记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

! `+ {3 K) W* A) e& `: X4 X 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 3 r1 x9 l2 A8 A/ Z

) V3 [& e6 s+ f& W7 b" P 众亦信安，中意你啊！
9 B* K0 z3 L2 V1 W% e% N9 d2 R
; V9 [5 ~) k c0 B0 j& q ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> , `$ W- {) y+ E+ h

5 ]2 S+ q1 P3 d" |, \ ingFang SC,serif;"> # e; Z2 P* ?- V S+ u( u* `

# W, r" K+ @- v, i
+ f; V2 O; h+ Y; m 众亦信安 ( W/ X2 U% U1 l9 c J$ ^
( d* x7 h4 `; }3 _9 U7 y
" Q8 c7 u4 w' [0 q& l 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> , q4 n. N/ P/ y0 t( w; e$ M" P
: o+ b/ ~) n7 ^8 f; [/ v9 F
0 t8 u. o. m& X1 S4 n; S. h ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 0 Z6 e1 y A1 l$ g
( N2 e! t5 T R( m3 }% m- y% v
3 g5 T: S# G* M( o. y/ H 公众号ingFang SC,serif;"> S' }3 F2 z# g6 B
, T0 n: C) W; C
/ C$ l6 _5 o5 T- D) j
8 I* l0 F, o0 @! V- H* r" ^. b
7 [1 r2 G& e) ?; n7 i& r/ `/ m3 Y
& [$ L- y! y2 h0 |& L( o
点不了吃亏，点不了上当，设置星标，方能无恙！ 8 f w: ?# K$ d% |- E
$ t1 \% r% h' I g S ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> * F9 `- z0 ^9 F% N; _7 y
2 g: ]9 K) O. b z/ F7 e* F
$ @0 c3 C0 o0 _# }- W! ^7 W4 n9 S( ^! K 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 6 c% @) U5 C8 ?: h# ]
+ R1 ]5 D; e9 @2 W$ ?
9 G' ^( l. A( t ' Z+ @) \6 J: }& U6 F. o6 i
$ \- W% Q! I9 ?. ?+ {4 }* U
$ x$ ?% _* B8 F9 L$ J , x9 U: q5 R2 s3 U
, G& V1 Y3 {& ?: o( C8 F2 T! l 无线or有线% ?+ G% C6 `. f
' N4 p& ~) {/ `& _4 o- d ) H3 G6 I! }- r. v" K* l! H: U; N2 i
3 M2 z4 Y$ f6 K% V2 e4 o $ ?9 b! O8 L9 ^
9 i, q% D# l) _! J 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 2 e* c# l* A1 n2 o4 M3 M0 X& Z$ {
: k ^; n, m& c6 x
" d! F; b$ W1 O 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 / d ?% o# T- \& N: x
! c) i+ ?/ S% T) M. v
( z4 N9 S: b- q6 `2 f) k% T; ~ . O; U; _! S" {$ o9 z+ e
& u9 X: H, G* F8 r: ~8 R
( C% i2 L; V* ~0 a3 c9 n4 S) v& d 9 J S* ?5 K% ?# z
; y& y5 t; v9 p) i9 q7 _; C' G' g
+ j' I5 {. E- T- o 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 $ X: i( y( U6 ^. v2 O% ~# |; F
% m+ l. [- [6 |1 P
/ F& a& i8 n( H: b2 a/ q : r8 J# t* y" z" G/ R1 y. f* r H
/ D/ w, i- o- m4 r1 w- a
: t4 u7 F3 j v; o( i5 C! ?, G; c 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） " n' h" I5 z0 i) U4 m
' h3 r: p- J6 T! L
$ |) J0 D/ S2 S8 U& x, q3 ~* u B* o6 Q) z T! c" c2 Y4 p. M3 k
) l. O+ p/ }8 ^8 z) k* Q
( @, o6 h+ G( }4 x Q' k 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 9 F8 E, t$ r8 b& E/ h! K
2 f3 o# a8 p7 B7 O) \5 G! e
# Z, P0 \4 r; a 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 : x! A/ v4 ]2 h
) f/ n% P; V& L0 y
; J$ R5 ?* M( V% R( h6 x9 S' y6 F( Y 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 , d, {/ \! U% I1 ^9 l% ^% V8 \( s5 g
# z. G5 r$ {- s1 m* A3 o
e6 w3 j7 P0 j; s - e6 ^6 F$ F' N9 {
3 O4 ^" i8 n& H2 L% o 内网渗透 z2 R3 ]9 O/ F2 B. \
7 G: V v* H1 @5 X/ A . I) V2 W# r9 ~& C
- t4 H8 D0 F0 S9 U) H/ |, |6 E9 r # O* h$ u+ o3 G% i9 G% }' a
' i0 d1 V, n8 A0 s4 Y9 G3 g win下搭建cs和linux类似。 9 P5 c7 ~" |' n8 I: M
! E0 D c6 e6 z6 j0 J, U
2 f8 [4 \+ b4 Z7 q4 Y" X( M
teamserver.bat + ip + 密码
5 W" H. v) A# {/ v
$ J& k8 `& V; d' ]+ k) j( b: E9 Z1 y
5 H5 {4 F& R! K( ^; D( M 2 {, a( q2 p. b R' J+ I: c7 S6 T
5 r$ s1 p1 F0 E4 [/ ?) Q5 r2 K6 m" R
- L/ X" v3 r! J1 J' m fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ) k* t/ f7 _' y
9 ~2 C1 S5 K- m1 G6 c4 M2 u' K+ P
7 s& h" s: F' `; q/ { 3 s/ C/ C5 w( P; F& x" [
. w1 {5 w. T: z5 q/ f9 L7 e
* Y6 ?/ s) N$ i- J$ w0 Q; W. t t6 |* z, _( U
3 U# _% `6 H v% b8 \' |+ U* \1 R
! j1 k0 T- N* a 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
6 G. D5 H& @8 ^& H
% r$ x% i% g9 J 7 x; z" _* e% s' ?2 O7 I$ X& \
* q& J: |+ | S# ^! b; }
' i! s7 K; V$ L5 T$ M + [" B& b+ f/ u+ F, S
2 l7 E' B% p. R, p8 H7 m! V
6 _9 [1 I6 C" L5 u7 r8 {, H9 I& A: J1 Y fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 " K& B" K2 c% ]# r
4 d; T* |( ]: e
3 K' y( ~2 n6 h1 j5 o. T PACS系统 ) M- k# I2 I4 c4 K% J( a# j
1 h! e# ?1 T# X# g. e* r: F1 [
& ?1 Z# P. J; E4 { ! t) {0 J/ r) Z
& s/ }% W: G# `5 w
5 d0 ^) d/ r# z' K9 l/ a
1 F5 j+ ]" J! l' w; |
% e( Q# W3 f" S. K+ a. j# S1 W 5 Z, \& Z$ z. t6 L9 {9 O' [7 s- r
* q5 h/ @$ p* ~ l! m# _& S/ f
" S1 ~4 g% _& W% P( g9 I* i$ l+ [+ I. _ HIS系统 6 U* l# t. k, W, G; v$ F
6 @! ^" e. {9 ^8 ^
- r7 E C8 t. A/ Q9 l& h / y/ {. n! Q0 @
# V+ O! x$ ~* p1 L+ o! o
% W# B+ a& X8 W: o! S% q ( f4 p7 i; x% L z7 I- w
1 n. B3 W5 O: p( l5 z) \
/ p" m; V h5 u& @; [: w m ; X x! |$ C5 i) J& [' c
) m) ~. d& q" W0 k& ^' @& z- U
) E9 ^& ^2 s5 q 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 / q) a( _! i1 y$ g& ~+ i
* X- N# E: A. E9 |
% ?/ I6 J9 x# S4 s0 P- p( w/ o
# O T6 R0 h7 m2 C8 Y
9 a0 P! p+ Q" @ K6 J4 t' } 5 G6 ]8 ~) X1 i; a
4 E1 A# L( n& D, y" `& S+ l
2 \+ s) c/ u1 P4 z- W1 z& `6 A f 后话 3 m. C& N9 D% T# E( x
0 Z( x- Y( J$ q' K# A* h
- P" x, h- |6 k. Q2 d; v9 W 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 - Y4 p$ w6 |- q' C' _* W9 H: n: n
% Y; d$ Y0 S% }: D- o0 \
! g. P% X0 c- `8 Z 8 N3 h- e: I4 W- |2 i
1 c% h+ x) }1 H ! X+ W6 \9 Y7 a; H9 z: T: `
: U# f* i T+ P5 }( p ; ~ D5 V0 ?9 k) H! Z; d, q
0 t# j3 f/ _7 g- p$ J$ P5 r 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 - K" o! q. @6 v: w, H
4 R. _3 q& C8 h" O% W: K
2 d; w3 s. g# u4 @5 D: N 5 ^$ H+ w+ i6 \% ]- m+ n% M
( g) ?, W) p0 _6 x; ]/ ~