/ o9 a
- E5 z; s' H/ J4 R( Y : k' z: E6 [3 P
( ~" [6 F" \( }! J' Z, R: K+ ^ . }4 t. A9 y" o. h$ t* B$ F X- G, S
) v) |; [: B0 _ ; l* a; o' w1 r6 Y U
. p- o. L. j+ A9 Y9 W) {0 }4 B 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 g& n) S4 U/ ]4 f
; }! q# _& \! d6 S' J W2 N7 H
& _& m- |6 `" G. m1 U $ B+ v$ l: F M3 S8 O% e7 F
* E3 I# L% q$ K) |# b- E9 J* O