找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2361|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

! `+ {3 K) W* A) e& `: X4 X 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 3 r1 x9 l2 A8 A/ Z

- h% s$ p* }9 t

) V3 [& e6 s+ f& W7 b" P 众亦信安,中意你啊!
9 B* K0 z3 L2 V1 W% e% N9 d2 R
; V9 [5 ~) k c0 B0 j& q ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
, `$ W- {) y+ E+ h

3 T# B2 F$ N! t2 Z# Q

5 ]2 S+ q1 P3 d" |, \ ingFang SC,serif;"> # e; Z2 P* ?- V S+ u( u* `

# N2 M: a0 M% v/ S
# W, r" K+ @- v, i

+ f; V2 O; h+ Y; m 众亦信安 ( W/ X2 U% U1 l9 c J$ ^

( d* x7 h4 `; }3 _9 U7 y

" Q8 c7 u4 w' [0 q& l 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> , q4 n. N/ P/ y0 t( w; e$ M" P

: o+ b/ ~) n7 ^8 f; [/ v9 F

0 t8 u. o. m& X1 S4 n; S. h ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 0 Z6 e1 y A1 l$ g

( N2 e! t5 T R( m3 }% m- y% v

3 g5 T: S# G* M( o. y/ H 公众号ingFang SC,serif;"> S' }3 F2 z# g6 B

, T0 n: C) W; C

/ C$ l6 _5 o5 T- D) j
8 I* l0 F, o0 @! V- H* r" ^. b
7 [1 r2 G& e) ?; n
7 i& r/ `/ m3 Y

& [$ L- y! y2 h0 |& L( o
点不了吃亏,点不了上当,设置星标,方能无恙! 8 f w: ?# K$ d% |- E

$ t1 \% r% h' I g S ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  * F9 `- z0 ^9 F% N; _7 y

2 g: ]9 K) O. b z/ F7 e* F

$ @0 c3 C0 o0 _# }- W! ^7 W4 n9 S( ^! K 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 6 c% @) U5 C8 ?: h# ]

+ R1 ]5 D; e9 @2 W$ ?

9 G' ^( l. A( t   ' Z+ @) \6 J: }& U6 F. o6 i

$ \- W% Q! I9 ?. ?+ {4 }* U
$ x$ ?% _* B8 F9 L$ J , x9 U: q5 R2 s3 U

, G& V1 Y3 {& ?: o( C8 F2 T! l 无线or有线% ?+ G% C6 `. f

' N4 p& ~) {/ `& _4 o- d
) H3 G6 I! }- r. v" K* l! H: U; N2 i
3 M2 z4 Y$ f6 K% V2 e4 o $ ?9 b! O8 L9 ^

9 i, q% D# l) _! J 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 2 e* c# l* A1 n2 o4 M3 M0 X& Z$ {

: k ^; n, m& c6 x

" d! F; b$ W1 O 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 / d ?% o# T- \& N: x

! c) i+ ?/ S% T) M. v

( z4 N9 S: b- q6 `2 f) k% T; ~ vshapes= . O; U; _! S" {$ o9 z+ e

& u9 X: H, G* F8 r: ~8 R

( C% i2 L; V* ~0 a3 c9 n4 S) v& d vshapes= 9 J S* ?5 K% ?# z

; y& y5 t; v9 p) i9 q7 _; C' G' g

+ j' I5 {. E- T- o 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 $ X: i( y( U6 ^. v2 O% ~# |; F

% m+ l. [- [6 |1 P

/ F& a& i8 n( H: b2 a/ q vshapes= : r8 J# t* y" z" G/ R1 y. f* r H

/ D/ w, i- o- m4 r1 w- a

: t4 u7 F3 j v; o( i5 C! ?, G; c 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 " n' h" I5 z0 i) U4 m

' h3 r: p- J6 T! L

$ |) J0 D/ S2 S8 U& x, q3 ~* u vshapes= B* o6 Q) z T! c" c2 Y4 p. M3 k

) l. O+ p/ }8 ^8 z) k* Q

( @, o6 h+ G( }4 x Q' k 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 9 F8 E, t$ r8 b& E/ h! K

2 f3 o# a8 p7 B7 O) \5 G! e

# Z, P0 \4 r; a 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= : x! A/ v4 ]2 h

) f/ n% P; V& L0 y

; J$ R5 ?* M( V% R( h6 x9 S' y6 F( Y 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) , d, {/ \! U% I1 ^9 l% ^% V8 \( s5 g

# z. G5 r$ {- s1 m* A3 o
e6 w3 j7 P0 j; s - e6 ^6 F$ F' N9 {

3 O4 ^" i8 n& H2 L% o 内网渗透 z2 R3 ]9 O/ F2 B. \

7 G: V v* H1 @5 X/ A
. I) V2 W# r9 ~& C
- t4 H8 D0 F0 S9 U) H/ |, |6 E9 r # O* h$ u+ o3 G% i9 G% }' a

' i0 d1 V, n8 A0 s4 Y9 G3 g win下搭建cslinux类似。 9 P5 c7 ~" |' n8 I: M

! E0 D c6 e6 z6 j0 J, U
2 f8 [4 \+ b4 Z7 q4 Y" X( M
teamserver.bat + ip + 密码
5 W" H. v) A# {/ v
$ J& k8 `& V; d' ]+ k) j( b: E9 Z1 y

5 H5 {4 F& R! K( ^; D( M vshapes= 2 {, a( q2 p. b R' J+ I: c7 S6 T

5 r$ s1 p1 F0 E4 [/ ?) Q5 r2 K6 m" R

- L/ X" v3 r! J1 J' m fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) ) k* t/ f7 _' y

9 ~2 C1 S5 K- m1 G6 c4 M2 u' K+ P

7 s& h" s: F' `; q/ { vshapes= 3 s/ C/ C5 w( P; F& x" [

. w1 {5 w. T: z5 q/ f9 L7 e

* Y6 ?/ s) N$ i- J$ w0 Q; W. t vshapes= t6 |* z, _( U

3 U# _% `6 H v% b8 \' |+ U* \1 R

! j1 k0 T- N* a 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
6 G. D5 H& @8 ^& H
% r$ x% i% g9 J
7 x; z" _* e% s' ?2 O7 I$ X& \

* q& J: |+ | S# ^! b; }

' i! s7 K; V$ L5 T$ M vshapes= + [" B& b+ f/ u+ F, S

2 l7 E' B% p. R, p8 H7 m! V

6 _9 [1 I6 C" L5 u7 r8 {, H9 I& A: J1 Y fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 " K& B" K2 c% ]# r

4 d; T* |( ]: e

3 K' y( ~2 n6 h1 j5 o. T PACS系统 ) M- k# I2 I4 c4 K% J( a# j

1 h! e# ?1 T# X# g. e* r: F1 [

& ?1 Z# P. J; E4 { vshapes= ! t) {0 J/ r) Z

& s/ }% W: G# `5 w

5 d0 ^) d/ r# z' K9 l/ a vshapes=
1 F5 j+ ]" J! l' w; |
% e( Q# W3 f" S. K+ a. j# S1 W
5 Z, \& Z$ z. t6 L9 {9 O' [7 s- r

* q5 h/ @$ p* ~ l! m# _& S/ f

" S1 ~4 g% _& W% P( g9 I* i$ l+ [+ I. _ HIS系统 6 U* l# t. k, W, G; v$ F

6 @! ^" e. {9 ^8 ^

- r7 E C8 t. A/ Q9 l& h vshapes= / y/ {. n! Q0 @

# V+ O! x$ ~* p1 L+ o! o

% W# B+ a& X8 W: o! S% q   ( f4 p7 i; x% L z7 I- w

1 n. B3 W5 O: p( l5 z) \

/ p" m; V h5 u& @; [: w m vshapes= ; X x! |$ C5 i) J& [' c

) m) ~. d& q" W0 k& ^' @& z- U

) E9 ^& ^2 s5 q 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 / q) a( _! i1 y$ g& ~+ i

* X- N# E: A. E9 |

% ?/ I6 J9 x# S4 s0 P- p( w/ o
# O T6 R0 h7 m2 C8 Y
9 a0 P! p+ Q" @ K6 J4 t' }
5 G6 ]8 ~) X1 i; a

4 E1 A# L( n& D, y" `& S+ l

2 \+ s) c/ u1 P4 z- W1 z& `6 A f 后话 3 m. C& N9 D% T# E( x

0 Z( x- Y( J$ q' K# A* h

- P" x, h- |6 k. Q2 d; v9 W 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 - Y4 p$ w6 |- q' C' _* W9 H: n: n

% Y; d$ Y0 S% }: D- o0 \
! g. P% X0 c- `8 Z 8 N3 h- e: I4 W- |2 i
1 c% h+ x) }1 H
! X+ W6 \9 Y7 a; H9 z: T: `
: U# f* i T+ P5 }( p ; ~ D5 V0 ?9 k) H! Z; d, q

0 t# j3 f/ _7 g- p$ J$ P5 r 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 - K" o! q. @6 v: w, H

4 R. _3 q& C8 h" O% W: K

2 d; w3 s. g# u4 @5 D: N   5 ^$ H+ w+ i6 \% ]- m+ n% M

( g) ?, W) p0 _6 x; ]/ ~
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表