记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

( |' m- ?+ Z8 P- Y: ] 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 - G. f+ z' G! j0 Q% [

* C: k0 R% E" G5 w5 C# i 众亦信安，中意你啊！
& Z ]7 }: ^: o* s% o2 @0 p
; C7 T$ J" V6 l6 p! k ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> $ z- e0 Y$ H9 a( h6 \7 ?( D! t2 s

' u( H: S( t }5 Z) h/ f9 A ingFang SC,serif;">. V! B$ b5 Z6 i, Y+ T4 K; L+ c% u

9 h9 W6 A" I7 l# X$ V
F L* i( ^& ?) u7 _. y 众亦信安 & O; A; z- x' ~; L: i- `5 ^" V, r
: ?) @' j Z4 ~. r4 f3 E- v% ^
2 R2 |9 F) s2 U7 }6 \! |& t) E 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ) v% s2 K S _7 d% k
% W9 Z+ n3 [ R& C* k
, _. [! \! M, k6 R$ y7 j ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 3 g7 V( I9 S) k0 I( V
; }+ W% \- p; A4 ?2 Z: m8 u
: x8 F+ o7 z1 o5 o+ G 公众号ingFang SC,serif;"> . n- j. @2 D$ B; {
0 w: Q3 s* ~. {) M$ l
# s# r# Z/ M/ c/ O, N% o& b- o% k6 W
2 q, l1 x9 t) i+ b" F; K
$ o# N7 \- M8 t$ I% y+ }0 W' \! Y# e
# M; U" Y$ q0 a* m* V* E; U9 _
点不了吃亏，点不了上当，设置星标，方能无恙！ " G- u# O1 h8 w G7 c
8 G/ M) A( e* Q( l4 L9 K- F, k ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 0 `' A3 V4 v% R2 _3 i
& ~/ U- T; ?$ Y5 g1 F7 `
( l4 H+ ~/ p9 @6 | 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 + B' V* q# V* g
( a' ?2 z% v ?' Y. a4 k/ E
# a- o/ Y# i M6 R $ S. l' h l2 [* ~& r
4 J' t4 _7 g* o, z1 @* x$ p
% f5 E! a$ K W. S r. q % U3 W! x+ _0 x& D% m
4 l, O: Z$ H2 L0 C/ h* L1 J C2 V 无线or有线5 U$ n/ q0 b9 b* E( s. \+ w
% s! Q1 s) F+ Y 1 F. _$ q2 m( L2 n* f
2 l! g* W( O+ f R* S u5 q: M* [3 G3 ]7 @0 t
; O; g- J& H( {5 R3 U( ~. R 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 : ?$ f7 W; @; R' y
: \5 R% M# V/ M
0 G' @" T4 H( C- Y 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 $ E6 r3 Z9 _- [% ]7 A* _) \0 N! Z
2 _% z# O" v" l
5 Z- ^2 _" Q0 ~: ~2 `3 n 5 H" t7 |$ [1 U/ \* J9 g9 J( K: J
2 D. f" x' r& u( W
# A% i6 H3 F7 B' }- X ! e2 [$ C( k5 d4 e- E, ?# w2 u, ]
5 A: N2 I5 G5 O" j6 @
& r2 @7 \$ e; N# s; B 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 0 q" ?; Q1 X0 o5 Z
% R4 q# {4 X- u
6 I! G9 I& N( F* T8 b4 k 1 v& B2 q A& m- w+ G
1 j0 ~, |0 d( i( ^% d. a* O) }
7 L9 E, Y, {9 d5 m3 i. e 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ! \+ L3 Q3 a1 m! u( N5 B; v0 @
) S3 L& n( D1 @: ~
]/ v9 x$ l4 E 5 o- p" w+ W7 Q2 y
' S& j" I) x% }3 i
0 d* y0 ?. F0 B 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 6 m& D2 Q9 ?2 e4 N6 i$ l) m8 H
7 w8 C/ a; u% ?# z7 D% q
8 `. F' R8 |1 B. Z6 D, u% J7 [4 ~ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ( i: z* E0 e9 O/ Q% {
. y$ [8 X% v0 [# S5 d% v. C3 f/ b
$ J9 o( p F8 w1 U8 F 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 [2 a) j5 J2 Q6 K
) E3 N. Y# y$ S6 z* C5 l
4 |3 ~4 A8 d" [( w 0 A5 ?: @9 R* c
7 W9 `8 z+ z! _3 C/ k( a2 R2 n 内网渗透5 T( I# o) Z% E# Y) i. o2 H
- g) a1 I# L1 R- C + X5 x9 s2 l/ `6 I. r+ T
! T6 d9 w0 h+ A" f1 l1 { & g5 I( Z/ L6 C2 j1 I, U$ M
1 l" Y4 |; C, |* s }" t win下搭建cs和linux类似。 ) B" W4 u4 V) v. j. ^& L5 {) ~
3 ?9 g" F [! s
6 q2 c0 `9 t; Y9 |* H9 S6 d
teamserver.bat + ip + 密码
5 v) e$ C- M; k8 ?' p
$ @- g# ]4 q+ A
2 l' y) U6 Q/ ?5 f9 z& k4 O ( [3 b" Q5 Y1 _
+ i0 |. }* e+ ^; b" |+ S2 v
& L* k7 a# G4 b$ `& m- @* X5 Z fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 9 D& ^6 r8 A- F: ^3 H" z' |, `
+ N1 T+ H. w1 S( [
+ I0 T: }2 e6 r: H- i0 e4 j/ W 9 i6 y5 b& M; k1 I" y( @
+ ~8 C. [/ d+ l. k; d8 s
& b7 X9 x" U/ `0 A : }' Y4 b/ C# @+ b. h+ X3 x6 J) D
, B- ~% R( a2 P$ C
& @" y8 v% b# J: b4 q8 Q+ \/ v3 b 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
, m9 v% z' F9 E/ t8 ^, P
& k3 `6 N! L+ J3 i . s! i' ~+ |* b- [* U
- n: X0 n/ P$ i; ~% l, Y% @& q
0 z+ |" G1 q1 F / X+ H+ _# B& X! `; I* d: @* b
5 a' o( n0 p8 Y: G
6 m/ ~( a; d# |8 s; G/ L1 a0 ] fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 : `% ~) J' J" ^* ? _3 P S
0 _* d/ @/ y% f( K. Z+ F T
: F* h% D. v, S d1 \# Y* t# J& r PACS系统 ! q: ]& n6 t$ z: c6 u: _) Z6 O
# ^; A a6 i: u" m
6 s6 q! F5 b4 [. o & B4 B: {2 j2 j& d+ Q
0 f. b- Z7 v' C+ G+ P- }* e
1 h: e% H( @2 t( t! ?$ e7 H
. a( c% }/ E, i$ ~. ^ ^4 q
0 B: |. _- {" K! J% E . a: t9 E% ?, Z
9 P7 L* p: K1 |* [1 d
+ A! }/ T* r. S. |8 p3 m% Z$ H HIS系统 3 }3 n7 v2 L d; j+ A+ ~8 m, {0 |
7 i- ~/ \2 i: c+ M# I* ~
6 u+ Y1 b' T2 J8 ^) d/ ? C 8 c3 Q& m4 ?( ?2 Z
$ P o9 F7 k, z5 E7 {+ j( R' X6 J9 F
9 Z( s6 _3 F7 C" o: W8 R + `1 @1 e, e4 U8 X
& i- s, [0 l3 p3 @- r$ I r u1 u
, |! j' b$ E: O7 p: b2 S & q) E! E$ j& D$ w7 Y' d
$ `. q: q7 B. m+ F9 K- Q
% l, t1 x/ L k9 ?6 ^' v2 u9 r2 I 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 2 N' v: i3 w$ R% Y6 ~7 j
. F% e1 ^% x1 u
5 O1 P: m9 M* b, \' y. p( ?
) L) x1 I7 y6 ^" e
: R$ R# d" k3 d8 ~ 1 U+ A: J* {! _* [! S0 ^8 |
" `6 i, ?9 \# ~
6 `4 X; a9 @+ c. j' ^8 I+ T 后话 8 q- w9 c8 O% V2 G5 d3 J2 i. J
% r9 C \+ M! b
3 r- c. T, k& ^3 d5 @9 d 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 / ~& ?8 J5 `* L) j ?- @4 W
% [2 V0 H$ J+ H/ E' e, I8 p
* N1 O, Y4 \; d' S7 R 8 S( v: l( _: D1 f c8 n
* E0 a R& N8 c, l7 F / ?; x; M# p- E
3 T* z+ `- r+ r. V! l0 j1 C . C: y$ c' D$ i: b
' K2 L9 y4 B, C$ z/ B& f 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ; R" n! f- V" A8 \( _
/ `" C4 D V" d) s) s- @5 m Q+ d6 T- D
5 j) c0 u* l# Q# @. M2 K 2 W5 s. |, A/ D
" m7 U% M. y$ `/ i