记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

' z) {# m: ~- y3 F 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 8 O' }% z5 J& z$ d

* N$ _2 B3 y8 B) a* J 众亦信安，中意你啊！
6 i' a% Y7 P; `3 d1 Z1 k+ k
2 }8 f* l8 q4 l( S O& O8 A ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 9 [! U1 Y/ s1 E5 ]6 Y$ I* {

! }; `! y0 d4 f9 @1 ~* J ingFang SC,serif;"> 6 I& M% v$ n- s: q

( ^# O% S1 z7 m% i, g
) Z/ m+ @! L3 z 众亦信安 ' q0 W" N# Q4 v) h
1 ?1 q1 Y! I6 B0 m4 t. O I1 P
+ {, v" A- W# G6 i+ U 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> $ p w$ L; V3 V" d+ p/ x$ @' O
" O# ]# t# d* A! G1 h4 ]- N; }: d% b
M5 F! e1 o5 g' J$ S ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> - j. P6 P. s4 _
$ j/ c( X5 d; h' ~5 n9 R A
! h0 @4 X4 ^! J, K( K+ P 公众号ingFang SC,serif;"> ' F- b$ {, O: G5 Q* k+ L7 `
3 x u$ e7 Q/ [' Y; i( A0 n- [
9 N2 V& q# n% E8 f
! ?& t% F# P' j3 f
/ V( k' n2 }* {$ ]* y/ X2 o: G" B# h, X. \; {% L1 T
7 `5 [& `& s+ c: b
点不了吃亏，点不了上当，设置星标，方能无恙！ ( C! y4 T7 o s) h, J7 c* p7 L
& N; W" i$ P8 [6 J" }0 U; s, m& \" _ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ) _/ R' \% x! w/ C- ~
8 p5 I1 B2 x/ C- }
$ ]5 A: V6 F/ K/ z$ z: v2 a9 Z- a! o% n 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ) u' ]! f0 [3 q
z- p: m/ Y B q8 K" U
2 A* x) [( ?. o- l" r7 @ 8 v; `6 x |) h
4 E2 j: U$ z+ S
" N( ~3 v$ H1 T8 g+ x1 Z 3 G& R) z: R8 _/ k
# p* d+ g+ m1 A- R* p 无线or有线( X+ m/ h3 l$ K6 S0 L
- q1 r5 v, k& m6 K : _" v6 q% d; T. n. v" C
0 [1 }! N1 F7 g: u( o: k# ^( \ 0 ~1 x" i* a4 u' {) L0 J
) O3 L5 }4 G/ z) J9 C! V 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 7 ]) ^2 y+ |9 O" r5 _+ P+ o
7 w: H! m. b7 d7 Y
) H0 P6 k) s" `3 k( X" a 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ' S7 B9 e! G) W2 I( U% u
$ ~& r' H+ |$ _0 C% X
% I z2 d2 X1 c) f ) K8 @' p4 e' l: g) f( X) m9 Q. G
, H0 A. h& G( @9 f; t+ J
9 s8 f% m/ R! B( \ ; f# B: X, c5 D) C$ n
$ f- g8 Q' j5 L; y
# E: j& s% k. C7 o% f 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 $ o- N; y! ~8 W3 P: t Z: [
0 [3 M4 P. Y. E9 {% @. U$ [
7 p' D; Q9 s3 O: o, z, g- M- x/ W o . U' Z% _, Z7 j" B, i+ v
& U7 t+ \1 _+ f: P8 Q' L
# U0 |. Z( y; h: C/ k* x 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 7 I d- y4 G" s4 T" G% s
- c! }" O k$ i
: ^9 B: b: k* a. m# U4 @+ p $ m2 o" e, y2 t* a; O0 H
; F. \% m$ ~/ k( T) D
: X7 T! _$ a4 X9 q! E1 g( F6 Y 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ' |" u* T' i0 y+ T5 }$ c* J
/ @( E7 f/ T9 V' n
* m- V8 ]/ A# I. Z 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 5 H X8 a& y2 M0 p
) b+ r+ L6 |' e! A$ Q
9 p R- J8 m1 \. L% H; v 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 - S. A$ }) T( v; M* y0 S
7 h6 H3 ?/ o% V m& b
" T# m1 n6 C# m, m) [" `% e) d8 j 3 b7 K' x5 K: X6 K7 ~
& w( ^6 Z" C" N+ @ ~ 内网渗透0 ~ F& z3 i6 b6 P6 o# M
2 S5 l' |2 N* w' u( n7 R& g5 A ) k: {1 b* |6 F& G3 ~
( t$ S, j" C) y% g5 P( p; { 2 Z* Q% a7 I& X
: U) u7 o, w3 `6 m, U win下搭建cs和linux类似。 + i/ u& M9 Y9 `6 i* @
+ f( i! a/ r7 ]# H
" V( u8 z! u5 T( l
teamserver.bat + ip + 密码
- H* i( k$ `. d# q
9 y' T6 N7 T+ K
- D0 Q+ f5 D$ L4 \) b8 `! u * f; t, e! n8 ]0 a1 x
8 v- j6 ]$ k( `& D: U" d2 N; {+ E, x
( r2 o+ S) ^ W5 u fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） g. \, Z8 f7 k8 w
* }2 t, U _& [" r! d" |* q
6 t. ]7 e6 K6 K9 L / F0 E$ W% I+ P' m/ b- m
& a/ Q* V) m8 D" t5 g$ I8 Q
( v$ W; Z- r6 N6 ]. q, S! Z . E6 `8 [- [' Q& U& X
# p" e. {* L4 P& a# {% Z9 B5 h
7 k4 W, y% I0 o' U6 B" w 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
+ m+ I' e: v: F4 S, ?; W' t0 B) z- M
+ Q! G4 C9 B- L9 I" Z ! s- A2 a% B, y
* I- `; b) i/ P1 S2 P" P) h
7 j5 I) o! [- B+ Z / h/ b4 X; j. B/ e, c! \, X
7 A) g/ f, S6 u, H% J" {
8 p" G. I! S# F+ w2 c fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ! l: G0 c. I& T7 C n" r5 W
3 t" J: H6 T# }3 O& s& E8 L- N5 o
M& I" i( \: r+ A$ e PACS系统 % M* C0 Q7 e9 @3 f( V9 K
8 d3 e: f0 t/ Z% Y
% g% Z; b8 m o: D) U Z & T- j ]. `! e+ [/ e: g7 q
$ Q2 I% M2 a3 O& Z3 F
- B: H0 U: \) ^3 B W
- O6 C. N' J3 ?3 i5 `$ t
: U4 N& P0 d, g 0 X" h: C1 u4 e" X4 F f; k! ~
- H: ?4 i* d# }$ A
) @! h8 N% T5 O; c4 S. H HIS系统 & F8 D8 K. G* P1 R n# r
0 ?4 ]/ ]) q- A
* Z' s; N& ~% _: a5 U$ C9 B/ h - Q2 n7 ], U1 N
# |- W4 c5 {: G% w, S! Z
+ n6 ^8 L, Z! I 2 `1 m. c9 b9 b8 @+ Q$ b8 g
' m' A9 Q1 }( ^0 f
6 h1 N# W8 x$ h7 ^8 W 6 f! Q5 d1 r4 }
$ d5 Y8 C, |3 y
; f$ x6 D, \8 z8 c" ]1 j6 z 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 - K* f# d/ x! I+ A: w" e
& Q! J: U$ p5 ~! I% L+ `- ~
n9 h6 w' j8 j' E
+ k K$ O4 t( L; s: t3 H" b3 S& }
+ }2 g _) ]% r0 m: X3 l; a 4 i5 F) y+ O3 A# P
& \: _# I0 I3 x; i. P
v- X% \& O6 H 后话 $ X' O* ^- d, n2 U. V) X
- D. a) w7 ~1 C
! ?# F$ p6 m# g- k# a& g 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ' W* w3 Y% \% h9 [6 c
, G$ I# L: a; ^ w# p1 B7 ^
f8 K) x3 @+ i7 }, } % ~( c6 s, Y. T0 W
9 ^% P3 \$ L* Q , h+ U5 a* c6 ^- r+ T% {, O# b& O
, ?" q4 M5 Q4 r8 T ! k% M+ t8 I% n
# E/ V3 x+ j% a- [% ]. z 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 9 U( z- J$ s; R) U: }2 `
# E% J7 U- t$ D
/ ~- e5 ~" k; H J! U" K9 N: q " K T r2 O" j
" d1 A3 n P- l: B9 z; Q* y* p

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

# p* d+ g+ m1 A- R* p 无线or有线( X+ m/ h3 l$ K6 S0 L

& w( ^6 Z" C" N+ @ ~ 内网渗透0 ~ F& z3 i6 b6 P6 o# M