找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1861|回复: 0

记一次某医院渗透(近源)

[复制链接]
发表于 2024-3-1 20:15:03 | 显示全部楼层 |阅读模式

* X, n4 A6 o2 U& G7 w 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 ) I# f- ~. q8 j5 j3 E/ F w2 T0 t; P

( X# Y+ ~3 R! K( B) n; U- m

9 [9 c- F; g( h, D7 O n( t 众亦信安,中意你啊!
7 j, W& `" [, c+ ]. f+ t& K# h
, {. N; T( T& [' s" Z ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
* [9 x$ o8 o$ M0 i- q- W

* ]3 F, h& x% J9 n. n- Z

* n$ f5 w6 V# E$ S$ S ingFang SC,serif;">7 K3 k% h+ X* p5 d

a7 m( ~+ Z3 e
2 H5 ?7 U+ r' w

* @ r0 Z# x. y$ L! V 众亦信安 : ?4 C. K( p/ Y& f- I1 S' J1 e

' k# X$ T3 B* [' t7 x H1 z

( N& H: l4 a+ K( f 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 7 t- l8 Z0 D- |5 r% e

0 ]0 ]: e7 c8 O9 v( j2 D

! X% h4 }5 d6 @ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ? v0 i8 ^) @% w% [# f

7 D( b7 ~; `% t* W2 {6 \8 h

* s( Q1 p ~% G/ t4 v; R# {0 X; S 公众号ingFang SC,serif;"> 5 F( f: E3 R9 K8 X" c* i0 j0 B/ M

' E7 m$ F1 S) j( T- `3 I

4 s8 p( ?' N9 y! T( h
, m! t' s: |3 P" X/ p1 z: O5 q! C( Y3 p
$ r$ @) N; F% I8 a+ i+ {6 f
2 h3 S% ?% B6 G( M. u

) t: P7 ~) w. w+ F* _3 `3 P. H
点不了吃亏,点不了上当,设置星标,方能无恙! 9 U3 x e+ `' E( l% z- \

; J/ U$ N# H6 \# U ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  8 B+ a$ W6 J' {# j

/ l1 e7 D0 F. A

# I- ]# x+ x+ V: h# W1 ]3 m 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 " Y3 v2 D- u4 F2 a$ ~/ @' b

9 E- g/ Z% Y5 Z2 I6 e |3 z

( }- y' \' w) s$ M' b& o   : |5 C+ y6 g) U9 C" r$ v" n( Z0 o

2 [* M9 r$ d. o# E5 ^5 e. \
' X' k; c) p) x5 U# ~. K ; m0 P7 \4 R- Y0 m; I0 [

2 p+ E$ a' |; t) f- d 无线or有线 & I" `6 \4 }$ {8 M. q7 a

% s! S. v5 D% J$ ~) o4 O
; ]( [* N- t$ T" @" } n6 M, V6 H
; _* J7 x7 p% {0 I3 c6 j - W4 C# Z4 {! L. T

2 ]$ o7 g$ H! Q$ e( `6 G' p 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 " q, Q. \; A; v2 z) A# S) j; s- P

; ~2 P9 K; W, j

1 \% {( |' o. {; X D6 l 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 0 [8 x3 f" G3 o; Y# v7 \" w: A3 K

1 e4 {. X* i& \; y

+ Y3 t! G3 i/ B, q vshapes= 3 G0 p6 g, k0 ]% d& [( U; j

! N# l. T2 ?9 Q7 w8 N

2 u; D1 d" S3 [, X6 I p9 Q vshapes= % ?+ Q9 A. K' u P3 t

- B, r& j+ s' _) t5 H9 A" T& k5 |

& k: i+ ^) O/ l7 y+ x 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 $ M! w% l3 G9 V1 f

+ q9 [6 {2 K0 L* B* u C5 T

( q- j2 s4 H. a vshapes= 4 D% _% I$ E7 D; T" }

) p" d* f5 U% B9 L g

& D6 M: G/ w! c+ R5 u4 z* `7 I 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 , a% r8 w4 A- S8 }7 j- S

7 _7 {; G+ k( R5 d

+ E, X' S; ]) ?: }3 F& Z1 X* } vshapes= 0 I2 O: u( }$ R& _$ i6 r& X; F$ P

: I! s' }" w6 j8 j9 ^

! }9 ^) l7 ^4 ^" M S9 R 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 a; m3 \( s7 N2 v' o) L

- B) W/ b/ @. [, D2 ]

- `4 A! J& w! r# Y 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= ; a+ W' K& t6 Y9 a/ s1 d/ u

+ c" M1 I# R- p! Y- {- k% k) r! Q

9 v9 K- U* i) |7 [7 Q 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) 1 g7 j6 d( S7 a& p

5 i: B: p& q/ `2 }7 g& S
/ C. m' t. |( _ " r3 w# \5 `5 x* t, m U/ A6 M; a

5 U3 O" |5 g5 ^8 w/ X. F; t ^ 内网渗透. D* @; p8 t$ u- O

+ _8 _: y# W; d8 Q* R
5 F) @" m. M2 E& r; m5 j
' a/ E" Q" B# b . Q' V; v2 Z! Q; B. s1 ^! ~& f6 o

% A% d. a5 I/ V, K* X: | win下搭建cslinux类似。 7 J2 v8 E/ n/ G5 T) I

. m* s- i7 A$ D. l4 Y
) P- N8 s7 o# c* A: I" \
teamserver.bat + ip + 密码
2 ^( w8 _$ y9 i+ N" J6 I
+ g, O9 O0 f8 z: d9 ?7 W

: ]# @* ]& E/ e8 H( H9 M$ [0 f5 L vshapes= 9 K& g1 f: k3 J; B, f+ H8 n9 l* N+ [- l

" a& S& e# @# i$ k* S- S; H b4 X

2 c4 x& j9 t" s3 w. u$ ? fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) . L& g4 {8 ~2 y$ b7 b- ]# u* r

, u5 @( j9 D5 @: R& h, U& _

' [6 R* s5 B- {* X& E vshapes= 1 P( C; P/ S0 C+ N: P7 Z% r

Z8 n; X% d* A; v

R7 M' d% a! @. o# H) @ vshapes= 5 H$ ^" m N/ ] F! Z

1 T; _, W b- _! ^ A

; q/ V5 L6 U* N( w 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
$ }* \( W; o0 z. f8 U0 d+ O4 x
" Y5 P/ H3 |. Y4 r9 w' [! [' _
: w' Y: |$ j( N8 k8 h& C1 e

8 N# n8 E a$ i: Q* U

, J B- ?6 e7 I vshapes= $ P ?8 B+ K' n3 ?$ s- w/ s

8 E7 m6 G2 w. e2 J, @3 j8 z

5 N6 d0 {; s) B1 a fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 # X$ A6 T0 q- a" J

5 _; V' h0 G, d. R

6 }1 k! @! e) H8 l; W5 l5 a6 n! q. j PACS系统 ; l. F4 @9 D6 O6 {

- L: q7 h) t4 s: @$ o$ r

) M. A" [9 b4 E- G' ?! I ] vshapes= . f, p! z7 l% }) H5 Q: w

7 R9 w* C7 h. K& Q

( D" @! s! P7 J, P vshapes=
' a# k2 f/ C" U: s2 B- S1 b, ^
. O" O- a1 s1 l$ I3 j9 `0 Y2 J
N2 ]4 D+ j5 [2 R

* i, A. i. g3 Y8 E, j: z/ l! J

+ h% O% {( g0 t/ J T HIS系统 3 l% G$ K' k7 ?6 |# b- {# `% U

; } Q' o* s& u8 R+ t; H

! P( W0 Q5 R- `8 W. B/ P vshapes= # F: `% a0 Z0 L4 W1 Y) E5 g

6 `0 p. P5 m: t* X9 o6 V

% L- A% \- h _) I9 ]% V   7 P1 C, y5 T2 s; `' |! Q; |

0 A) `; _9 F$ [1 w

8 n" w" H7 m5 R! u% a9 F3 Q vshapes= ; G( p, C5 [( d- q4 V6 j

2 _, ~5 r2 O$ G+ N

: E6 |) r$ G3 d, e3 v" Y 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 & o$ h8 B+ t; [2 U

y9 F: Z5 n' z9 A

7 f- V: a+ Y! s6 o) q3 y" ~
* r1 K0 e% {- M$ E4 x* B5 ]0 V
. _8 ]* p- ?& W9 h
7 }) N8 {, b2 L+ D

8 p( f& V4 o* b3 Z' S! B7 q

2 F \3 m0 _$ h2 o# U 后话 7 _: i& `, w" G( ` b) @

! l$ y+ g9 c% Y$ N3 w: I' G

2 X- f" }# e. ` `! p0 m 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 $ j, a; l4 }, o' u3 B( ^+ c# l- J

$ |1 n. h; J; l9 y, E p1 v
, H0 j+ \ ]; Y$ y' \5 n g" q 5 I7 m# p0 L, ^9 d% E) b. O
8 p: d: Q* J& n' s
/ i6 T4 j' k8 @2 o' ]
, c- i& ]: i# F% c4 P : B8 S9 ~2 k6 l, u4 i9 ~, e

" d2 a) _- n) p 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 , V6 N; d& j" ]7 R- W* `9 c* Q

- [3 d1 I1 I2 b. |

: E/ R, l! ~" {0 W0 j   $ S5 j ?2 |( k2 N! T& h; p/ m+ z

7 ? e( y! B8 a
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表