记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

# x+ I0 e$ x7 `! {% }: A! ] 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ! H A' H% Q" `

5 ~; \) ~+ z6 [1 I: E 众亦信安，中意你啊！
1 J/ c2 V+ |2 W9 A
/ G& ?; @+ [3 a' P ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ' N1 `) ~; k- q3 G

: N0 z9 @7 R! x9 v5 n ingFang SC,serif;"> . R! Z* e, V" Z5 N, v- }+ r/ I

4 T0 E. Q4 h9 [
# O6 ~3 f- a* v 众亦信安 ! Q0 S. ?5 j1 d! c2 k# I
$ `( w+ }' N0 v; D" c
# E, y. d4 [( e8 K; \: j' Y 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> - W2 u# R1 W+ L
* @2 `' U' D$ f/ e
" q5 E1 d- z; c ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 0 F% ^6 o' `0 E& M6 H
+ Y( x3 B$ K+ `9 C6 m
! h, {8 x- w' _ Z, ]1 d+ c 公众号ingFang SC,serif;"> 2 |8 p2 j3 U( ]2 g
6 ~8 y1 y9 k* f- `' j
1 l+ z3 F' S5 `& n
8 w* u9 u( K! {) G5 j. ` }# @* M
* p- B" b8 l- K" } * @) [8 t3 R" u" F$ g P c
7 c: l0 J& k% ]( e. Z5 ^4 {
点不了吃亏，点不了上当，设置星标，方能无恙！ ( T. t6 ]. i' @5 [7 z& A! j, o
% Q" v G9 t( B; I) }$ D ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> _7 H/ T! B, b2 z
4 v0 S+ V! x% M# q; o$ ]* x
* c' n9 x1 l7 K! f. {0 [ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 * {8 }- o; `- ~$ v$ b
' @" z" u4 }) E1 N- b" l) `
C/ i! N2 P2 M5 Q- f F 7 P3 {+ O! ~: n
+ f7 |* w: c5 P3 ^+ y
* G" q$ e( T+ D( k3 e) p0 J+ [. r / r3 e* d4 q# \6 ~7 a& j. q! t
8 W% A2 a! p, Y2 I& h 无线or有线 # n8 n d4 ^" K+ F
; U9 d& ]5 G; Y4 D- f6 R 0 i' x! k1 H$ n+ U& c( h
6 C6 j6 D r4 x( l, H! D, `) F ( h. [ T+ Y' Y* d; H% i
( ~; D2 f3 V( G Z3 [, ]$ ` 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ' `) B* P* X& R( n: u
% T6 o% S& U9 ` O
* P5 {$ C; y" ?0 U' g! l 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 1 |) ]: p: L/ ^6 c5 A) h
) B* b' |. v- w, Z8 g
% L5 S9 T' k/ ]7 ?+ `% O8 L 7 Y9 p+ X" t$ \3 z3 T7 k
. d4 g. d) ?* J* M! T f
+ W, G+ M9 D+ Q, d7 K9 x3 T5 s ( B6 ]6 q+ J4 L/ i2 d0 T
5 D. {; a3 Z, E+ E
1 j/ h* k; i3 F) }# T 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 $ a- m* }) O# W4 k
7 m4 h' o* @8 P' D, }, y; U
( t+ w8 a# ?- M2 Q w' u 6 v: y' E. t/ S1 Z7 }4 |0 y
# X' j( E8 t b8 m
" Y: | O& r% K- @: n 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） * v$ B0 n& R5 {2 S2 f
) { y- J5 {7 N P5 i: @, K
# N' r6 t. Y5 u( w1 H $ n4 {% p4 G. E3 v7 y# n
" L. n1 M# y! X4 _4 ]$ Y: {5 e7 r
. I( U& G& g) v& {7 L+ [ 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 / B3 z; s; j% J# u) k$ F1 p
e. c: r+ S s# [3 ]
# h9 Y5 p2 u# f, e& @! N 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 % E/ j: A. \8 s \
6 G# V# x0 r* Z3 S5 r
P3 K/ |7 b' ]# q* e/ m# u7 W! p+ B; M 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 + V( { g' [4 A! S2 }& _+ `* f: B
. [' T# |5 d# r1 U/ a) B% V
+ E" S ^+ V0 X+ A {) C7 u( _5 l* ^4 E3 n
5 U; G( {: w. { 内网渗透 6 J; j5 W/ g: D0 V
7 B1 M2 v7 Y2 A+ R 0 C9 \! {! R$ z/ ~! }# d( Z
2 h* p9 ]* P( O8 ~5 m# @) l% o 3 F2 T6 _* v: I8 {7 u) {/ ^
/ R4 A' g9 `# [% r. n% u6 s win下搭建cs和linux类似。 * a; W/ V& F0 I$ S( q$ |1 c' p F: b
" D8 Q6 @- \2 H! l1 Y( Q) \
& x# J$ v. |% H' D6 ~
teamserver.bat + ip + 密码
8 r% [: Y$ t h- Z L1 ~2 h
! n3 j9 l3 w. G, ~, l1 X
0 M) `- L" l) W4 A; X$ k ) C5 }$ `" o% X; O' y- g
* T3 K7 \2 |* }: U
1 o) a! h* O m# x8 q fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ; _7 ]/ x, x, I" H8 l: @7 Q* O
) C8 W" K" t. ^" y; @% M7 w
6 `$ c1 l4 @! e ; J6 l3 U5 I5 B1 f
0 k+ E+ B9 [5 q3 p2 s
: @% M( ]' t5 A, K& F! ~1 N3 K* R, L % `. f5 e5 \9 a" W- `6 L
5 `& S; e8 W4 t0 t* f2 o% s" H
2 U7 h" q: @ ?5 ~2 A" E8 |0 K* [ 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
8 S7 F/ P( `" X4 ]- b* `! C
" v; s& a1 M9 v. d2 ^5 o, a $ j% I7 v4 w% `! D
. }$ }* f$ }2 D$ N$ D
$ t; Y' E$ g k 7 q9 z2 S# [. q) @
( b% L v' h0 [# x8 ^
4 t) e4 n9 }/ E i1 W8 b fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ' ~, F! H; u; Q9 D( P2 ~4 j
/ M: K7 @6 A* A& d3 W5 @
& P4 a3 p1 n+ d3 R. Q! P+ G PACS系统 4 l; _/ F- `* `; C* S* f Q# y
# J* d$ W1 o- T, u- ~5 }
9 M; y/ @, V% i+ ?! ?! I { - f8 v6 M5 Z2 ]' G7 N& ~0 f
?$ t4 M E$ }- o; \" G: K
. E9 i# Y: J# t( g4 |& Z* s
8 k- ]6 F) M! }7 x3 t0 F
1 I8 B# r# d# w4 M K + E& v. l3 P& J# X6 q/ ?6 U- P* ~: m
# A- v ^$ Z4 o" s
" g; O5 s( i) w. X3 i HIS系统 1 f5 b h% T( G2 N' F8 X; d/ ]
4 D/ | Y% b3 T6 s9 ?: V/ x
; x' W" q; i7 S6 ]/ s ! x# T: e7 [: @7 L$ d
- G0 @4 x$ ?7 Y& ]7 C) d. R+ l6 L7 s
9 o- L4 J/ c" y2 M/ [) D- P! X * R+ l- U; O9 t, a4 g
! }0 Z k8 I" p3 y5 O6 w ]
9 p9 H, B! w) v/ |, T( y ! G$ a1 [6 U. ~! ~
. k; D6 Z1 B% X/ Y3 D. {
$ y% M! x2 s" R# j 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 * x. n" @( U/ V3 V8 B7 h% S
. t: p9 v3 w$ Q/ V+ x: e$ ~9 {4 Q
& m/ H" M5 d! o: R8 \1 y
% j2 N+ i9 C- u
3 i) f d4 c. I" o# e2 P , m S1 t# G, C
: K% a! z- S# q. e: j, A
3 [$ n3 P( `) @: y3 e' x' G/ [) d 后话 + L/ ^+ A; h! ?& J! ~' O: P9 \8 S
7 \# o$ f1 ~3 X* T7 ~( e
' I) _/ g$ c. E/ q; t1 N5 ? 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 - Y2 J+ c1 O1 ^
R$ R7 I# K6 G6 o* W2 v- A/ I
$ R" D8 D5 M& i, r* e! h" U . r7 w) L* j( G9 A$ b/ v* J
) e2 u; L5 M$ ^- i& } ! l7 u+ \6 d8 L R0 W! _$ W: P) x
, m5 D: L+ e. k) [2 ~ 2 g0 e5 |8 |& [0 v/ m9 P4 H
1 ?; U4 k% E; q* p 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 . v8 W d$ C, x) i/ A5 W0 U. Z! G* Z
O$ b$ V2 J7 a/ L
3 p' O, [4 k% H- F, H5 J 1 K) W1 J) m ^9 Y- M, e) H
$ Q' x W. f4 z( }

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

8 W% A2 a! p, Y2 I& h 无线or有线 # n8 n d4 ^" K+ F

5 U; G( {: w. { 内网渗透 6 J; j5 W/ g: D0 V