声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。
* _9 g' b4 {8 W; _9 h1 {
众亦信安,中意你啊!
9 Z! @ F$ G+ Q. ~. H+ \& j
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
ingFang SC,serif;">0 v u+ P5 T5 D% X/ r& j
8 C" D( V# D& `4 O/ r5 P& W 众亦信安 $ Q, z! o4 ]% {# c j4 V* p
; d. x4 F: M, q* e红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;">
ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> & y& H4 u: ~: Q2 e# m6 e, a
1 B! a- V# i& @7 i$ l 公众号ingFang SC,serif;"> & T; D* j. W6 ?% e: k6 E( X: G
* o& f: |/ m0 v. L+ t
% l" H8 N( `/ I" g
1 N$ O$ P# z' N. t8 D. a ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
3 m: Y# Z3 B( ?- F2 W' k背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。
( }* F% ?3 U' E9 U+ p) W, S& c) {' p* Y5 Q. Z
大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ) }: M. T4 S" |0 o. ]
一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。
3 h% }' x7 }8 |1 R- U( V. l. M) ^9 N6 ~: N8 {" c9 ~" k
$ i8 A- x! d5 v1 [" Z6 l" H , i: x) X1 ^1 a; V6 n
这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 . t* i& m7 v/ c
; Z N; {) T% o2 P S1 Z# \6 k# _5 S* s& p# _. B2 @
$ B0 I( x4 a6 B3 w/ f2 l" S 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21)
+ L" i, f, z4 x$ k& `: Q- C / {7 u- y* L( O/ n/ Q
# \5 @: w+ `" \/ W. _! n- y8 |2 ]& P. Y 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。
这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。
! n- |# [" @4 U1 _6 W2 X 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。
! c* k9 R l& V& ^ win下搭建cs和linux类似。 " `3 T4 C; B0 z* {+ K! j
8 E; O3 g1 y9 B" `+ C: `" U* J* eteamserver.bat + ip + 密码
' z. ^& K- `+ q8 h. @
2 r4 x$ Y, K; H$ S$ M- a$ a# } fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) 8 i1 J) G7 X5 l& t. u. d- M \% P
9 H- g' J4 h$ j6 Q+ R( e7 k- [! j/ h/ |. y
! S; H, I' |+ `: N$ l. ~5 J; d8 |' N+ s, I
; `$ A P8 P) J6 c% y' ^9 f
通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
$ ?2 n# P' a+ |- v
G" B. \7 ]( m Q; j- e 0 F: Y5 R: h, L* R+ \! o
4 _7 A2 Q5 I" X( P3 G5 J fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。
PACS系统 ^: X2 w4 U' ?* K
) E+ n4 F5 {+ O2 e A; H b
HIS系统 9 h" y% m0 [& a
4 x' K- D5 A7 @' A9 Y* V; T4 d( L + Y X! ^) C" q; k! _8 e
1 L$ C) C$ c) T! l4 m& @% y$ V. i; O2 J) I, [
还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。
& m2 e5 r: l- A) \2 n z; s3 P, g+ T0 L! l/ E4 k- E8 q
& _! Q d+ @9 o
后话 # [* ^, {& c( P) e( t
# [& z: |( q; b% Y/ \+ G, X! m' e算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。
' K* B3 ?( p) G% S5 l6 S 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 ' W' d# ?4 ]/ e x4 x2 K
# A, o i2 e1 z. ]5 S
# R3 q* C" [6 T: I0 n欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) | Powered by Discuz! X3.2 |