记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

0 G; n( e# ^0 U% Y 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 1 a1 {- ?: {, X6 q5 @

0 u, Z$ r2 u. _' c, p/ \ 众亦信安，中意你啊！
0 Z! h/ e1 j9 E0 W! k% X
, m! A1 Y1 z0 C$ L5 M% XingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 7 ^9 d) ~0 w6 O) o' G/ g

+ p# L- o% D3 q) @" p J9 H4 [ ingFang SC,serif;">5 m) n$ ^# H; z/ k

- U4 p* H& }# A4 B
2 x/ ]. Y! t+ ~$ F& k, T# B( i 众亦信安 " m( M4 ~) @4 i. [
/ n( T8 Y4 N8 ?: K4 O. u
( ^( s! Q c( |9 h 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> . f8 H4 a6 q' C, k( I' U
2 A+ W- u. |; s# M
7 `& r+ ~" B; k( j+ p2 f; K ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ; \6 |, K6 @ }, i7 P4 s2 q* \
$ i3 C* N. @. G
) c1 A: n( z A5 c3 ^ 公众号ingFang SC,serif;"> 2 A8 w7 Y6 O+ W1 T
* ?" q5 W5 z3 H4 \: G
# R y/ B; t. k# H! H" Q3 f
/ C4 ~: |/ y! w7 |
& G# p( a2 F6 E0 u. ?0 B + k. i- m* Z* n" M3 L" `, u
5 t6 F) K: f9 k$ |) B D& I0 @
点不了吃亏，点不了上当，设置星标，方能无恙！ ! h! i" ~% w. f4 d0 o6 J1 x
9 o6 F& n! g. l! x ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ! _4 f4 g- f( S' d( N/ C
' ]1 z8 R4 X; n( t' P( ?6 P
3 A, t2 L2 ~ p8 n' _" w2 k 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 c: D! I" D$ B0 t6 s W
3 K. B, ~$ s2 ]* n, K
4 E0 g9 I! `+ y, F! c& n2 a6 M 5 `; B( v: o: w) _; M7 o
# p c9 ^# g. z- ?
! z G5 [* |6 @ - W. D% x' W/ {$ m4 q0 Q6 \
5 e/ T9 Y: r* z3 S b$ T2 B! M8 J 无线or有线 " Q- [4 K: ]+ r7 i5 S7 e
9 N0 ]3 k2 _, s3 D n. Y. [3 X* D( f6 f
! w2 _* L/ x& z4 i4 n5 Z- G/ v # ^+ b2 T6 _; A$ }
6 R0 W. l: r: @- U 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 % J( S2 ]2 J; O( s! A# C2 Q
! A% E- F$ M3 n8 v4 u
5 I+ ]# }% Z5 ?' | 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 , z0 }+ j* v( h/ f, _% R/ i) [4 `
4 N; r' S" M) C% |" I
# ?* {; t5 J/ L ' z* J3 v* K% S" V( {
% v8 r* a+ z# Z- R1 q
1 `1 G4 L8 j0 P; b; o + W* Q: [, t$ P9 G4 J
5 v( c4 c( T0 \% J0 Y' T
/ Y8 M" H! [! q 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ; K( c" z# c5 U& S
+ _0 }2 O6 [5 m2 W( S
! ~9 P8 S5 F# `- Q7 L5 k 7 v: L. a6 P7 |& r' g: ~
* r9 I; h8 q; S: w+ F! m+ g# |
7 t ]% T0 U U+ l. ?+ o 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 8 j6 @' c: H! e4 z$ W+ E. t! i9 w/ w
. M; l" T/ [! s S9 X
. V' j" e& D) C- k0 v # P3 U8 I5 X! Q% K
( l) r& M0 B a/ [) r8 V$ k% ]/ C- B
% G5 a# i# C9 [ 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 # R5 k: [8 a `
% P8 ?) {0 G. Z1 x% Y
) D7 P0 L- K; h ]7 c) _ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ' f; f$ D9 k% K6 d
: y$ \7 l2 m8 h
, _; G+ |9 l0 Y$ J! o 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 : n0 P; a& D4 N1 b
2 c$ P7 D! c' U5 O4 {! p3 z
2 n+ j/ R5 z7 }' C* ] 3 j* { A9 R$ R. x- B$ L9 U
% [" j$ d, q. W0 x3 m3 Z& z4 V% @ 内网渗透 " u4 D$ X$ z3 Z, b) a- m' y1 p) F
: F! x9 f7 W. M2 K ( y3 O/ a0 c0 C0 ?) N" j I
% R: a+ i E/ K9 X + g9 W Y( @4 A- I0 J. J
9 I2 ~" O% |) u* U0 J9 ?2 {& c win下搭建cs和linux类似。 0 T6 i' V5 F4 J g! ?
& A% k( b8 H$ ~5 |( |- F6 P
u) |* r, g, [5 W: ]) D
teamserver.bat + ip + 密码
9 r" Z" x- g" ]
# [) ]$ l1 M6 u
7 V, F) r& y! q; I/ A: C. {0 ^& E 3 s% G: B/ P4 Z2 C) r9 G9 j! @% Z
# J) i6 o c* v) I9 N
1 O! `" P4 r" B fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ) h$ m; a' v- C1 z" f6 `
6 B7 g" Q9 X; j# ?8 G
4 q2 I9 S4 {. p2 v! G 2 C( k1 m- O- a- ?: s
& Z( [/ x% s& M( P1 n/ F
8 G l$ A1 s3 J, ~8 J 6 g, B N5 C/ R! y$ o4 P
3 _5 p" T2 a1 p$ I p: F9 G
" q$ I6 h5 V* @ Q5 u$ |8 y$ o4 | 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
' D) A% @7 G) o! l
" i8 G% [8 |2 A8 N4 g6 x ( ~6 X! j E" b$ i. h$ i
5 P2 N/ o# Y2 I" C. U0 L9 W0 x* s
; O. x+ W% `' v3 J4 y! G ! R o3 d3 h& X2 U7 X% R
/ M$ i% H8 P, P3 q8 c
, R- T0 ~" {4 Q! z* @; f fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 : K, ?6 H7 Q3 [1 P( h
4 Z, ~3 Q1 B2 u8 E/ F7 R. s8 `; J7 C
. x* A, M2 G9 k. {# K, @* X- D: T f' m PACS系统 ; X! S/ V( S) {3 r
% @3 u. q7 I$ v3 ?7 H2 l- [
' i2 P* u$ s& }) T6 s ' {8 I( g8 S5 K
2 o. f' J5 w/ u( r) w3 G7 ~
9 Q* H" \4 I$ N6 X# U1 K& J
* z$ ~, T( N5 Z- `
' W# D6 K* H4 i4 Y7 m* `. B ' ?8 [* K1 C- A
5 j2 R, M1 @, z) p I, M8 m5 B
9 v; S" h5 @ i6 W, @ HIS系统 9 u, P% g# }; \; o4 }$ ^! C
& u. u8 q, B4 ?$ N8 V8 [& |
, i" J, x; i7 A! L! U9 }: |9 ?' { 6 J9 C: Q; }- X+ i0 N
/ o* Y6 E2 }" g- U4 Y
I1 o- R4 s" Y. L- e ( `0 W, G; f- p3 P/ t1 o
) U1 s. x2 p4 F/ m" N
) K5 i2 ]# `* U; L! o& {/ Q M! r9 d g- C- Z/ A* E: |# j
- v/ Y* R7 d- ~
) m% L# P* w! G/ Y( f 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ' i& o) z+ V+ W! C" s" W- u5 }
& e- S( l, U% L/ S/ U! k! V7 D4 M# c
! ^+ R r2 Y0 Z. E) H, s! G
$ e" i! a( z* v& y0 L2 u g
2 A7 W( A, o3 b # y) e' k; }7 g5 S( O0 `* D) b, a
x' Z+ _3 x1 c/ @/ Z
: O8 v2 u/ ~: S1 W- v; `1 S8 s 后话 $ ]3 X% l" U- E" r5 l8 F5 S
1 t6 m5 P' Y9 g0 v+ V- ~4 c
# L2 W, f6 V: m$ s4 F: Y 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 2 V! {! e$ C+ X6 ^1 @$ c- O
' U l' n' Z$ a7 d1 v
M# { P/ M+ r) t* ` 0 h4 S Q; E/ Y# w
& I* K- S o- o$ i$ a2 \3 } + x6 T& N2 ]0 b, V
( X o8 @: h9 N / x7 E, U- r: w, d8 A* N! G
- W7 s1 B9 d7 @, A 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 2 z$ H' K/ o G+ H4 r, S z- P3 S
/ s+ R. a9 l& O( I
; r3 R# z) K c' ^ + j8 K" ]3 \+ N
- b& m! N3 U; t( F9 N