记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

4 r1 R. u" W/ s' l* c" w: k 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 . y L+ ?) q, i( I7 Z' p0 u

# R$ ~& Q4 b. q/ X7 O 众亦信安，中意你啊！
3 g" @3 x, u2 k0 v8 |. m
0 A" f0 o, m" U- ringFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 o- q8 A$ x; g# e' d

7 ~; }4 q8 p6 ?& @ a4 ~; y, J, N ingFang SC,serif;"> 6 s& D$ D- H' }& \2 |) l: n

/ S) t' I+ i a8 i
" \5 U% Q- S( `& y 众亦信安 2 q8 M" _+ F, L* ~' R
7 v, Y; D ~/ `% o M
" S: c. L0 m* s$ b9 G6 ~0 D. _$ | 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> : {# y# \' |# z, p% d) O
; O) j) d9 P" z7 Y# u, G j+ V
0 w: `- A+ B! d7 u3 ~* F3 a3 h6 | ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ) @' O3 K; Z( u# h6 c6 l
1 Y1 z+ A1 j/ D2 R3 F0 ?6 k
+ D; P2 J5 Z; w* _ 公众号ingFang SC,serif;"> ( |2 P$ n: s' @$ W I' q
, N9 V$ f4 V, z) B8 v
2 d. S# [; e. l
) V0 b8 s4 D) S4 z% B
1 i c- V* c# [1 t) e6 T3 Y R . N/ S% s( f$ B- f8 F* [* s Y) Q
# f) [! X0 X& N6 E" o
点不了吃亏，点不了上当，设置星标，方能无恙！ / P" ~% m$ s# f4 B! @9 j* t1 a2 s
2 J* x# l6 w( ` ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> : t1 }* G) }) _
% g/ `; q# ]+ |( M
: b5 u. K! T! L3 Z, U; q9 { 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 1 v/ E" {! v i! a
6 E& U5 n: W6 Y7 z) W
. d5 l1 F0 [0 ]( ] " g& M% H& _; b4 [
$ ?# O1 f- F! M( l
5 I2 t2 Y7 ?. U* G0 e9 a8 D 6 h; y1 q8 M2 _" g" J' r
" ]" `) z3 H9 s- H$ @; s 无线or有线! {. n9 e. r- {: G3 B) j9 o! h' c- d
" a# G/ g2 l6 ^9 [: }9 y * S8 ] m3 `7 G0 x- y* r
) C- O. K8 ~3 x0 S/ I ! E, ?; U4 ~" y) v9 n5 e
- G4 a# g$ @( o 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 & F& W4 x8 T# X I- r5 i
" V# _8 {" H1 s- c
% ]1 g% g6 H; a8 V' V# o+ A) [ 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 % W/ d6 E3 n* _1 k7 T
4 b1 R# ~# N1 X9 o
+ h8 r2 l# o6 K, |; g 4 W2 _% `" t4 O5 z( f4 u o$ v
$ h3 @8 I& L, U4 |/ G# ]
3 a/ G' u5 Z0 l, U4 D 6 j: u- G7 [8 x: n( u, m3 f: r
$ @# l4 Z2 T4 n* k! n9 c
' P9 Q# B* Y1 t3 ?2 c+ X+ `' u 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 M! Q! y# }) m3 } @- m- I" Y
0 E- r5 ~1 P' n0 y; n' B
9 C9 I8 D/ E) O5 h 5 s/ m% G3 L& q% |0 V% D+ [5 B$ f
# Q1 f0 m- |' D* l; E
& i) N; E% p. M F" J9 \ 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） + S2 a' M9 f- l M% |
2 B' ~2 }1 O% Z. S
! |, ?: Z: c6 V3 e) _$ u3 f* { W / D0 Y5 i& S, s. V. s
- B3 ?7 y; j6 R2 }9 k- L/ E
/ f, c" W2 R5 a1 I! \* L" O& E 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 $ }9 m" O; @- }' T
& M- b. l+ c$ z$ l
/ S6 m8 f; i* }' t; f; R/ r0 Y 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 5 s4 `# d2 ~9 Z! [3 p
" a) E! E |& g# ]
; |. m V5 v' U! N( f 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ) V! s; b. x9 a
, D1 j1 Z8 `3 G) u
' l- I' F' I; r" L( \% x + P' D/ n8 @9 ]: E* g; i% N
3 d9 `0 E: b) N3 f7 Z k: p: R! G 内网渗透 # X8 g0 M) c) f& H8 d9 @
, D6 a Q! v* A & w/ x; H5 L# i$ R9 W( f
# @% H ]3 m. T5 I6 g! m : k& J. e R8 U
) N( |) V0 G7 g win下搭建cs和linux类似。 3 Q. r$ B& I% ]" N3 K) s) g5 U
& d: K/ k1 r# W& L& E, W, Y4 |% @! B% O
' U! h" B! x, b4 T) l9 ^
teamserver.bat + ip + 密码
$ [* [8 B) ^ p1 ~
x. j/ F5 T" w7 m: F2 ^
2 i/ a2 |% p+ v n ; G# K8 w6 D# f+ n
7 T' K! C- c) |' }
2 H( y X% A1 `6 a; \( l fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 3 M' F- S/ W( X! c" Q8 j
9 H2 f) y0 W8 R7 s
! d f6 v+ D* V& F, A ' M4 H, X( S4 V! c1 p
e( D3 [- f: h. |5 Q
2 Y: L( D2 h! U1 f: J$ v2 p( T - Q$ P, T7 S! B
; _2 G6 f( W, J
6 h2 u1 k& n( b8 l 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
( j( c4 T$ G8 o5 {" h0 U
1 G# \( E8 m) m& E9 T0 t2 g. U 4 g$ W, b. x0 {( _6 q, X" g8 b/ } |
. N5 _, C* b/ c H4 u
5 c+ J+ a/ }% w8 F 4 ?1 t: }% F7 u( s' O9 Z5 p
3 Y9 n# u6 z# E" ~/ s, I8 H
8 O6 d9 a$ w$ w. l; l5 U. b fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 # e& T) q% u: ^) K! a2 c
. ^9 P: q% u0 U. \6 }+ f. }
7 @" f9 Z2 m" r* s* K- t U9 y8 ~ PACS系统 + ] f0 _. G; D
2 D! J$ V. X' N f
" T9 F2 t$ i: z% @) Y ! U- F' A2 s3 ]: p
% u. x/ H% V# V/ \: W9 f6 s
& Z4 z9 r% a3 C
6 [, x8 y% t! a0 Z" h! h* F
1 f/ R" R6 S4 ]" b ( r& E6 T& V6 W4 [3 M( {2 |3 ?
' \$ Q$ A: a& M% C# o* k/ R! \
, P( S, s1 n! p6 ~, E- S HIS系统 * e( t8 s0 c% C: n4 C
) _1 a" i! K0 ^! n
( `4 ^, R1 D) [ 7 A+ B) q4 q- z+ u
8 C/ G& g7 O \9 C
3 ]) z, m7 x2 A ; c6 k2 f: C# \- Z6 }( H
+ y+ [) d- F/ A
0 \4 X/ ~. _- [. N5 a& r9 U" J : N; E1 e- t( e; G0 B( P3 y. S0 ~
7 X7 ~, b* i8 d9 {1 B
; T0 G. H) }0 h0 n% w# o9 W% \% \ 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ) Y# s! G6 T( V/ w& s5 V/ M5 f
+ a0 `7 [2 T( n d, z7 R
+ A! C9 ?; g- r6 h# w/ U& [
* s0 Y3 b4 o8 Z, A& S; j
0 y9 d. G2 D# ^4 K/ v5 J' Z / ^0 m* ?: @& _6 q- l1 ^& `
* [0 P, h" x0 Y! K/ V8 K
& ^) [7 R! y* ?1 @ 后话 5 a M# D8 p. d. k' w& v
9 }: J9 g" Y, x3 `
( T {5 E2 d( I: r( q7 r 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 * I: a# K5 f: E. E9 J! D
2 T3 ^/ z: M' t* [* {6 F% O
4 t' m3 |" P0 U# U; D* ]( A0 Z ) t i& \+ s' z1 b3 o* `
8 G+ B+ R% g/ T1 C! ] . C! L; b7 O3 Y! \1 a0 N
& I b1 M, c _ / e9 ~) p. L* {) g
" A1 L, y1 D8 I) c4 `+ { 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 % B, \3 f3 S Y
' J+ Y1 ~( B8 j$ P$ \) A9 S8 M
4 O$ h& j k R, @ ' o" v( b1 X; e! |
& B- L% ?* o/ i9 N6 c2 j* }2 v