记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

# i6 p3 F. l) _8 F 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ; J2 {3 ]9 X/ k" K

9 e& K2 P4 b4 C! T 众亦信安，中意你啊！
/ J1 u `) `7 F8 u: s: U
: M. G( y7 F% S4 n2 x# K% K ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ( L2 j% q% k# x

# Z6 t( ]7 y: n- b2 o( W7 m ingFang SC,serif;">( |1 i+ w6 Q2 Q, S4 w+ P

) ~% ?# V6 w5 G. p
- y# g7 j' t6 K0 M+ F! o. m 众亦信安 % c3 _! D. H, S' N4 F# W3 e
* O6 ^1 y2 q: O1 y
" C& X$ T! w1 ]6 K3 Z# j+ \ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ; {- H5 s" n; z" j8 n. p. K
/ I9 F$ y% j3 h o
- ?2 |6 l8 H3 f" d+ T1 W8 T7 \5 h( { ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 4 i3 h, m* i4 ?3 b7 H4 G
( T9 t- w, r, H+ l l3 D
& t1 e$ V o2 }, P 公众号ingFang SC,serif;"> " D3 T' Z% x" V8 p- k
- n. X; K" D9 H
; l5 r* v' ~5 ?/ o
' G# w" R2 m4 L1 k& Q- |9 T( {
8 Z" J$ `# n" f) @ 6 v; ]4 t0 G! S
- V# q; Z5 r5 f) I
点不了吃亏，点不了上当，设置星标，方能无恙！ 5 [- K4 q8 Q4 @' Z; d, X' e
# c4 u9 W1 s/ H2 Y" s* {. n: l* O ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ' D; M: {: r+ D n
# ]/ G1 |9 X* _* t* j( T% S" M
3 r1 b& C) m; r/ S! |# E2 i0 w x8 Q 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 / j( r4 u: r/ C/ F
6 U! t4 ]! G, A+ Q# L& @; U9 w
" m j! j: b2 q " C+ s: P+ k) K. B/ }0 r2 g/ W
# B# w/ q& D% u7 P3 k
5 J2 ?; F# Y) | ! g+ X$ O/ j7 p) E
& Q1 P; n9 x& p 无线or有线 0 F8 j& a! l# Q5 R7 {2 K
' v# i7 h% x( @# B7 x, n) s& p 2 J) _1 D; v& X2 x+ Q5 n" N
; o& M2 Y# u+ u5 w- X8 h* n% c 7 i& u$ R& }8 D1 b
) K6 H/ Y2 n0 ?: s 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 1 ^# v3 D, O* b) O, A1 F
- O5 h ]5 _* v& h
4 h- N$ D" f% w6 @4 g" p. b) _' Q: x 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 : Q0 G2 ^0 ^4 _8 t
q6 ^5 }6 Y! U# T* b# C' h
/ _: \( u: ~) ?! j. r9 r& S8 p- A 3 u4 i* t4 y. M! W% Y$ D# l
; q S4 t( L1 s% ^
) \3 a* u% k3 W# ]" ` 8 P3 W0 F' V5 \# Q
/ {* A- ~3 |. x% @: s& M R
7 }% @! {1 D4 r0 `. Y 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ; q/ n9 W9 `& F( q& [2 T3 h
5 a: W; P9 [( f- \
3 u- C; j+ B0 Q N. F+ b9 f * ~, m" ?& f6 U z. Y2 ^* V: R6 i) V
4 D0 _8 N/ i$ O: I, _
+ q% K. Q' E6 N; t) U* w! \1 n2 _ 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 6 k3 u( L. R& Y! @8 T/ i( q( u
+ f0 R, O: q3 M1 T9 h5 E; F) b
5 K; a4 V" I( `' t+ w$ m& m& o / M" V' N) h! V: t- C* @6 Q, F
% h! [/ G8 K o% S' K
' h: n! J, o" q1 ~ 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 , o4 V& y0 V2 Y/ L
1 y' `: Y6 @( R2 G; g
9 J. S5 b5 R3 J7 X+ \& e, l 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 0 p* W) p( \0 B h
* i8 M: V& ?% K1 a) z4 O
2 W \- P& f! y0 g# @ 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 " |8 k2 d! L) \/ Z% w7 C
+ f+ a$ T ]' h9 W; m3 ?
1 U( Y8 e# h& Z5 e , b! B( o7 C1 l2 p& E# ~) ?
. {' C0 s; D3 }, g. ]2 F- G 内网渗透 * s' Q6 \% [4 a( C# X& T
1 ?* W% h& ^( Z& {: ]5 r+ h, k ' n: T2 v% D' V) k
7 E& Q7 p+ N& x; v! Y; u7 k & R; E8 w+ w8 y. S, j+ |
' H! `8 L3 g2 x% ^5 w: F) v5 V win下搭建cs和linux类似。 ) O2 Q( P, l+ n9 u- U6 \4 ?
7 b* S2 [, A6 L" U! j5 _% @
7 C9 V; ]0 J) f- `5 ]' n
teamserver.bat + ip + 密码
! F. B8 ~" p+ ?- N+ R9 D
" f5 v3 ?/ i. z; E! s W) w
( y1 a' m9 ? f5 Y 3 O) W9 Q' i# |+ c! Y& N, F& I$ U
" E2 S4 { G7 K" Z8 c$ k0 L
$ o' R' t3 b) C2 ^5 C fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） . j* ^% p4 \3 D O
+ a9 R9 I `" L+ z9 a0 a# w$ g
* k2 z2 k0 ~/ [. } 9 ]1 S3 r4 H3 f1 h
! U/ M8 ]2 b8 D! S( m# _; I( C6 I7 K2 n7 T
& U4 r9 C# Q, m 4 O& b( S( | q- ?3 w8 ] a
r0 J" H& _$ z9 q* G+ X
9 Y/ k8 w% ~) H2 K, D: J: h- R" _( o 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
7 p0 w% f1 |7 X$ C( V/ @& J% A
( }& H' K7 o* }5 E# y e1 l! F* \3 U: l, c1 e; I) v; v( y
9 Q5 R" v( d& P7 \, T# v# U6 L! r
( n; m% ^0 Q Q5 V 4 H3 F. x( g; V/ u% V/ ^( q/ Q
e2 l; U/ [/ Y
" |- \0 I' m9 q# C! x \) C9 q fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 . i' V) {" d |; Y: U& a6 o
9 E% n6 i6 v1 Z% H4 `1 v
* @) {3 ?3 S; t3 L8 J4 m& k) z PACS系统 & y0 ?1 \! m% ?% r2 o ~6 q* H
# M4 a6 c, ]- {
/ c: c( u* d; d' ?0 I) M& t ! [& n0 a% H0 h! |# {1 ]
9 Q" e* t) i7 ^2 H* f) V
( z2 C: K. P9 g. D+ E |
/ k9 ] H0 z8 m9 t
& h- f6 Z! M4 P7 S( o + i6 J# z! f5 ~! [6 B) ?
1 D& g% e$ E: E4 F: s E
& g8 ^' q6 G1 E* j; ?- |" X! G HIS系统 3 H% A) g* e) l( n$ K! }1 h
$ t" V) @* p4 r3 j/ j5 G* P
9 e4 @; x7 g, G$ V4 W" n5 N. Y ! D: M6 F& K; X" F0 H/ Q
1 l" w5 H- [1 q. k L
]" T. A C U / ^, z! ^. |0 ?* W
8 P* u6 Q/ S7 ^0 u9 U& I& m' X. W! k
) K' L7 _3 |8 `: o6 p % A9 a) o+ y# P
3 j: Z+ H- W/ [! |& W3 H6 y' X
8 C, j1 J3 o7 z 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ; T; l5 I0 \: d0 S1 G0 I
0 f' y( W' B0 G' y6 G6 a
+ a' L4 f- B4 w) }( Y1 d8 V: \/ Q
7 n0 @' H# |7 \/ e( O3 O
: e, H8 s" H. t2 J; c# a8 g& D 0 z5 x1 Y9 b/ s7 D' M
; M& R, ^6 U; g7 t
( ?4 H0 Q4 ~3 B5 ]3 }9 ]- A 后话 ) _6 W8 T) a& q# l2 H( M
/ f: C6 `) G6 |5 e! @; f" r
8 l T' R! m0 T' E5 C- l- h 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 * z# n7 O' g" ]
; \7 |& y: _3 w! J$ i% U. N% j
* h. y0 g- m6 k6 O6 w 4 w1 [, C' Q7 B! t0 V9 U7 P
M5 J0 q5 f: n" X, m0 ~ 1 [0 F1 e5 c9 ~" `
' i. W- b0 ?( o7 r8 W# \ 9 L m' E; v1 j1 |: E4 Q- W, l R
, T( h( C& ^! c' v0 C/ i4 K 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 + U' R0 C0 D" g$ m6 |& a
2 y, \8 Y& Y, v) D; P
$ ]5 w2 N% d9 {! R J9 i$ m 4 U" K- S+ g+ Y/ D% f
- n9 n/ \% |! t, ~