记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

2 f/ s0 U$ Z* m& p; x H 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 / [5 A* z1 Q( I* \! J0 D9 W7 o* `9 h

% T" g+ U+ Q# G# o$ | 众亦信安，中意你啊！
5 e9 P9 ?2 E. P$ L4 Q
0 T6 @7 _* V3 I/ j4 jingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> , \. X; [$ m3 U: o

' q5 L7 e3 M3 u" b$ B4 o( | ingFang SC,serif;">7 M! P, E. x& \- w7 D

, j) ?; A8 N( S a3 @
+ ?$ O6 S* }( i$ _/ k2 G 众亦信安 $ W, I" T1 @$ P" Q C8 c; C. k2 h) U
7 h0 e9 c2 M1 k) L) O
O. o* o3 w7 S( O" ?* { 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> / ^: {' s" Y$ f; z- h
w, S+ q; U) ~$ ~
! I0 H- @9 @7 D: @! @3 t2 } ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ' H" q( Y2 k. A! U1 F
1 [, V m7 B: d
, p6 o* ^$ U6 ^( n 公众号ingFang SC,serif;"> % I! f% k- k# ^
. t) k* v& h. q
4 h! k& h$ v' X
* z% K0 x, H6 f' v
& P& u* I% _' Z / j& D" ^. |( u3 Z% }
+ a$ x# g0 }# z0 f+ ^- A
点不了吃亏，点不了上当，设置星标，方能无恙！ / _% Z9 t7 i6 ?" d! R/ p" D
/ n1 X, T4 I. r8 T- k; o* D ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 1 Q4 r) {9 a9 C
2 Y! b5 |1 N! y7 W! D
$ b. J% l/ N3 ?7 S- J) j. n 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 0 c. k& c8 V9 f+ r
$ U9 \. Y% P, L8 K( H4 z3 A' m
; S) b6 f; P; c* ~2 s P1 F9 z ' L7 t+ Y% H, W/ t. G; g
% Q! |3 [3 J& w1 r) V, S6 g, y
1 Z- \0 l; F8 f _" E ; a) n5 _( \+ d/ u1 v# Y& D
5 N. N2 p7 E* \. o( q5 }* ? 无线or有线; ?# t% g0 R! r( h$ o7 l1 L
+ R5 `5 e8 j2 d+ H$ e9 o2 c# Z $ I) j8 k2 h" K3 {
* q6 H; X( \+ K: i/ } 9 }4 L; o3 j5 y2 M+ l9 T3 \$ W
2 G/ U( E! e$ A- M* Y p; ?3 H 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ! k7 |) n- I. g( F1 K7 {0 v) _
/ d: n A( b. n" J
$ p# B* b* R+ i1 W 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 0 q# [/ j* h' @7 f/ s. n
( W' i: _7 [0 \
$ h6 Y7 d5 W7 {& X1 j. P* M# K 9 A% i3 `5 t6 n
/ J7 V2 h* h; ?2 \2 u& q
+ B: A8 n( U1 o2 v& b s6 Q . i# K+ F9 A3 x, Q
. O' [( a$ C) P! [# h4 j
, g! M, u$ ]) \: W 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 & d# _6 p; X# f0 @$ m$ M
& Z2 A2 O4 K3 q- _- I& e3 y( [
6 b) D& y( }6 | / F% r; e S: H4 s% m4 j( y
# B( J- H: S. p; ]. m: `8 Z
4 X! p) }! F/ ?& c 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） s x5 G8 d% u7 N: {3 y: z0 n
: x1 T9 G9 i9 C! Z
0 `1 t5 N0 d. S/ p$ z 6 v) | \1 l: r2 P( _9 g z
T. ^( X$ F7 f0 [
' |6 o, m3 }% l* A, M% u 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 : {; g5 w/ j4 S4 t0 Q
8 q* L5 Q" F2 P, l& F
3 Q6 z4 Y3 o4 k6 X$ x# m2 k2 j 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ) @% q8 s+ I) C2 h2 F
9 |& ^6 a4 u8 j Q3 b6 C7 ~& m& L
5 C4 v7 F$ i) e( l 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 6 u$ U- h' T) M1 v- ^+ n
( f7 {: B) n1 m" ?6 `/ u( Y& `
& A$ Q* H; [! m) M1 N ' g: P! `% K! L$ r
/ h( M8 n4 J) E7 w 内网渗透1 N7 S( _ U, x. L; E& H! O; }
$ [' y5 P- H$ A9 \- Z9 X % d5 x7 D4 a, u7 w& _
) K/ F. r4 G1 ~* i* Q& J' [ + X; L) J9 h0 s9 q7 N) F
) K9 J7 w7 T% o' F win下搭建cs和linux类似。 . e9 W" H1 _! @+ q4 \% w! _6 E
9 _7 z7 E! T3 u! X: D5 A" _- @
0 A) ~8 P/ A6 b! \8 n8 w5 @
teamserver.bat + ip + 密码
) A L$ O3 y! B7 r# b* }7 q" M
7 F' F+ K6 M1 w; g" i
4 X( g4 t6 _ g V( ]" V # q4 S/ L9 ~+ g9 ^9 S
6 b# U" O/ G8 w+ A5 Q7 s
/ w* U" D6 H3 `3 {# ^2 [6 _: H fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 5 }- O& y9 f( P1 b. b! H8 i
) v9 J# @* Z* y1 J: J6 c
# O. p( c0 N* Y. U0 ? V0 a) }9 \ 3 v' j, _5 b+ a% H! P
4 W9 y; @9 r o% \7 A
1 `4 i( X: K. S- |& [ . x- k0 u- H6 n+ g
" o8 {& P6 z9 F+ _0 e7 y$ K
9 j; e3 ^1 _; Z; U* D+ v @ 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
; m8 J/ ^; _" V6 J
# O4 g" t( O/ M! n. x6 y# D5 z ' ^, i. f8 A P' Y
8 J9 y& N( v+ l- t4 {
, }% F* K5 U# Q1 v5 n/ c$ v ! Z$ t0 N8 Q3 q2 [& V6 T+ q
7 h7 U* v; G9 [/ e0 n
7 T8 w8 P$ D1 m% _, Y fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 1 E, P+ P: L& g# G+ B$ A2 O1 @3 n
' O9 ~ g. p9 c0 q2 S/ g
* B1 j/ M T" g# j* E9 n PACS系统 : L9 {2 e4 N( Q/ a' h, V: K/ G
\4 V5 M. f, d. r4 P8 B
9 l8 h7 ^" M$ {6 t& I) X- b, g 1 ]1 i0 U ]& g8 |. X- `( f
- e( ?" w, F" M6 [
9 v u5 y) z% b% k
9 G; _8 O9 C! t
3 x! o) Q4 |7 H8 L ' H: n- ~8 m! d# r. j
& z ^6 J# D( b" D
1 [4 T c1 n0 k2 ]) `9 H% e HIS系统 ( R$ |( R8 h: n8 q+ e) y. f
3 B! z6 t( i2 V. u
4 ~3 ?3 \- ?( a 6 \7 u$ K& l3 i2 T
$ Y j5 e. S) \
" b7 I9 F+ t" r/ l9 } 3 Y. U/ Z! c0 E, H
1 a! O$ S) m6 j2 `# j/ y2 J
$ |4 [( l6 c5 D# W- a/ D! Z( _ N* J5 r3 Y6 H
9 V& `- T# G! G9 @" z
# ?) H9 N2 k/ j9 y3 c! j 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 / P" B, D3 \2 n R
- G2 E `" ^0 Y
$ I+ y2 \0 o# `. b+ u; ^5 }
. z. G9 l3 k0 ^2 M! o& B$ ]
. Q" I, Z$ J4 `" T ) _; f: T$ f) n
3 h6 l1 r" H( P: H- Q) c2 Y$ V
3 \% A2 y; H# z& Q 后话 e4 k) q7 n4 |3 Q0 Y
( V$ \: c# d" v/ k
, m! H' C) s# F$ i* U* B 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 9 X F# g: ~0 ?- ~
! y& q1 u- q. L' b; S
8 H# }1 q5 \" e; E# S& W $ Q! K/ Z, D. ?8 {$ ^3 q1 y
" k; V9 q0 y5 T9 d - m, ] @5 P* l' }( i; T% m
0 c: F q. G. K* L 8 b, ?$ `5 D8 R# N# R7 V7 D
1 G* B, D5 ]8 ~ }" X+ h5 R 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 $ G% [- H' {- D! `* v
; \/ s+ ~$ k% H
5 [, ?" a$ v9 `4 }3 P% o5 ~ * _, a' f7 H, K) M
( w8 [4 R0 [" F* g8 ?8 N