找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3245|回复: 0

记一次某医院渗透(近源)

[复制链接]
发表于 2024-3-1 20:15:03 | 显示全部楼层 |阅读模式

5 q W5 q! `! F 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 Z( [/ ]% m' H+ ^. L" B0 c- x# B

+ |* O0 S2 q) x

5 V, R `( E! M# f 众亦信安,中意你啊!
~1 h+ X, D N0 X! K8 I
9 V5 y/ j4 h, R! n% S3 n ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
5 o- _# q' t" U' U2 L

' y8 I* M# a' T g

) L! }" m9 y* ]) e ingFang SC,serif;">/ P$ {, [3 I4 [" S% m- d

1 C p% {$ z8 q! \) M* S
& f- H3 i" ^& r1 L; J0 N* u

( _% A1 Q6 s3 A 众亦信安 " b( S) e$ b' ]3 V$ u, A! D

: g8 m: [* V; N

) W& { C+ e0 Z 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ( E- a( |- F a( d+ d) `" ?

9 Z) v( c0 p# B; j2 ?# T

. D# G2 U4 H$ G* y5 t ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> + O0 e% V, e! Y. L [+ t

7 ]5 X9 Y' p) n

9 b' h; M# U3 V# Z& u4 a. V 公众号ingFang SC,serif;"> 8 k7 N# m( v5 k2 o+ E3 [% F

$ J% V$ i" f. z8 r

5 Y c# d% _1 R4 c" \
( q( z k+ Q) G2 V% ~( Q
- S; i. F5 O) _; n/ @: V
; B( O5 B6 }( t5 w

2 ]2 J8 n, D; m5 P$ _+ w0 ]5 R* j
点不了吃亏,点不了上当,设置星标,方能无恙! ! ^# ^# \, _; g( R

+ I# q* `9 b0 w% a) X D/ y/ N6 L2 f ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  " k5 l: Y% t! r9 C

0 `$ E/ l7 U9 `0 G6 J- } T

/ c' @, r Z6 T8 F3 c7 B$ u 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 ! l: [! V/ Y5 L8 {

/ u. Y8 a" V2 U2 l

, J! r8 h2 R. m$ }3 _ r   ! W" R# j7 q: N' s! [4 m5 [

( }% G) K7 b9 u+ F! e. Q
7 G2 _2 M6 H0 v+ K0 Y1 D) h 4 A! G7 m! @9 x

! `& c: B; s5 Q7 n0 v0 H0 ^ 无线or有线( J6 X3 j. n2 f- K" P

; r. H$ Q) t; w, W, Z. B
" x6 Z, A4 a4 \6 w1 Y
! W3 I' V) g/ y1 u J1 V 1 | a* D4 G, O1 P/ M

1 J/ t: z. C; g# E2 v 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 0 G. T6 J( Y/ Q1 u: `7 T

6 l: \3 S# R( u: S: Y9 Q f" v& ^

) _* n) s$ A. d! v 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 8 r4 V* \, \" ?' m; P

3 I- }1 C! G/ l$ M6 G% i

9 g3 N8 q, V7 u) \9 D7 \4 f, O vshapes= + H1 L2 ?( |, H( o* h

, B* D* E+ O& {; k

% x1 J7 ^% L! u# \& i4 J vshapes= & | l+ M4 J4 I7 O" e# A) @

. B$ S6 d( t* z

h0 A1 K/ E) N, q 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 / Y- g5 {5 c6 g0 o5 T

! `2 B6 Z' u% c2 m( L% v, Q% r7 D

% e& Y0 F; L; c, D6 | vshapes= ; W$ ?. c. R0 z# \

4 ?: ^# D$ y) ~6 n. c! s6 l$ k4 R4 c

. Q% |$ f: U0 U4 Y' q! J 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 + G+ p$ k- x) } i8 W W

2 w/ d0 L0 y( K7 N

7 a% J8 v( O: j9 X) R! a vshapes= 5 d0 w5 w+ S+ Q4 N

' n2 Z- i z; R

5 E8 D1 [- I2 ^: a1 a1 z7 i- b 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 3 R3 J5 d6 }5 G

2 L0 v8 e5 b/ ]5 s* V. f

; q1 A" C. C5 W- k0 L 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= " o6 }7 l. s' ^ k

- F8 b! g& D( \4 T/ h2 E, B

( _$ U Y1 z- ?. ?' ? 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) ; l# I1 j2 T2 j! a- P7 ^; A1 I

- J( ~; q1 Y, V) t* K- P' s
9 k, b2 E' A7 f& `4 k4 b % {+ N4 u$ n8 ]/ ^9 H; t

4 Q/ L3 X( `5 I8 b& a 内网渗透 ; }) g$ }' }; _7 v

4 ^: z7 y; G( |" N: H4 n
# v* q9 R! ]7 x9 p3 W+ _
3 w+ L* r/ L! D% B% N" f ) F1 x) d, n! a9 A% P- _5 y

: v' U4 n' H, t0 K* G1 F9 y1 m win下搭建cslinux类似。 ) U1 D+ R: I0 A$ H, e

, Y5 g/ W* u. y% W8 Y
* ^3 s1 s: A- `: {* N% ~5 e
teamserver.bat + ip + 密码
/ f8 @9 ^% x5 I" _+ e3 I4 r
- C6 z" p' P, U( B; e$ \

( G. G/ d; }: `7 h! q vshapes= 1 k$ m% @, B, u* a. e! |- \( z5 P

: k! {! l: A5 k6 _- Q! X( e

! ~+ E5 ~! {; ^. s$ f fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) 9 J0 ~) [% V4 M* a u- u- K8 o( F

/ r+ X, J+ J4 s

& e8 ?+ @; J3 \8 U! S; J4 T h vshapes= 8 I; E# ~( l) w. |! ?3 b$ e, I* }" S

6 \' I8 `- ]' c8 ]

: y2 L$ d1 r( D/ A% q; ] vshapes= ' K5 u8 S4 s" o' K; x

& k# X; g/ e: W7 t- w

2 ^) \: ~" B: K' r 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
# d: B8 e7 y! Z, W1 ^
- ~- H$ \" ^# N' T( m
& X) R# Z8 N ^ ^" l( D

2 q* K$ T' A, K* L& U$ {

: m* x1 K+ M# D vshapes= ! N1 [6 v! r; }- Y3 K% D

1 R# Y( _& s2 D, a t

+ a! I/ h1 I: H/ {( @ fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 & X0 C) l# w7 R& ]) j

( [( w: H ~+ ]* W! G

$ s; [5 n5 y! ~. m4 t PACS系统 4 X' e6 a. ` \& o# d

1 E: i/ i4 e' \

7 c' g9 W; d7 u9 c. h' W- j vshapes= 8 g; j7 F" k# H8 K$ W) @' V

/ Y- L( b: V3 F# K; \& D( m- A

; o8 c9 }% c9 {" e+ g. s5 ?: o vshapes=
: y- b, a7 ]: `1 J( N
* W) C' C: \9 s
8 [5 y! |; \+ K6 b1 \4 V4 m

+ r3 _0 A# I6 K# R+ r

4 i( G* m; K% A% Y HIS系统 8 M8 w! ^0 d8 R8 D

9 Z$ Q5 w4 C3 j0 Q

2 ?$ Q: ?3 b( ]/ B# j vshapes= ; C E$ Z; {# k

# x7 k0 F6 M) [) ~+ z

; f7 i5 ~$ e/ _7 q9 a8 P- j   - P, ?3 h) v4 m" w3 {$ D u2 s/ ^

4 R( H! f& h* Q/ G( H

J$ _. q- S1 w$ p/ S" A vshapes= ' u s+ F6 Q( X0 y

9 B; u; |) Z2 q3 a$ D

1 i; I& y8 E( I( V* K( _ 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 . V. Q1 f! M. Z

$ H+ O8 D4 p/ k0 k+ Z2 r; h/ Q$ N4 G9 X

8 i" _) R( _: c! E9 J6 Z; u
0 a8 S: U0 M0 Y
/ u" a! s0 I7 {1 [7 _" S
1 A7 O: ]( A6 U" z0 u

1 T% Z& d: s0 c; {3 L) n4 S; \

6 @9 d6 U! g5 @0 F 后话 ; ~6 j5 V; Z& K/ j& D

+ b4 D8 r7 u/ |: C5 ~& z

1 K* B# F* S* k 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 3 O0 W' s7 \* |: Z; e2 A W3 H

2 E6 C4 W& Q& g) t
: ^% K2 J3 y* m- ?+ l- m / G3 q4 Y* ?, x) {+ \8 J" `! g- O
3 V/ L W" B6 A' E, f# i n# b
: o: L- b$ |& m' ?
% h/ D* N6 e0 g9 O7 G1 {% U ' q/ x6 a7 c* X. f

/ e+ j2 Q3 H/ _6 a 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 + Q- {, i2 |! C( T2 Q) F+ {

3 k8 C# a0 L! n6 C5 r3 M" q

/ L! S" U/ W! V+ A   # d7 q2 I, u1 P# t+ G; }8 X& s

+ {. _0 X5 D e3 B1 H) i2 z
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表