找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2353|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

" j/ R7 j7 S& `9 [ 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 ! F( y a6 Y5 @9 t# V: I/ z; Q) J5 ~

* Q) T* i- ~# w! [

; e. l9 W3 {" {3 C! g6 Y 众亦信安,中意你啊!
% a1 v+ E# D8 X1 k: f+ h
2 U/ E9 }, G( t5 w" ringFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
, A, o5 F$ c6 m7 @8 w" o4 {

8 _2 R! C7 C+ |- J/ B+ g

4 a) K, ]8 j- {0 ?) K+ o5 } o ingFang SC,serif;">1 b' h1 j9 x3 a

4 C8 [' x/ ?" g2 m0 G- ~# ?
0 x& u1 d0 N. F

' E1 V- a9 z. k- x* e" a 众亦信安 * X5 d/ j6 h: d' h" T) s

6 G2 V9 z1 u. B7 U" K6 \$ J' Y

* I0 Z. y8 l0 P 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> " i3 f* W( a$ u0 N% X# t7 b) ]

6 B }) d$ |+ q7 Q( g

6 d& }5 ]# }+ B7 E6 ?4 k ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> + }& j% V( W" q. D9 ?4 A: x, J4 {

) C: M, I3 n* K C/ S

: C9 m. r/ ]* J' D$ O* m& A 公众号ingFang SC,serif;"> * r8 E& i% B4 u& b$ I

+ x- G- d# w0 s8 Z2 {" x

0 N* U. P' V% \. |: S
9 }4 ` }5 d+ x- }* ?. F
* I q: n5 w u# f
; W- H, l: X2 {4 e/ C! H

' j4 P! I6 m7 R- w0 f: Y- r* e
点不了吃亏,点不了上当,设置星标,方能无恙! ' e @/ R% ^ V; Y# Q; I' T, H' D

" u2 W: L$ \$ m! h ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  % @; F6 u5 z( u" f/ }

9 `; R: }# S4 Q& ~; E) Z" r4 m0 H

) g) g0 x0 ~$ o _8 S 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 $ @( j$ z5 p4 X0 [7 W. a

3 \3 t2 e* p6 o2 Z8 Z$ a# D2 m

. X2 |- X$ |! s; q7 C% [8 x" n   , ~! S9 t1 b- p0 h; Y* y: e& A

( t2 y& I' \4 |3 b' x* v
5 ]$ m& C6 A5 r8 }$ [" d ( h& A* I j) p* h

2 g! t/ j9 @, [ 无线or有线 0 z7 z- k9 s; H& R1 q

! M9 W+ o3 L4 L$ p/ B
: \: c# C$ y" T
% W: o8 h; `% v/ x3 O. M9 v4 |* D 6 r( W+ I4 y1 L- O

, v: D: v8 V& c. k. O3 T 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 7 S0 s z4 t0 K, Z

' Z; ]# V; X6 q$ A( j& b$ [

$ s4 ~) B* A% N- w" }4 o, o6 B: d n 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 , J* s1 x8 y+ d# _7 c! v3 T- @

5 g9 Y# m2 Z* F0 m7 u5 w, w

' G" d: r" Y6 B( R3 ?( u! | vshapes= : L7 g2 N! C& p3 I

/ a5 l0 i: ]. h

3 s, j0 u9 I) z vshapes= 8 Z- C8 u2 q+ d4 G7 \

; H! G5 A; k; ]( d" C

8 g% k$ A4 L6 q: [5 t- j 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 2 n6 {" `1 x5 m/ x9 ^5 _. W# g

: k: T- R! y7 s: R, u

4 _) [1 w# }" F5 q vshapes= $ l. S8 ^+ O- u: v, ] e

. W: Z6 h( }4 F+ i6 M% q

. W( u" i" O2 | 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 $ _" ~: F: L: y- x6 Q

5 ~2 A5 c' T" T8 r% D9 Z( F- \( J, m

/ ? b3 Z/ c' ^+ y7 Y5 \ vshapes= ' k7 q! B3 V+ a% G5 k4 U

, z, N$ P- N1 k6 i+ G# ~% X

4 ?9 ~, q5 Y% w+ U2 B" u; k 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 - j: e( e; R. d, U8 x' J3 l- [

8 y/ u) u! q% ]* M" c" q$ m+ k

, m8 K- E A1 T, ]4 W 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 6 c- |0 K- b" s8 V

1 y( F+ e, z P/ O" ^7 c0 @" w

* S6 s7 q8 t4 A. e" e) h8 h 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) n/ ]. f9 m9 ?& W1 ?. w3 j$ _+ g+ s' }

- y/ n0 j; S& z" [; E) K, c. ?
# z2 Q6 X6 l# x3 a' q6 ] - U7 M0 }+ ~9 C

- J: _; [4 Z6 k+ `; y3 L1 N 内网渗透 9 O% }9 H1 b# [+ p' t

: Q# w3 b6 [9 V: X1 b ^4 O# t
( H, [1 i! ^7 o
% I* s# b0 s9 s+ Q) m# [ ' h4 X- S" ~& {5 U( K$ `- s

1 U7 u5 J8 k. V* |: V( w- L8 U win下搭建cslinux类似。 3 L8 S9 J+ D2 N5 b- ~: k! Z- [

/ x* ^6 J- o6 e' B: X* F$ p
) N/ l0 q$ Y( g1 A# _/ l7 F( V) _$ k
teamserver.bat + ip + 密码
/ g* W. X2 |" n0 h/ n/ }- b3 C W3 R! E
4 [. W' H' J: ^" \5 u3 O6 N

7 f4 U3 B/ p5 l5 S0 K; l, x vshapes= ) Y+ E0 m, p# `

+ }5 Z9 ]. B5 P8 s

# k# u+ m6 _- t& s: g fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) , z/ {6 c* H& _9 H

2 u x1 C6 a3 W7 f+ x2 d6 E

+ \ }+ `* T. ~6 X) \' W vshapes= : Y3 S# f8 w) Q1 W$ @

; \! P2 ~: r/ U

- o( U* W5 \6 D8 ] vshapes= 9 j4 @" Z6 ?$ a) H. d

& C. ]& b. h( Z S5 S0 r% K

9 E/ w; x, C; v 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
7 f. G. m7 Z# ]6 J+ R6 G
% F$ E' N# w1 u+ M4 Z8 v% [" M( O7 ]
) A( \2 r2 ^9 J( T/ y! T% o

, o/ Z6 N2 G5 j3 O7 Y) u( R9 V) U' J

2 i% j) |( b+ G# j( s- S vshapes= + m( @2 R& a6 t, b$ \# y

1 a3 y6 B0 C& v+ c+ P! j

) J; q+ O+ `2 I0 ^' ]3 i4 @7 J! j6 r fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 ' q2 H4 h: O V; R( y

1 d2 h3 m5 ?3 E

: O7 v% W F' z% i7 U$ U* J+ E PACS系统 , A4 m5 P0 Q, A8 K

7 U3 x- c' W! s$ m! @3 U8 C# U

* r; w' V3 q/ w' D3 Z+ x0 m1 I vshapes= ! `; M' @- U4 g F) C* W9 N; x: t

6 w O$ N1 i) S0 J: r2 [

3 e$ g7 y% J9 {& l2 {. K0 _4 h vshapes=
) g: |, @% w1 D, k- Q. a" o
1 V# l% {5 I+ D( x* ^
0 M2 V" k7 o3 E x! r1 c9 M' e

9 p$ N5 {4 K' j7 R9 A& `8 [- @' w

0 ^# U" T, @7 a$ Z6 q4 W5 _( i HIS系统 - x5 U# b, ^' h& m

* u1 |0 ~7 j5 S/ @6 r( n

, _1 b& u0 o) N3 P' `6 i$ ~ vshapes= - a. s8 C4 R& R/ D# O; l

* z3 i# w/ d: @7 M2 @. B' `) ^+ F

! U0 ?; k: u! K& s! L   6 b9 n" I" e' R' M* M

7 r) Y* r! T: z6 N" j9 I

7 [6 w5 N. ~5 I! o8 g3 _- q' J vshapes= : C& N( Z6 r d; _: Y

# y; e$ s1 [% `) D8 ?' F9 }

( x' _2 H0 N2 Q1 Q* U* x7 z 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 ( z! B+ q: E: j$ l7 \4 j, S' @

% ^# w/ l, n0 j6 Y [. q

+ Q0 G9 \# t: {& o3 Y7 m7 U
3 O$ a k; ^5 v7 ]) L$ j8 v
p( r: Q( ?# x* a
. k' l8 P# r0 Q4 j/ a% A4 J

7 i/ Q' w; h, V6 A/ F6 P; x. E( B

6 ?( U$ e; a! S z 后话 6 h' N2 j. p5 o5 i+ V+ E# e* v

6 Z" K* ~8 g: m7 w" Y( W' e

' J+ S, W0 o# H: P 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 0 x" I/ [; O+ x7 b; i

0 j. h6 v/ j' d! [7 i% e) T
6 ?- A) T; m- \; a 9 C0 ~$ T1 T; I
+ T) G: d1 N5 P- `
1 G$ \: V' {9 U+ F- D5 {9 H
7 v. |% h. p* Y: Q+ F , C$ \5 K) r, m/ \# N

; Q6 d' d% [, ~" s8 ]7 l% C 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 8 i3 m, T6 v- u( L+ F: M

* }4 b8 s5 D3 O5 Y* } i

& ~& G/ G9 Y* y8 h   0 @+ i* g9 }# ] n( U

) b9 l7 R* O/ `0 X: e, }
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表