记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

% x, `% B. w( z4 _" w7 `0 n 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 * V5 E, w5 O0 W" z9 ?' r

; ^' W; Z; s' z% I 众亦信安，中意你啊！
8 c- f' ^& {8 y+ A4 a0 j
* P% D! ~& C) MingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> |' Q2 Z, q4 u" v9 h8 O7 `

5 l, f1 N- k% }' G1 { ingFang SC,serif;"> " ^+ w% k, O6 B/ h6 |

. P9 @' @ @7 Y3 n; M" o# Q7 r
& a3 D# ]* }1 D& u2 |- s 众亦信安 & S2 P8 I, o( Y. z
6 H( r4 i! d6 w5 b
0 c* K3 a5 m, u* j+ `9 X! ` 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> % R" q% I" b) p) A
; b; O2 J( O8 |1 B- `- _5 k
/ @4 M8 Y0 z; C" X, I$ | ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> y/ D# C& I4 ~/ L" M3 i- g
, X. {! Y: q3 w2 ~
. e- d8 z' Q. q) I% B 公众号ingFang SC,serif;"> 4 K0 f' J4 J3 q- H( y' F4 X
- J8 h/ {- v) {- }* E& A5 J, }. ]
2 O2 Y% Z7 J! K. ?6 m s
, [) h$ r- g9 `* l7 a/ \
* N; \% [& l* |) S4 ?# W; Y - B- u1 v& |$ m4 ~% d
U, y. a$ R; m6 y% W2 s% T
点不了吃亏，点不了上当，设置星标，方能无恙！ 6 A3 T H# ?- a' j8 S: l$ }
; X2 e4 j4 p" E( V0 a ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 1 y! F8 \ R. g! d) q+ o; t% y
& b. X8 Y7 Z- [* Y- ]
# `; [, k# F, x( M 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 - r+ M! P2 D& L
7 u' l/ ] q& [
9 ?7 E! K9 C4 `% h+ J 1 b- K8 ? X% Q9 P9 A9 i
- {2 w& n$ B! j7 E) p
! L$ T; T/ @ M Q# k ) H5 i% n2 x0 D
5 E$ i" G0 s5 d0 T1 m; { 无线or有线! \0 _" y* M6 k( j! m- D
& X6 r+ u( z! K2 n, R! I" d 8 v9 x: w, I% `; T( M* M" j- n% m; v- v
# b3 {# M2 H2 @7 p : I5 [: D3 V- [$ j* W
# N( u0 k2 d3 e m" ~" p 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 : T3 S) y% d8 u7 c5 }) n
! P0 t! H0 A$ _( u4 |
+ k. F$ l# r+ \* T 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 5 K1 t6 z& l# D; ]. ~
) G/ _. ?* N q' {' u
+ }2 l/ |, F* `9 S+ j ( W( {" `3 q* r# E
/ o7 w4 ^& x' x$ M0 T9 I- a
5 P2 k. _- k' w( v" b % ~9 A6 v. V, V. [1 s4 }# U z% n9 [1 F
( F# Q8 E4 K" H
! ^1 q1 {7 o; V' K8 j T. m 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 + }- U+ p' b4 m& \+ P8 H
2 Y0 R* h6 F$ W4 M" ]
; k3 x- I: B1 ^* i, _+ b; W9 O1 n ) ^* [" {3 Z! h
' {, }) g- `! i
& [& m {4 |& v7 i" f- C" e" o2 S. @ 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） . T; ]; F2 U; u# m$ w
2 d7 a, N& l. c
" c2 n, L2 p! a) q ! i! t2 z; }$ ~/ X/ e% d. k+ p
) |) u" |5 Z+ U {4 R$ ]
; h. y8 {; f( h9 j 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ) T2 o: C3 c0 T" G j0 o) W6 |5 i
; S! ?1 H V, D
+ ], o( F! C' K0 ?6 e 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 @7 W4 m* O+ Y+ |( G8 j ]* h2 E H# Z
$ M; C4 f% \1 A
) b; `4 q( M. s9 C5 X' Y7 {$ [4 \7 t# U 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 * n, h9 P" o& V7 l4 T! c
7 J2 J; C" r( S2 ]; A
: F$ }5 Y* x3 ~. ]$ n ! G( K* [" w" q( X. W
: Q# ]- Q% e" X5 z' |$ r C8 N 内网渗透7 i2 c% i! i' t' ?; t
3 w% r- v# w% Z2 f8 e# `6 w 3 l- c: Q4 S) I# \. |3 x$ E
& ~! N" ?& U, d7 e # s6 A. m/ R# F- ^
9 B7 ^5 |# B, N. ~+ E \- ^: q( s win下搭建cs和linux类似。 ) Z. k: {. t" m [ b5 \ X
% d" x0 z- f6 M4 [3 U, u5 }& }
- J& P1 J- S; o
teamserver.bat + ip + 密码
+ j. x5 P2 ~. R1 F6 k& o* B; l
{# d* o* L' j# _) j0 Q! X. u4 a0 [
; X* P! q1 Y3 D5 l2 V ! f8 B' @2 _3 a4 ^
1 v3 n0 | L0 [
1 ~9 a$ M0 |8 @0 ]- B t! A' ]$ K fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） * j# y8 B6 r" m1 d8 q
% y1 b5 D. P! p) ~' [% l, A K% F
/ V& W [- }% t / g8 c6 N2 ]: X, |( b& e9 ]9 E
) j8 e- D( `% o- _9 ~" ?( G
: U# u( W% P: E7 x 0 u/ j" C( w4 B! G) C
% R9 a. v8 F% [' D
1 |: G& M% j5 M* C7 p( @ L& e) R+ o 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
6 _) P9 G6 h; ~" ~) \$ h! ?/ d! {
! i+ ^4 K i2 l0 q$ G. K / y6 y# t0 D5 ^9 o% Z& S
$ ?9 V! H* @1 B5 c3 ]' b. e
# u$ z9 Q3 F2 d. B ( P+ E8 C1 N1 o- x5 q" x# K; g
8 ^: z/ C4 ~5 z9 n
e! B9 I2 v# G* W8 b6 A fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 5 F# x0 U& O% R1 ?7 g, f! A/ {
. @1 d1 n! z' B; _: e% T/ h
5 f$ Q( _" p5 o6 y ^ PACS系统 # m1 }. x* \: \% k
/ @# S% {* h( \# p7 L7 d1 V8 L+ O
, J/ G7 S+ z% Q : p n# z: U0 J% P, Y7 M F) s- F
& A8 K# v4 _6 f
" v: ?' d$ b, s4 p/ k5 ?3 U9 I$ K
% T0 b6 A! x+ `, G6 I
8 ` P5 q) A1 o: l+ M / `" f( M/ F- G& k
/ Z8 k" V2 a$ `4 d5 k
; b+ l$ q& q {" Z' I6 N% H" Y$ d& T. E HIS系统 . G# g$ N0 P( s# x0 y$ r
/ m' |( ]7 C K& Y7 |( r% D. P5 s
" {& z1 N( R& f # p$ h0 \+ e$ ] Z& L
: v7 ^6 Z8 Z" `! q2 ^
' V: J! g% u) Z: v P 9 n9 L& h* x$ P2 K) L7 G
% n: W9 C$ {. ^9 B% ]% p, C
9 x4 h. l0 ]3 @( i$ f ; q, V- a4 g: f2 u# v) G0 ~) g
( {% [ K s; e
' W) T8 S* R7 r 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 : K. l5 U) F" S! z
- ~3 z. A# i9 Q; `; Q4 g! {9 @! ~ v
6 G1 W/ T/ x6 x
?6 T- T, U2 L! c- _# |
/ ]/ B% _; j& }' T4 X* ^) V/ V4 i ; I' W" O, e) ` ^
6 u S3 _$ l; a B ]1 @+ k- t
1 f, D6 ^. d5 P) k1 G' H! P: o 后话 7 {9 _* @8 ~, v! G+ ]$ H; ?) t
J* B" y4 C* z) @. ]/ `6 ~
% i3 g$ e7 i4 m( d6 G- i 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 1 E3 l: i! y& B1 c5 {$ j7 P
' E) v: i3 p7 N& G7 q0 X% t* w
/ x1 B: B* O( I" A9 J: u + D; ]0 L1 P5 O, q
( t# H3 k6 N; q w" s% P! [/ \5 ~3 V # L5 m5 S K7 x& h) ]
2 T6 j2 B" C( U- z% r5 [ 9 x4 P2 f( s, _. @7 ^, `9 K
! E8 }$ D. y9 G! U( J$ N 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 & S2 Y8 M% `0 p1 N/ ]# Y" ?# Y* T& R
) x- c6 Y, p% e4 E
$ p9 r ?7 \0 S$ m4 X ) ~6 r& z& T9 W2 ]* O' G2 g. w
1 m6 q' z" {# m( `

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

5 E$ i" G0 s5 d0 T1 m; { 无线or有线! \0 _" y* M6 k( j! m- D

: Q# ]- Q% e" X5 z' |$ r C8 N 内网渗透7 i2 c% i! i' t' ?; t