记一次某医院渗透（近源） - 中国网络渗透测试联盟

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！
9 Z! @ F$ G+ Q. ~. H+ \& j
, n% I) }/ ^2 K# T. ]ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">

* ?7 X+ b9 E9 i2 n# S. M7 I5 k
8 C" D( V# D& `4 O/ r5 P& W 众亦信安 $ Q, z! o4 ]% {# c j4 V* p
; d. x4 F: M, q* e
0 `. ?) s: o5 v3 l 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 1 i7 P/ k m/ `( X ~" i
. C1 A0 z# z' p! C
+ @. T! ~- n# z# o ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> & y& H4 u: ~: Q2 e# m6 e, a
4 h& P& p7 `9 q* Q' T
1 B! a- V# i& @7 i$ l 公众号ingFang SC,serif;"> & T; D* j. W6 ?% e: k6 E( X: G
* o& f: |/ m0 v. L+ t
3 R+ T1 c/ E1 i- r; H: z9 X' p
" V8 k2 o2 K7 z/ ]6 M: G, R
% l" H8 N( `/ I" g 2 v5 b4 U: r9 l6 j. i8 I2 k
8 D2 k9 j8 y r! u1 K/ x0 R& R% h
点不了吃亏，点不了上当，设置星标，方能无恙！ ) C% ]0 ~8 `. l; ~
1 N$ O$ P# z' N. t8 D. a ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> # u" D2 h6 {; {; g7 N+ T
3 m: Y# Z3 B( ?- F2 W' k
0 y. l; ^0 B! f- V" m 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 # V; L* z" O% ]! }! B. ^
( }* F% ?3 U' E9 U+ p) W
, S& c) {' p* Y5 Q. Z / K7 z: y) n/ o3 \

6 Q: ?+ C, s/ _0 b: a - E0 S2 [0 e* f, o3 i$ T9 p7 I% ^
0 c8 j7 ~) O! H* l! } 无线or有线* S/ @/ g2 ]9 |3 j. T
* }, ^0 M9 t9 h% a0 Q& F3 v! t & N w9 e8 j# [/ Y, X* B0 `- m
( v% [6 y- T# Y$ r . V7 t( Q- S$ E/ x& X6 [
4 d: f' }' |% Z 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ) }: M. T4 S" |0 o. ]
' ^7 |6 s/ ~; G/ a' v1 x7 F
0 v5 G7 g) f) M% ^& J* v 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 1 R. r, p# h0 }! k3 f" u" {# |
3 h% }' x7 }8 |1 R- U( V. l
, P2 q3 k7 I' i+ H- z% ^: I1 D . M) ^9 N6 ~: N8 {" c9 ~" k
* @6 ~* c# l* G
$ i8 A- x! d5 v1 [" Z6 l" H , i: x) X1 ^1 a; V6 n
: w" s7 `+ `# X. M! `$ `
. k/ C0 j! K6 w# ^ 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 . t* i& m7 v/ c
; Z N; {) T% o2 P S1 Z# \6 k
# _5 S* s& p# _. B2 @ 3 b* ]/ S( M$ N' Y
2 \, A4 U7 ]- [! s* U5 f
$ B0 I( x4 a6 B3 w/ f2 l" S 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） + {$ F0 p, N0 b) A4 t
$ k9 A( n8 S' r% S! }
+ L" i, f, z4 x$ k& `: Q- C / {7 u- y* L( O/ n/ Q
# \5 @: w+ `" \/ W. _
! n- y8 |2 ]& P. Y 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 # j. \4 D8 Z8 l% A" F& Y. g
; v, V7 T' a% o% U$ Z' M
9 C n( a4 [* ~, x7 q* \ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 8 C% y) p% E# m1 N2 ^
/ ~! c+ Y. `- |" R
! n- |# [" @4 U1 _6 W2 X 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ; K2 U S) `) ?) S; K
. J, i3 H7 L4 m- f9 B8 f( N% ^8 Q
& S4 Q- T+ ~7 A3 z8 a# N 2 g0 t' L2 L4 o5 i- W5 i7 ]
n0 @5 k/ L# x: A" F 内网渗透 $ c6 L6 B% Y6 q' W) u% C T
# I: N1 a3 R+ ]. u4 x2 ?% q0 O, `3 _ 9 O/ S& {! |* }: _9 r. R" Y
+ i) L# r! Q5 O* t- I $ f) l/ i W+ S4 K; Z* E% T3 M
! c* k9 R l& V& ^ win下搭建cs和linux类似。 " `3 T4 C; B0 z* {+ K! j
8 E; O3 g1 y9 B" `+ C: `" U* J* e
# B8 n: q9 v7 Z
teamserver.bat + ip + 密码
' z. ^& K- `+ q8 h. @
. z# y6 r% G w3 i/ B }- f* W! }/ Q
- N G* _4 F9 u7 D- h - v) f% a2 r6 _6 f& q, w
, M0 I# Z4 K, E7 k4 k
2 r4 x$ Y, K; H$ S$ M- a$ a# } fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 8 i1 J) G7 X5 l& t. u. d- M \% P
9 H- g' J4 h$ j6 Q+ R( e7 k
- [! j/ h/ |. y 9 s# K! _" l0 P8 r" @
! S; H, I' |+ `: N
$ l. ~5 J; d8 |' N+ s, I 1 u7 a' H, L3 x6 s& O
5 H, S. I; ?0 K$ U+ y! A9 v
; `$ A P8 P) J6 c% y' ^9 f 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
6 u- d: t4 I1 W g; \! X3 w
$ ?2 n# P' a+ |- v , M. ]$ h f3 D9 _
% L E* C. `7 I$ d- e5 z3 I2 Q9 h
G" B. \7 ]( m Q; j- e 0 F: Y5 R: h, L* R+ \! o
# W" V* c! V9 P+ i9 I1 w
4 _7 A2 Q5 I" X( P3 G5 J fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 . l( f2 p1 c2 Y8 ~
" @# Y7 L9 R5 a/ o; q
3 s4 T4 X" M9 Y% I7 Z, D) B PACS系统 ^: X2 w4 U' ?* K
) E+ n4 F5 {+ O2 e A; H b
6 f; ]2 |, m3 y % d/ ]% @/ D4 i* W; q) _
. B _; O0 S* H) |3 i- `3 b
7 l7 v; K9 `: r
/ J% n% @& l( e
1 A6 p2 ]! \9 W/ k0 a( B ! r- T7 n5 _% O0 |
3 ]: ~3 v5 C& b. k
$ e! ]: o5 s7 K+ ~& G' s- D HIS系统 9 h" y% m0 [& a
0 a5 Y3 T# ^( j7 Z
4 x' K- D5 A7 @' A9 Y* V; T4 d( L + Y X! ^) C" q; k! _8 e
1 L$ C) C$ c) T! l4 m& @% y
$ V. i; O2 J) I, [ 5 p0 G$ n, W% [
, x& W8 l9 Q8 m: V: C
3 b& z' Y( b3 Q* D+ } ' c6 o" Q) t2 X( Q
* {, i4 e- ]7 x3 f( W$ k6 V
' |8 s9 P1 L, q, w0 Z 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ) n7 ~, V" t: n+ ~
& m2 e5 r: l- A) \2 n
z; s3 P, g+ T0 L! l/ E4 k- E8 q
! t* O' {7 S1 g1 X# b
$ h D7 o( u* B! `, E2 X) e& _! Q d+ @9 o
0 Q" K/ [( [" p! B" w: K6 d3 c4 W8 H
# ?8 y8 T8 b) t8 N6 q9 y% U 后话 # [* ^, {& c( P) e( t
# [& z: |( q; b% Y/ \+ G, X! m' e
. O" k( f8 ]/ h& T% d 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 9 p" K2 x0 [' C$ x. i: w
2 B* {& ^# b/ G
. }5 I# H7 A2 J. G2 q " D( y* n, A4 f8 r, j% R# d" f
( t- R4 J! [7 h- P x: U5 J! x8 t0 | p9 m
: m7 w& z! d; J! H# T ; B0 d: ~- I% a
' K* B3 ?( p) G% S5 l6 S 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ' W' d# ?4 ]/ e x4 x2 K
% `) q. A* N$ T4 f+ U0 @
' {7 z! j( ^3 a, L: [ # A, o i2 e1 z. ]5 S
# R3 q* C" [6 T: I0 n

中国网络渗透测试联盟

0 c8 j7 ~) O! H* l! } 无线or有线* S/ @/ g2 ]9 |3 j. T

n0 @5 k/ L# x: A" F 内网渗透 $ c6 L6 B% Y6 q' W) u% C T