找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 记一次某医院渗透(近源)
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1306|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

. ~, j( H) D$ p, i+ _2 Q# ] 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 6 S0 |, P# o: f+ _/ d& U

6 M: V4 T! `$ u7 h2 P R# w5 W( O

7 X4 L/ _% e3 ~, k5 [ 众亦信安,中意你啊!
2 u7 E* ]: t; x
2 O [4 E5 b( J% h: o& j ~- r0 V ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> / _3 O. C/ T" `1 r2 N# d

, q# N# N/ Q& O0 R

5 T$ y! ^8 n5 [2 t O+ ?0 P, ? ingFang SC,serif;">% G9 G4 W9 c9 ]* Y. Y Y

7 h X4 }1 N$ t8 b
6 h: P4 ]5 P0 w

( O- w V/ ^8 U: h3 l9 b. I 众亦信安 : `% @0 A9 g" f5 g; b) ?9 B

' m5 e; f& z) Q

! C x% n. H& i2 }5 K 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ' B% T5 i `1 c9 j% l! P7 j

! f+ e# g' O: u C

( {; I: e7 t1 |5 G! P; _5 n ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 5 T6 c& I2 A H* \' L" P

% x9 P3 \1 a3 e% d

, I. z# B. L0 \% \ 公众号ingFang SC,serif;"> ! |% \2 _4 K: B+ f2 q# d2 P* h

6 X; {( q. j. g2 g- l# E

2 i6 z2 E. R8 \4 p
: w4 z/ Z& @- b: f3 K
) `% v+ m# c( | # H8 `. b& Q, E# q; N: p4 j

$ q7 U( R" {4 B1 D: s' a
点不了吃亏,点不了上当,设置星标,方能无恙! & `$ s2 \" f4 k0 o6 q% q4 x

8 M% v+ j4 q; c ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  8 x6 B. Q+ J/ Y; T* P

1 S6 @# J! k; j( C C5 G1 g

8 w* O( J H+ b. j7 J; S 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 1 A3 H" u5 |( @2 T/ N

0 w T; `# k. p/ \* F0 A- Q8 C

/ m. S5 X0 B, B9 F8 l K2 P   * R& v2 c2 f7 G1 F& G6 l2 n

3 u. h( Z7 ?7 U9 k
) D9 A6 ?/ F0 R+ |5 } : N4 F4 M" T8 N. i- R4 C" ^

" ?* } v3 l3 B 无线or有线# [# U. ^/ \# @- l4 z' A' K

4 a% P- C, h% p, r) b0 Z5 f 0 b) B, Y2 V n$ W2 @- R6 e
8 j8 \9 G2 @* S; z C: |" j9 p ) Y( }2 `7 a+ K" J

! h# I% U6 i2 x6 H% x 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 % t6 j& l/ H4 q, l4 q# a

) @- U Q& H; q1 u

* s+ f! `/ O" C6 r/ ^ 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 % Y- N5 D* X5 E

3 c ?, i3 H1 ]/ m6 l$ H/ U

6 A" W: Z# i) o! X% [ vshapes= * \! b+ p1 V- E, g4 J3 B2 K6 [

( B6 r: d- Z1 j/ V) U' _6 V8 t

$ t. G0 v0 F5 o& X9 V' ]1 M0 U1 u vshapes= % N/ R8 y# N) x. ]) l

2 D l4 }/ X0 }; R, b9 W' R- b

0 c9 ~0 J+ E& R+ C+ l' [3 O 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 1 G Z3 b6 D2 x. c: m7 l; r* ^+ Q

) Q! v* m! a+ R# T

' N1 \% X7 ^0 }; E% \2 q/ C: K: T vshapes= % p0 _! i& a+ D& k3 b/ y2 f+ |

& r6 y0 A5 \3 d$ r7 Q1 T5 {; |: ~

; i& G9 j+ u, F0 W9 K$ n 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 , o9 C* X: p" ~7 j: s

8 B! F! v/ B, h

1 f8 J' s: Q- u, V1 |7 W vshapes= ; c4 S2 Y( K0 g/ p6 O) l+ S

4 [4 |5 z) Z. Q

2 s4 E# a3 I/ v3 X. C; m 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 8 m8 d5 |. w: a

6 \, \# u9 x" e, ^" L; [1 T

& h( F- d" s- g+ J. w) O 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 9 Y/ P/ @) `' O: M, D( |/ E7 k+ V! ~

" ~& ]) e' o0 M6 I. y4 o# F* v% U

) e8 f5 w2 {# a) v+ P 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) 2 l& n |$ w; u4 b$ _

% b' l4 o6 I P/ H7 o4 C5 a2 Q( J
* \& r# g& m/ Y- r. D 9 o# N/ A7 P$ [' @$ {

1 X% V5 p5 Q: v8 u3 C3 [$ } 内网渗透$ L& L# F! j: S$ i" l" P

+ l( S* I8 m2 D& } , E; `/ K+ V* [, Z- R+ b! D K% ]# ^
2 J; m3 k8 I; b, `2 ] / f% |$ z+ `5 r W& b2 `

5 m, o4 i0 N) W) V8 ^* _- d/ r: v win下搭建cslinux类似。 9 \- o" X' e9 [8 t

! O' T- I" H7 d* U6 S
+ y& t# R* c3 Z$ J* C$ p. n
teamserver.bat + ip + 密码
( J1 o- G- D. V a$ ?9 p- T
, N" ]( }1 e0 M# o2 c7 h

! B6 f' ^/ a" w" G! O vshapes= - H" Y& f. a7 P. ~) t8 ^$ L& |

" Z0 @ t, i! D4 D& R

5 B3 G0 s1 M3 S) A" l$ j fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) P6 N4 ?" S( d$ K

' x" Y% P# u4 h1 E

$ a3 N X: \* R. N' ]8 `/ d vshapes= , \9 Q6 O9 L4 x

& Q; j' L; Q1 c; ~7 I+ [1 `1 d# F. Z

* B X, Z3 e+ K v vshapes= ) ^2 Z& N6 y: q) P4 M

! m, t1 o, A/ f9 k

3 k( p* s- ^- j+ z! ?; e8 h 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
3 \+ @9 ^1 a! U8 ^. T
, M" i1 l1 W9 g, v) M, B3 ~, O9 N) j8 }- {6 M/ o

- Q0 Z" n7 I9 F, R

; M/ P: ]7 C! z8 C& u2 V. q4 Z' X vshapes= 1 y1 z* B" ^ D2 V' S* I% g

; {% L( }) |: I- a* C5 n: U8 O

, a$ ~5 c! j7 w, z" y fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 ' L ^8 k1 L" G8 ], o r) Z

0 ~ s5 E/ Y7 ?5 p4 z* w6 Y( J

( n6 E- N1 o7 F" T) {; T3 v$ o PACS系统 , M( s4 M3 y) H5 I' K

* I' t' D J( Z) r

$ h. M! C* E4 D. s& t vshapes= 6 e+ }) E* w3 N8 b2 M7 a2 v

x' R9 o7 q9 B) V4 b

" w1 r. n) A. K; J; N$ N vshapes=
( {5 }. y% s$ l6 h
. |1 ^3 H8 c) ` 0 C1 }( ]) a9 k. J7 A' f

6 v) k" `6 J$ E+ g" `( e

9 m7 v1 u) J. E" ^. W1 E HIS系统 ) h+ o' U' D& W5 N* D8 m9 U: Q

l7 ?' A4 ^4 L9 i4 X

7 ^7 x! v: A& d# f- j3 A vshapes= 0 b: t( m4 s. v" c& V' y, C; Y0 m2 k

' Y7 t' K) i8 s( ^8 ^- T5 g& [

% v" [) L F! Z, Z/ w! e0 f* |   i5 \. }) o& r) W7 S8 D

# v0 j: l; I, @8 _# `+ l6 h

: F- \4 i3 t9 Z/ E" x7 L vshapes= 6 a* y5 ^4 L3 ?" f

1 k* G9 }; \' _/ A

1 V0 @/ d; _ B4 \( J 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 O4 O$ S) L- g& ~* H5 ]- Y

q; v6 y" I2 {+ z

6 {) ]4 {0 M7 m2 @" |8 {+ i( ]
6 M+ G" `: e$ W# J, W i- h
A' x* t; n. w+ U% j4 v. P: n" K3 w5 n

& [4 B: n6 V2 O$ v3 c

5 ? Z3 C* C% Z B# s- L" F8 W 后话 [- ]# x# O: J" r

; B" c6 Z" f+ O+ [# s0 |: C

' u1 |, f+ {3 z6 z 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 ' J! `8 Z$ w3 @# `6 ~3 V( @" W

% C& ~. _) c- v% w$ Q
* C& A' X: n9 _+ A, \ ( A s; y% H0 j. {/ {
1 O- C% y% V$ i4 S. E' f % o2 ~- B5 |9 A p1 C
: H" J2 j, R$ a* T" f : ]1 w8 u) ?$ k7 x

# i5 }4 o3 Z7 O+ Z 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 j. Z- g: b& b5 S' V

3 c# _& o. n& {% i

( }. F" x( L" c( t. t   ' u; m Z, ?5 l, y& V i2 U

( x* H8 h% o/ l/ r }% F) z
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表