找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 记一次某医院渗透(近源)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1934|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

4 L/ d2 o! X; ]0 O) ] 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 2 @# X; h' D8 {" k

& i; G7 W# K9 [: U! A8 J6 V

7 z9 B' V$ b" W8 u. J% _9 i+ F 众亦信安,中意你啊!
1 ?, M. b0 N3 c1 N$ S: I
! o* ?- U7 ?9 w8 }* Y4 m ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> $ Z0 |" @; R8 {; {) `

+ v5 d+ Z. m$ f2 T; H2 s

8 J0 C, ^3 i+ i5 O8 m7 O ingFang SC,serif;"> + f: Z- b) @5 b# B9 z% u3 {$ h7 b" J

$ S2 c2 e5 k7 A5 A
( n4 m; i8 C* ]% D. c

1 P R/ v' m* a) {' W3 ` 众亦信安 0 T7 ^2 R0 K+ e/ N R& x

0 S$ D: I! N( t- c$ w, L) ? F

# |* w* B6 S. ?2 | 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 6 Z4 ^" Y0 q; ]+ c9 G& c

2 R/ O' _' X$ c9 v

+ }6 ^4 H& i5 w% P. l ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 9 b1 v& R; l# f* C

$ f" ~; T' q, d: r- @/ P

- Y: t* @8 p5 | G/ ~2 p5 |( o 公众号ingFang SC,serif;"> 1 E0 x) o7 X+ H- S. C: B

4 c9 {3 U5 i% x5 b

0 _( Y9 B; u5 T8 m& V3 X6 v
8 m' ~: v% f& K8 p
: ? Y4 t$ s; ?. v9 o4 I; \ + k8 h* L. [/ L/ p; Z9 E C0 |/ _

4 h h: [ g( e2 m% f* v
点不了吃亏,点不了上当,设置星标,方能无恙! ( V1 G6 c3 p/ \/ N% e; s8 {8 \$ H

9 s6 s9 w0 A/ [+ G& N2 x/ | ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  - Y( \* k5 T9 p3 q/ c {

" C, l: ~ [. Z2 X) I: u) B

' s3 V2 x( k6 n+ c 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 , w( x ] j0 \

8 I5 l3 D8 I9 N8 i( H; G# J0 i

4 V, ] t& u# f$ w5 V w& [   $ Y) }% ?. |, T+ A3 B* I. u" ?

4 q9 q( `& m5 i
% K6 j2 D; Q5 R( r% u, ?- h( W % `5 K( ]+ |- n$ I1 R& P

6 F2 G$ s: I: G 无线or有线 , m3 D+ |4 s' L

( }$ i1 u1 ?; n' P7 q 3 P, N8 G9 ?. m! w5 j
- _ e) R5 z4 j1 l9 Q 2 M5 t1 y* W8 }( _2 R$ q$ n

- O% _6 V6 n# r# L 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 7 r( r& \* ^* [9 D2 E( M; G

1 C8 Y* K) _# y0 T- n, i

- l* v \$ h4 Q' T 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 8 X6 g2 @- M/ @! E: f2 v" ~

$ A' U- U! W# o8 o. ^5 ~3 V5 ]; ]

& Q- E* N/ v- _: i0 e vshapes= ( S7 k! C* _3 g

' g" p/ J) r; j) d! E

. O* a$ ]: f1 R0 u7 z4 p vshapes= 4 z7 T* k) J" b1 q- W5 Q

! }+ H4 r% B+ d4 K

6 h' c: `, J% H/ J 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 * x" b/ _& d+ l. v* p6 J

$ p d3 w) o9 e2 p

9 @: l. a% n/ Y vshapes= 8 _& T6 T1 D+ O7 Y0 S3 C( W

( b5 u7 n- m7 Z. }1 B: i: c; ?

7 u" Z* g7 \4 H0 h' M 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 / e. R+ Y; `; y

1 ]( z# L1 U7 w% W0 s% o! i* R

1 ^5 O! I4 H. d+ ~, i vshapes= ; {+ Z3 S, o# ~$ ]5 Y3 N

& a6 l7 L5 a9 ^

: J: Q) F1 m" d1 d' @' @ 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 2 |' n" O& w; c. T* P; Y! D

! E( v( v9 k/ w3 P7 n. U, |

9 k& c- u% ]9 v3 s 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= ; a" @: `' h7 @* S

0 z* [8 {% W2 {: [% ~

; V- ~; Z/ i+ C" f. g 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) * h7 M, k" @2 u$ k% d$ h. d6 E; T

2 l' V; c% I5 O% W' m- H' N+ J
& n H/ o7 \* H2 w % e8 q7 L( h: l2 u5 w# s/ g

- U4 e! c% \3 Y; i# l+ `6 V0 u 内网渗透 % k9 I5 d# F; e- ]: C2 k+ b

" ] z4 e, B2 s& H, d9 ] 8 g( |9 J$ X/ R) e
. m9 X5 Q" }8 r& ?. ?# Z 8 m. W, g J. G* T/ V+ t

/ C! h- s. ~9 G! ?- g9 C win下搭建cslinux类似。 5 ?: v7 Y2 `. b* ~, n

7 f9 @/ q5 Z! t C$ T- m
* V6 Y! X. ?% v6 x! S# o 
teamserver.bat + ip + 密码
2 f, t; L d+ b2 M" i3 N) Z
6 M6 u% ?; s/ L: d6 ?9 o' v- t6 c

% k, I1 w% _8 Z4 @5 [, G* I' ?+ Q vshapes= 0 }( E4 x R3 F7 j) v. f

* Z7 _$ r6 z) F0 M

% o3 a5 z& X, w4 V: L fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) 1 k6 G. n7 T, ?8 o" A5 Z2 o e7 b- N" h' L

, \& e4 {3 I# T. ] {

, l8 w& u0 J9 z2 P vshapes= . N) P# b- E8 F' n& P, C

1 @3 v2 N# d0 m4 v. B, @' w% B

# N8 r! l: l4 @6 ? vshapes= ; K }6 i2 d! I" L4 C- D; D

( r! T; A, X5 H+ J9 ?: J+ ], q

# L9 Z& J/ x. n' X' B! a3 Z3 X. s 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
. d3 K6 D! D0 u4 ]1 ]
" i" ]6 A9 \! |# q! R1 G; P 6 Z7 h3 B1 F% z+ D4 k. S6 Y" y* d

3 i6 a0 p& }1 I0 Y- }, a |

! l* f+ G' D% z. Y4 p vshapes= , o2 f$ R9 Y* X8 g2 ^4 v2 z9 L3 d

: n3 d% a9 V, S4 {. l# n6 n

0 Q7 k0 u7 M$ M' T) |& E fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 ' }6 S7 `- m# b$ l: R; P$ p3 x

* }7 T3 d( M9 J/ h! Z

/ m4 B+ O6 d8 E; l PACS系统 ) V8 T+ c3 h' m

7 I* V# y6 w$ z8 g$ {0 w; G

5 T: Q0 P5 N- v0 E7 r9 c vshapes= ' H$ ?4 r% e' F# K

5 `( B8 y; f* W( t2 [

o/ p, d5 B* Y S- p9 Y" i vshapes=
7 I) R$ p1 U/ ^4 O& Y8 U& n8 I
% w8 r7 g7 x0 S! V9 S+ I# P 9 \7 W6 Y. u/ s# y. ~1 K! N' T3 Z

7 a* M2 w' s: W6 b# G( }

' v2 D8 G. k: R P/ b HIS系统 % ]! o: d9 j i$ }

6 R$ R# N9 e% j1 P. d* X6 D+ [4 @

4 ?5 D1 e1 G; j% n- D, F& T vshapes= # d$ Z8 h/ |$ y. h b

/ u9 P- l/ O- V

4 r0 H. U6 u4 q) t5 b; ^   ; N" Z) f* r% A9 X2 K( R! U

* K( I0 U* t7 E" m; p' k

$ }7 V2 P4 T; T+ S vshapes= # J( Q w l; z% I& F% x

! p/ d! j7 G- w- J" ]

! o7 X I5 y n' B' e( k 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 ( K5 R% ~+ v% f0 M( a; V

; J7 v, }/ H& }; ^8 t6 N

7 a. l' }' ?* G1 H! s; ?
; g) ^( {: n8 o0 \
7 Y$ ]; ^, L( M , ^2 u, j5 s2 u/ N* B7 V

1 \6 l% D d: T( ?& _9 q

) @ Z; ~8 [ Y& p 后话 ! Q8 f, g3 [: c" \

9 ?9 y1 I" I; Z d& w

! _/ ?# a6 r% h" V* K 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 0 M1 _& ]# y# N' K5 p

8 T) g- X9 W, q, m% W. k; B
: q. q( E9 {7 m& v $ _' b$ G9 Z) ^ C, n! S% b O
2 Q9 Z& I8 u @7 U! g7 G * k# j! Z8 H- V3 H
; m. n7 ?" Y, P/ h+ x4 ^+ A* k % ` N; F1 o2 N3 h4 I: h) ~7 v

9 U! z0 K7 r8 b7 o+ M) T 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 : f5 f' I" \5 H1 y$ ~

1 M& G' G9 r% `; K

5 y9 _' I( S# C; I+ ?& r   2 N" B, d: A/ l

7 d r, |- t+ ?+ W/ I
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表