记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

+ o) |- `0 M6 T 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 / Y- ] L$ g+ Q

1 m% g9 ~! n9 T" ?9 S 众亦信安，中意你啊！
4 ?- b$ j% O( w4 b! {
6 `) K! d6 F& a ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> $ G A! V( n0 A1 [+ D# s

6 t. n/ ^) q: s, ]8 {. }# q ingFang SC,serif;"> - l5 _! b/ N7 U% r4 D0 m

; g( `0 T& C# v- x1 x: k% F9 n
# N8 _& o5 ^& o9 w 众亦信安 ' {2 o! [; h8 ~5 h3 t! g
- v! v& A& S. m, M; r) J
" e2 z7 l; Y6 r6 J 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 6 a8 A; h$ x3 v, B+ s
& I: I1 r' t2 x2 |! F
5 _+ e% P' x* C ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 0 _& u& I/ c3 O
% B; S1 _! c2 m Q3 O& }
3 r+ j0 D$ M9 I) }4 O 公众号ingFang SC,serif;"> / }0 j% l; Z( y
: e/ I8 K1 ~( ^( m% v) s" M
. }3 w4 l: @$ [* r0 S b# A# ~
2 s3 O7 i% l# U0 }
8 i M B6 ]% R ) g3 Z" e# r. l! t4 R5 z2 V
9 n. ]0 ?+ C: ^0 H# O2 [% C1 R
点不了吃亏，点不了上当，设置星标，方能无恙！ 5 K7 d* _- D& J2 r7 X* `9 w9 J
- D O) |9 A4 O ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 2 v8 e/ m* b: v6 A c8 N5 }6 i
4 O& R4 ~1 }' H/ V
2 P, u1 Y' ?7 }% r5 X- s 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 & Y) O W) T; k. [ q
# f7 O |3 v% A( R. V8 Z
& R: n3 C2 n' _) L7 E- F( ~3 `5 p ( W# y1 E6 W. o+ a9 U" o0 P" n$ _
9 F& s ]7 t5 a2 L
R; _/ E' ]7 M; @2 d4 t & c! p4 f1 A/ s4 a
0 H7 p i4 O% B& j; M) M7 B3 ] 无线or有线6 j: {, _; N4 |% {& d2 b/ W
- g% t* T: f7 v% l . F1 j, ?; h3 C# j
5 I" r) h( g/ `2 `' A : G3 @1 ?7 Z4 _: j
: q% {9 l0 A/ m6 a) ^& F 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ' |) ]1 t% Z# E8 [3 L+ \
) S2 E% U8 u! d7 E
) o2 I0 k' l' o6 h3 e" U2 X 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 $ M" H0 O; e6 V/ e# b& S
6 v" |) d$ z" z5 g: [9 |
& X, s, V0 ^7 e9 M \; ^& W 5 a8 A( a+ Z0 b8 K. j! K$ W5 s8 E: x
1 X8 a- n. u/ D# v3 t# E
# X5 T) N# s3 r+ N% U 7 N- b& g9 `2 z# V: f1 F
" \+ [/ x- b/ ?. N& u; @. W6 {
$ T( f1 q* O. v j% P1 d 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ~1 i+ U" s. H# R# }1 L7 A5 t
+ {1 a- N5 v# @/ v
: L, e/ l5 R" J2 e. A8 t 4 _" i( u* Q% `% w% g6 w$ t
" x! e- M# b9 L; Y, P. o
" Z4 k+ k. I) w/ p# F- g4 t7 f 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ! \* W" i9 a/ {
8 ~# ?! O/ f5 v$ M
, e' `7 y$ D: C' w! V0 `+ ` : ]( B* v* M$ c- p' m7 I& y. e
3 {# e7 \8 b/ J
6 ?( y6 u4 c" J4 m 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 0 d- L* t4 _6 _
% @, v. a `6 a
3 b$ `2 K! z [ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 , @$ `: u4 a0 K, h ]7 t
2 L4 n, ]! l. ~0 Q
+ i- U* ? i& ]0 o! V5 |8 ~6 C 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 4 M$ [9 [, W/ F q# R
4 H9 b% Z. K+ g$ f
9 t' ]2 a- I7 B: Y6 ]7 l ( w% I; T1 V' I3 X3 F0 A E9 U
! P- C4 J" X `. X 内网渗透 - z( E, B$ z" [7 Z/ C9 O
0 q) Z; V( N0 v | ; i u' H. v3 h: Y3 l2 @
! _" G6 K) V" Q- p ( z# D8 N7 o" q! y
/ @2 O) C. P( x. `: C+ x win下搭建cs和linux类似。 ) i/ ?' |& y+ f+ V& L' G; }, g7 D$ H
n2 @. `/ v$ V ]* L, O' R0 E
8 m3 F3 I0 z- Q3 u
teamserver.bat + ip + 密码
' `! Z) L2 B* c* _, X- E8 x
5 G! c2 f% l8 [& |! X! I/ E# c; M$ q
% P% m% Q! {1 D, K , a9 \( L7 L# ?$ n7 B# M
3 S' y+ U4 R3 y( P F2 }* K' @
' l$ @ d6 S! z' B8 b fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 3 [5 N3 ]: }2 X/ f* {' C, `
7 A) ], {' {* _+ ]
& w$ \& l: m* b9 r + M" S% g: F# |& n5 _
1 t8 g1 }2 }: V6 u+ g: x. s, Q
' ^. [ F9 a! v 2 r1 c, F& C; o* w: D
6 v, X* D( R- B9 p* v& _7 I: C% K
7 J; l% B8 h5 f8 ? 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
; k" |3 s8 g7 q4 L
1 \4 g2 P& X! D; l& ]' Q 2 W/ ]# K# D% @6 o$ n
+ K( i8 h& i0 m2 r) O
; q, q {8 {( |' h) N6 H * B7 _" \( ` G3 j& z- _, e% @
9 y; d* n2 [; [' \8 j5 m, y
' t: \+ y3 H2 n4 }# {& I fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ' f/ e1 o% }# V& u
$ D" W% i$ ^1 j( T
3 k# r5 x3 p; ?+ E PACS系统 0 X, r8 `5 |0 W$ m c
/ {# H5 m0 O% V9 A% W4 Q! }
3 H5 L+ N1 ~6 k9 z5 C% a0 o, k 8 l! F( F) h# w' M
$ S& i) P' i. H$ O! Z
* A# L7 A- j) p! P; V
$ {0 @) K& ]* ]4 n) i
8 B! D- y4 c1 D4 c 4 `# d! F% b% C4 T
8 ^6 S7 K* b; @; N* Y
% O j7 m! O& D HIS系统 % h2 q3 H7 |. E
7 L3 L; x# X, j6 c/ a" z
" p2 D( m9 t# |, W ) ?, ]6 e/ ]4 s; `8 W/ a0 X
, m' r+ G* |: d9 b9 s1 X- g+ z0 {
) l6 x4 C- D$ ~. K h $ ^+ N1 c7 z8 W3 R8 m8 v4 z
( Z( n3 N9 S+ j1 F/ W
: L0 K6 h) R" f6 d& q $ r0 G M+ O$ e% F
; Z* t5 k5 u- O8 k
, j' x/ n, }5 J% L5 M# O( E 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 & Z3 r! Q+ Q* B* O; i# P
& L1 L2 l. b+ ?+ W- p+ w
1 }0 v0 d8 Q: ~
3 l. j) y8 R8 w: a( D) @$ o2 s+ p% [
6 L' `; C' \4 H 6 k. }" Q z9 A) e( ?/ A
# P3 C- U4 {4 {0 [/ p! O2 j1 c
9 B! C c+ {( C 后话 O" Z. V+ k+ N. g
/ q J+ v( m+ B2 g2 F/ n0 q. l
. I/ M. j/ {- C3 f$ H 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 * r# N+ O# b$ c2 q N- B
7 H W# w+ U1 N1 e
4 S4 e: [- S" t8 {! g5 }; F- w* F ; M2 x* E6 m; m2 l* [4 |* ^6 ?$ d
# Q2 ^6 x$ W! @: E$ P' Q4 ~ " w% D+ K y/ C
1 Q* g, Z+ G8 L4 l) B ) s2 z! o8 a2 F _2 Y! ^3 O/ I" `
7 [1 V) m8 P* M" [0 y) h* H4 ~& V9 Y 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 1 v# h( O5 n0 f7 p$ u' _# f# _' R
) o' P, t0 B# h& \/ m
0 {% Y, J* p% g; z 7 T/ T9 @' h# v& q4 a3 w
- }5 U- P! B6 v) D9 m