记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

( q: I" Q( W6 J( z 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 1 f/ N7 f5 I+ G; M0 [' g

2 V1 w% L) ^+ q, d' [* p8 q 众亦信安，中意你啊！
, @' o% S6 W7 ~2 d" G
; J$ U' ?9 }2 [" r4 R) p% y& D, b ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 y* M' U- ]. G; h

H1 p# g3 ?7 \9 M ingFang SC,serif;">1 q. D6 ?8 d5 A6 o; Q+ I

# H. c1 f; N; i. k. M( D- ?( w! [
9 N$ ~$ a- Y/ t6 v% o* h% T 众亦信安 : u9 l5 q7 t( j' [( Y3 ?" p' B
% g- ?9 S5 Q) A; C" N) z( r1 H
# R1 ]6 z- p2 J( p2 K 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> # b* I) h# g$ H3 K @5 |9 e7 |
9 z! N7 {* s% a1 t) c! j
9 K8 F! E! d" k0 X: J ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ( N4 x) T1 d9 i7 H& }! S/ E
4 u' Z9 N p- Q! d8 ?
# ^8 `6 i! j* J; Z# T( z) O! L 公众号ingFang SC,serif;"> 7 r9 s5 C9 ^8 g0 c. }, `3 m i
* Z9 Q/ T+ s0 ^' T8 \1 R( _
: P( a+ ]( M8 M' @
& d1 g; }" C3 T+ t. F
3 m; _2 b' K' E; k ' j9 ~ i7 N- D1 Z" F
+ h; W8 C) ?; u
点不了吃亏，点不了上当，设置星标，方能无恙！ 6 ^5 }. U& e' W) ?/ E, h( R0 c
( b+ k2 I; h x7 C9 D: b# I ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 6 a' X; u8 G( \) M/ _1 s l
, j$ N0 x* i) b& f9 N2 v+ j
: e! O# e# ^ E3 b* V. S 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 0 z& m; w5 ?0 G' ?, z2 [
9 r9 M* t+ m7 Z- y% l; N
: d1 J. e2 h6 K- v ) l9 ^ G0 ?9 d8 [
, ~& Y2 O1 ?- a# U$ Y, T+ E
( L1 t P/ R6 h% o2 \5 G8 w 5 E7 o# {" r7 Q% p; u1 Q
% W% D5 e- S' Z- m3 X/ f 无线or有线* t1 r+ n S, e
) \) n1 @, t5 l" u( I1 v- ~ * S, T" P4 c, y* X. w
# k# x) ], N- y4 y9 m* v7 M" T ; n5 J: G5 Y3 j, w, a0 K& v+ ]
% r. o. ^& {; m 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 & ~0 U% y9 a% e2 ^1 h' ~1 y2 k
% p4 q9 Z+ b4 H( V3 l
7 d# s/ p* T9 ?+ s* I$ j& F 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 $ ^2 R, j& u# A/ ]
% H1 r. a0 @% P$ _4 N
8 q. T6 e: L5 V, y2 W ( ^. c b% d% v9 z6 G
' o3 |7 j) ^& }' ~; J
" k( _8 a, K0 B0 |( O3 C$ Y3 X ; k& D3 `; D0 T3 |
6 L9 V- {4 H; S8 |
" \ _7 ]5 v: o7 c7 y7 i 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 / @& y7 O% e) N b" \. _& H8 _4 g
9 [; c6 [+ A+ L6 T- i7 t; d! K
# M: p! C F( |) @4 \' @ , ^3 E# A$ S6 m, E& G
" C( }0 u" q* X/ @
9 f6 L( T0 e1 e; h m( s 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 4 F9 X U* O5 p' L( J
8 N$ ~6 H! r+ L
6 Q& B' B* W! o+ f/ p& y2 M $ G+ N8 a8 H; _1 G
# O; s. I, h5 o ]: n& \# g
( q& d5 b8 z/ g3 ~- y$ p9 H( z 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 / H3 n: }9 T3 A/ a/ r3 Z) }0 m
$ e) z' K9 \% V0 E9 u2 k! z
0 @3 t. V! N+ P6 a7 J' p. Z 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 & `0 d$ u) B7 {* P8 G
; _& X: p4 B4 o" N
6 Q- v0 P% ]& _9 X1 ^) s 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 - _5 b% ~2 f1 r* i/ $ U
# m6 t5 y# m3 l$ O
+ F J" F7 {6 a- u Z# B; T+ O6 Q) E3 F9 Q' u
1 \# w; A2 c8 \0 p" S- L 内网渗透+ C9 k: F) t/ $ _% @8 v+ |
C2 a$ r6 k+ `* {1 n3 s' f ' F1 {4 ~: [# N9 t$ `4 X
3 {) U+ X1 C3 H # K% W0 D* Y& O: a% O$ A
) D4 I Z' c( d: k( Z win下搭建cs和linux类似。 + n, p3 L" O' ?7 z
8 N: y8 B5 O3 c+ ?: j$ X- b4 {
$ P* V9 r3 a; l* S
teamserver.bat + ip + 密码
# g+ q3 m5 A( u" [9 n# e
; b$ x" I' U6 @( w% W
$ M2 m S. ^1 [) L; B) T* o & B; Q o6 _0 x
, B1 J& y A5 Y! j& D* w# O
/ Z! j$ ?3 V) q) x* T: L fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 6 t) ]4 J2 ], X/ Y
+ o2 W9 v; x' ?- h5 E& }/ g, X. |
- _; {0 v7 s* b & L* B2 ]: h8 ] o
9 B' ?9 j" w! C* F' Z3 g* z6 C
' C I9 G- o, I ) d$ h4 a( K7 O+ x, v. ^
0 I. ~ i D# j5 e
" E3 M' U, w4 c# u8 M) o 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
& n+ A- V, Z1 n' q" N* }
( x" Y2 P# F* |) v7 P " {3 u6 b& {6 K& b- E0 r2 |
' o: u5 _) ~4 i T
3 A7 }1 j$ h% s* w2 L. _+ W9 } 2 W! W) S! Z4 _8 i5 x7 J0 U
) q- @2 E& Z- a# l O. [) _
/ O% m; T) N" V/ ^' K0 A fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 # i" J2 j$ q4 X( s6 J3 V9 b ^
4 {1 ]2 a5 r4 S! i% Q" j$ x2 _5 {9 Z
7 c9 _6 D! w2 j H1 I+ K: H9 D' g PACS系统 2 C: @+ J4 L6 G; H' Y- h
' n" ]* |" y! h& O: T
4 U( z% X# l+ [: d3 {1 k % r& q* k0 l9 x! T1 i; `" e
! H% `" G4 W. u$ y F) B
" n$ k: U: t$ }: f# u$ z' t0 |
4 U, S7 s# h2 a2 D
- Q' Q) D; o) `. v % a; J& x! _2 g+ b; W
~' a- D* j0 W3 r! K
0 @) s$ ]) w6 P+ Z! ^ HIS系统 $ E% |2 F, a. s2 B# a# N! M
. O; N( V* I4 N { j2 ?
8 l% x: U; A. f5 K3 z' w . j' R2 F' M" C+ q( Q1 Y$ O; U- J1 D
: j; n. p1 R2 s X. F- N6 o* z
1 ]" k) n; s! |( x! b 5 s6 i' a2 p5 K* ~; \. H
( H4 ~/ n/ R$ d& c+ P2 K
& d' }" b* L( Q2 h; U % O3 Y( [& d3 C, `9 l5 [
! ~$ q; X `0 s q& V x$ r/ k4 v
! n! }9 n7 |' K/ H# o9 d) L! p8 X 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 8 m* [, z, x5 @ Q
8 c1 Z2 ?/ I/ } x" q; ]" P3 b5 G& {
+ }, ^+ ^ ^3 U8 l5 F
: l4 s" F9 [6 x1 C1 o
* e l2 S1 j1 ? " ^5 R$ f& i; Y/ e2 d
( k+ f# x- T$ E4 N; u8 R: q, v6 y
) \ J& j- f2 r6 G2 {% S& v6 S 后话 ) q: y$ Y( S) s; d1 h
0 z- _; W& s: Z( v6 h
# O& v. }/ k+ w6 J9 x 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 % S% w6 y7 p+ q
- ^8 i3 N# i" L$ Z- V, w
5 f) P# H3 U8 X! ^4 l 3 Q5 B3 D+ }- {' N5 T
' Q; ]( ?0 h" R; N" q2 t 5 M% f8 [1 ^6 |, k E
! g* g7 n0 F V' \" C( S M / y9 Z. a& t' e9 t$ M+ r$ t
' O) m! S8 ?- w8 ? 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 9 H* T9 ^7 j# n/ Y. F( \
% u) d3 M- D4 t+ y
; t7 K& ^& [3 M) x, S$ w 3 [2 B1 G m/ @6 T/ I7 N. C
% n) l, }. r# \* Y1 a! }6 R) q