记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

/ _- K; l8 O) W: k# F; ]/ U 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ; C' q6 C1 \+ ?6 c' i! \4 A" d/ L" [

7 `9 @! N' P4 U 众亦信安，中意你啊！
5 L5 ?: f; I- n1 p
. ^7 p$ z' L, F; |- C$ {2 ^0 | ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> - e) p, S9 X7 b+ V8 @" J6 y8 N

4 J( |5 y f. A* w: m& u ingFang SC,serif;">7 q j A6 B8 t) q* h% t& R: q. ~

' W9 r/ G, `4 b' W2 }
3 k# l$ x# D5 {# L) q* }7 @ 众亦信安 : x; i) ^; U3 u0 z. j; E: X
4 v9 U/ N! S2 S( g' I* e+ O& @
& E6 D* j9 _6 V7 l1 n/ q* E! z+ J 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> & A O: q8 {. h
`& P; Z+ E( H' d3 J4 ^
0 O6 I! D4 u7 [/ b; L* c6 j ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 0 D, M I% `; y' V& U* t
6 {$ {4 R+ M9 o# {- M
& G* V# N/ r( P0 M# G 公众号ingFang SC,serif;"> % \( }5 T4 ]3 G3 M
# Y+ Z- s; E: x9 E& N8 V S2 p
. t% J9 D0 F, k% z2 h6 K
8 }! V% o; S7 w& I
# D. f: C @2 w# {; T& H. f) K " Y% r* u8 K/ K* R
. ~- k! o/ M4 P7 ^
点不了吃亏，点不了上当，设置星标，方能无恙！ ' r5 Y% k8 m( d) O; n
) F4 x9 ^6 q4 l0 ?9 c$ M2 K ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 8 I. w! ^. ^) L9 f
% n$ J3 L4 N9 C4 p& X7 y) E
5 w7 B F. U- Z3 G, g" } 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 1 i2 r+ i/ l8 B- a/ W- H3 U
( Z6 w& _; {( d7 p
+ |' v( b8 r6 M/ f5 X 4 e4 ^# ^6 _# f }) q
4 C( r, k2 z" r/ p
# R* m+ c- c5 K( s* B) b8 `! | 5 E3 _/ B" Q; p
4 X; i9 Q: }! d& N 无线or有线# v5 [- S( } K; |; y+ l; ^: ]
% q5 @. o" r3 J , {+ I+ $ N; |* {
: ], b' O7 O* ]& y" {, O2 H 4 U6 p! R: b% r; |7 l
- ^+ m8 G4 [1 H2 }" p0 _ 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 u; x% r- F0 ?" t: F7 ?/ G( A: S
- v) _% h, D. c5 i
( Y3 _) X$ z( ?; u( ^ 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ! g _6 t, j/ L: O' I8 {
% X5 Q& p1 s4 l9 w e9 c2 a/ j
; f0 a5 J" h* w. u R; E0 t& P i4 } v* p1 Q
8 D# l) D& H& J2 P6 i# q
4 K7 u2 x) L% M8 \5 K! y r% \: z4 V+ A( B, O3 _( v# h
2 Z+ f. o2 B9 Z7 X' [( v8 @1 j: L) A' E
; |% h5 d9 r& S4 O- @ 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 % y* K1 q& ]6 ]9 L0 t8 `# C8 Z
6 R* K5 Z$ E; M( $ Y
: P# @! J6 \: h5 S) [0 s # Z5 E9 {0 [: v
4 @' m% q% R: W2 S
/ s" ?. z; l4 A- F 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） - P! c: }; `+ _+ x' y9 `) g
- {. F& ]. Y3 W. c' l, K
" U% m7 Z! J4 p) T% ~ - |& u- G& i3 i4 f
/ `1 a& v3 S1 M
2 u, H& ^8 E9 m7 E# B; [ 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ! F- F4 C% X9 w2 ?" L/ m
' s p0 B1 {& T9 I, e9 F- L2 M, O, O
2 X: t% G7 ]! V 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 : a4 i- L9 K) P V
/ m; {$ E1 F" X* ]# F
9 G: n: u$ C" l) R. X 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 3 O7 G; [4 V, c2 R
) Q5 |: L C' Y5 H& X
, i$ D% j5 h# F* G! q2 i# a1 s( S* a 6 S; h+ v6 x" D
+ S& u) ]- }& X 内网渗透- N! y& n+ ^6 [' j
' f+ z' s' ?3 D' G; r' m& E S1 y: M1 b( X# `! X
]- y$ H" O+ p W' x* L+ A3 { 1 F8 \7 @4 b; S. `# \. i) s$ K
' R9 {* l* p. p @ win下搭建cs和linux类似。 # k5 X& b6 k: P* i; X! {. `
3 N n' r+ y) q5 Y! @. B
. | [' Z0 y4 S" u7 K8 f
teamserver.bat + ip + 密码
) d" T/ _9 ^, M) Y3 u. b! D
5 S) v! f3 y& j5 F
/ n. U f* V* T 5 \8 e- j/ m* {8 i7 S
0 s$ `- r0 i9 D3 d( U! ]. W S# Y
8 A8 \* b, X) d, |& s fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 1 u5 l2 v3 L A$ D* n- ~) ]
/ ^8 z1 s: b1 \$ p3 Q
. R. M7 Y; e( m" q 8 z8 e' R9 h' n: J7 L7 n
5 |: S/ a9 g" F! N- U( d
4 X# z/ Y3 l i! c4 N . q0 P2 s1 O+ b; U U
' Z V9 Z( U$ Q" e
# X% x: L6 C( n* F8 q 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
5 r' W. a0 l( C8 c4 d
3 o1 L! P7 P8 ?/ |1 v3 P 8 \9 v- `; x. N
( Y, M, u$ }, V e0 W
0 H* |6 Z8 B. p- o/ \) U ; `( ]' ~4 s" G
+ |" t6 E( ]+ P$ W0 h& J& o
* E6 _3 j: Y; Q7 U9 R8 | h8 k fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 * h6 r& K9 j* y! n4 q
3 C# m8 S0 q1 [! s& Z5 D; W
) B5 D1 g9 g% U+ Q" m PACS系统 # ~* w, V" T) F/ u0 _2 L
( B8 L+ _/ n( I
' }; P3 Q% l8 _; M$ D2 p 1 S. v7 g* b9 L* r+ G+ u7 M
& \" J+ V. ^" r
, f- N# a8 P& M" `4 I6 w4 W
+ y9 j, i9 ^( I* Y/ `+ @
6 l3 L$ H0 f. `1 S " c' v+ u9 `# r1 `$ ^1 P
" b+ E4 e2 f$ a- o% W3 e/ s2 f5 R$ N
" D: p" T5 T# _1 O/ L6 h HIS系统 ! j3 U9 }9 B; W) s+ x
' l0 c K# x: q6 W, J4 W
2 S8 \! a$ h9 I# A6 X6 b* K/ v 6 `/ A* j1 G, w! N3 [4 w9 B
9 T( ]" R% B2 A9 r7 H/ q
+ J% \( z C. h% x# ~3 N1 N ' I: u; l6 u1 I Q
: ?3 i' B/ ]/ O) P4 k1 S( P
# f G3 h6 F. N& c$ m " z* ]: D- O& s7 ^2 ?
2 b/ o# S+ ^& W/ E- P+ V
/ t" x" H7 o; E/ d: m( M, S 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 1 K8 D" H' b9 _2 I' C' c: [: j# B
1 S d3 R4 N& F* Q% n. Y
# h1 Z) O% C4 n
! P+ m( u6 c. R9 I& @
" T6 K1 I. N. N' R- ` `! p* ], F9 q: H1 L2 N! p
5 G$ L F6 M+ Y+ M5 {8 g& K
$ {- W, H% w+ q9 Z# U M& T/ b+ C _7 K 后话 2 f+ s$ {' S3 v0 m. a, m6 h P
/ ^/ a0 m$ O; _" |/ z/ @
+ P I. x4 i% \# X$ ~% z% H 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 & }9 N9 k* r$ U5 G3 n8 W
7 H6 A9 j& r) a( [% m# h1 Y: D
7 ^7 F* Q! B' P6 s9 M 4 _' \( o3 R3 E* z! a& p
, V/ M3 E6 N/ p/ Y9 S 0 g, {# n% S6 @4 z, o5 F8 A% \
% L/ T- Y1 X; n7 D( f - S3 x% H, t |4 |8 [- [
3 i o' V6 F9 I3 j9 F, S 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 7 z5 F& p+ o; \$ Z ?" J
- V4 I1 j' c N* x/ h2 h
, M3 H0 G1 \# r' W3 ?7 v 4 P, d: P" M! |4 ~( d6 \
; R$ j& {) q6 u7 Q