记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

: v, B6 i8 \; C# ` 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 + D& y; V% J+ s2 z- t0 k

0 t5 [4 C: d2 _4 }& M* f 众亦信安，中意你啊！
* R; B" o( d7 x0 g6 E
( p0 ^ C+ l4 _. `: y. F, `, UingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 r% R; N6 [" e

/ V1 G H0 W2 n1 T, B3 Q% C ingFang SC,serif;">0 e7 d( C" e" l- {/ @: o

. L/ E' o) W9 z3 X5 M% O
5 F9 Z* M- F, J% N, _( ?. ` 众亦信安 * n- z3 L6 [& B2 D+ u9 Z
( P; `, W2 k. @* m. e' I s
/ K, E- P3 _% g/ ~/ M 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ]) `# I! E* z* q% ]
& T( i v7 E3 Q* ]
: I6 ?0 L( I- v ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ' e& T6 l* i- c( n9 u
7 [6 E$ Q" L0 ?0 n) A
& Y8 o: P/ T6 t2 p C y% ?1 @ 公众号ingFang SC,serif;"> 3 h0 U2 y w8 S; j( `
8 Q" Z$ V# h( l6 J6 k
% g% {7 i& ?6 L. _. O, {
( Q+ W3 n- e2 V; H$ g
0 [' d. n; ]# ^' d8 x ; D+ `4 H" P( Q* u- Q% K5 E
+ \- p% R" W1 m
点不了吃亏，点不了上当，设置星标，方能无恙！ , F; p2 G% A6 V; p
/ C5 y# H- |. C) ` ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 9 Q+ R. {0 I; e3 ]. b
0 H/ `0 x8 e7 w1 i6 s0 r6 J
3 R$ V5 R5 L7 v5 l) T 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 / A! l$ {+ B+ i& V6 T
: r- F R9 g1 v( _7 ?9 N6 q7 q _* A
0 |) ]9 I8 x0 T, d ) |1 M9 k; r, A, k0 K& c
/ j3 A- c+ j* N% {9 W+ a
+ g1 _ ]7 W, q' f& h & D8 l% M7 | t" g$ B; e
" a; X& @7 J+ X 无线or有线8 K# u! j3 N0 ?, e! H3 Y( p A
7 q) R' \& @6 r4 b. S4 T" e ; P9 |. R+ _. r5 P R
$ a* |7 \7 G7 `* y( B: I4 E / z# i0 {/ x4 T9 S& f/ Z; U1 i2 u
5 h j; J1 L8 e8 \8 ] 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 5 \5 c- k$ _& }
1 C; Y7 N: c5 [" a% m
$ \" H9 Q0 a2 K. K0 ~: x3 ?$ k 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 * Y. \5 @: ?/ u$ L
2 N! a) P! \& }3 Q& ?' }6 x
3 I4 J( d/ n) a8 a# s 6 a7 A6 o, Z( A2 g6 x6 N, O
; o" W' k# n* C2 U9 @; h
I" Y: I1 W/ h. e/ j4 }! S 4 h4 O# j* r0 F& s( k8 s/ l
1 Y t. r* ^$ ~5 c& v) c! ^" S
$ o* _; Z( ~2 d+ d 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ; _: a: a' L/ D9 T
; y0 A+ {( Q, R2 ^
' Q A& z+ c: |+ y6 q' o, j " K1 c+ s; |% f6 t( T% z
: J1 e! z, t! q. F9 `5 X9 U
2 c- v9 M& o z; W2 M 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） % W$ O0 e4 `& ]: C/ j
5 [9 g5 y/ M) W3 C
) f, y& q: m9 {/ E# Z3 C n! t F1 P5 T* L% K" z- }& m: O7 m
: h- l6 x) b* G
+ Q0 O/ H& n1 h6 h5 Z" b9 ` 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 0 \; G2 D0 R: z2 v
5 T; ^/ {: K- Z, H
4 r7 G, ~; B& ?$ a 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 0 n& S& k! o4 X
# T: o/ M" T1 l) C
8 q+ [$ J9 U5 O7 u; _6 K 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 - y K* G& R& e' @
2 m# A0 z- H1 e3 T$ D& p
7 W2 A- T8 T/ |6 _ . V+ |+ f( M2 F* t' o+ g( L! N
~8 u" B- g- ]- ^1 J; x' { 内网渗透1 f: h' E. n* e) W. t
: ~$ j s0 G1 X9 Q+ t0 x5 o. O8 _ n% }1 m/ l8 Q
+ P0 P; Z: z/ ^) f5 Q4 L1 D ( B( b2 q6 Z/ K5 i$ B
6 S, w- S& D$ X8 f7 w E5 J win下搭建cs和linux类似。 2 a. m1 a- V& o, X) e9 R
H( r* ~- B* s/ q+ N9 x
8 e# g3 H/ o) P$ Y/ t/ F
teamserver.bat + ip + 密码
% K0 O1 A G+ Q- h) r
" t1 z2 }% @7 _9 g' g
. H& {2 C0 y0 d: u9 S ' A2 m2 i# I% V% ^
- i- S: ~. d. H
; S- i# t( g; i; K/ {8 o3 r( K, c fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 2 ]& u( l5 n' ^) i, t5 T7 L
5 u$ Y1 Q& k* y. C, i1 H9 Z0 ]
7 r, Z g& d7 E& _* |+ Z ! E( y5 T# x$ G& V
' m q0 r( B- t6 y; p4 [3 T8 G
# h+ H$ n, e2 B1 N, Z! I# p2 v 7 G% m. C( W* B* g# C7 p
$ V5 m* |6 }4 q" x5 d
5 a1 D& k9 p/ V8 X 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
3 P0 B& s- f; |
8 Q. u) N' t; H( C 1 ^0 P/ v8 ?" L3 A# b& ]- }- U7 W3 j6 m
5 q* V8 `7 f1 K: D
0 p' X+ g- g! H9 y3 k 2 F' E- N; i8 a" }$ M2 [
( w8 C4 S; `. j, v- E$ S8 Q1 N* G
9 {( U0 {! A3 \6 b3 S. A fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 - ]! F, p) F! S! y" m/ @
6 s7 \3 T8 P8 |3 O2 Z/ ~$ U, N
/ X+ {8 b+ ^3 ~8 q2 j! J PACS系统 + Q5 a* b2 _9 q& j( u5 ? ?5 b
g" y1 ~/ Y9 N! D k2 ^
] y4 h& }( V6 a8 f( ` ` 4 l! `2 S8 L; e0 a3 B
3 [% P0 I3 f; j& {- r
0 r; j) ]" z, N
: i2 K3 X! e" {) _
6 G& n0 @; |( U9 t & Z Z; X7 y) z2 S3 \( Q# T/ w) `2 z
+ e7 H; |9 y- o) X9 p5 y, l& _1 ]
7 C4 w) y) ^) j& B6 N+ V HIS系统 + F Y+ u; E. g& s9 F$ f" E
/ p( x+ _3 m: F
^, K0 x) T3 Z% E+ ]% p 5 l# M4 d: q# Q7 H0 A
) x6 @) w: S9 n4 h8 a9 f; J
2 A8 W$ ^( X% X. g ! `1 V. x6 q7 |5 N/ M7 a
$ y0 M, C* e: p; D
6 `: i4 |2 t, `) L" ? * m) L& j" h5 s) y U6 R0 {
5 a- g# k9 l7 Z8 a6 f
( \ |& _6 a9 @ L$ a6 l" ]6 z$ d) s 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 & Y9 `. p# G# V
* H, v! u6 A7 X( d
& b; g/ ?; A( S7 }! N
, J b; @ [; u
1 f [( Y7 D4 M4 w8 D+ c: Q' A2 [: A+ O
2 U9 C# T4 [2 J+ c
+ |; T, a4 g I5 a 后话 5 [9 h" [) i& v8 j
( d/ U1 \& V" \4 g2 U
+ s; [7 Z0 ]% D1 V" [( L 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 4 x# a$ ]. T t" H/ `
! B7 M! |, D1 n- f7 l
" ^# A4 x y) R$ l p$ }, q 7 k2 N w& x" q- u/ ], t# C
' V* {( k. z4 d7 ~9 L K2 N 9 x- `& A" [+ ?
! X% n5 Q" N" k9 k) r6 Z: B+ ? : e$ o5 \+ Y' F+ [4 M8 X2 I: z
- l" Z2 G% S* L, }9 } 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 % M8 `0 C' p+ e, }/ D
1 |, Y$ T- [. N( g7 S. \8 e9 r
6 q$ L$ _9 U/ ^. T1 B/ F $ V, R8 R6 @$ w$ E
9 Q1 H* a. J( Y' ]1 ^" |: }4 Z

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

" a; X& @7 J+ X 无线or有线8 K# u! j3 N0 ?, e! H3 Y( p A

~8 u" B- g- ]- ^1 J; x' { 内网渗透1 f: h' E. n* e) W. t