记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

' C% U, \/ b: V* y# \2 ^6 Z 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 1 [- n3 N9 I6 l# M$ _

* w: k; F7 U ]% g) q; x 众亦信安，中意你啊！
7 Y4 b" R5 v% A4 g+ i' Q' a" l: u
: _+ b8 _6 m; ~8 O4 I/ zingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> # R7 X3 T2 l" O0 r! e# U

. `2 ?3 W S: ^* B1 F% O ingFang SC,serif;"> . c& m, K2 o3 }/ d; L) ^

$ q2 p& p* G# |2 }
' S* k& @; D3 O( q' K) X+ d' N# J 众亦信安 ; @! Z5 h/ V: E5 H2 U$ d: i# E4 k
, m5 ?+ i/ O' Q8 @8 Z- `( u8 D
' b$ _+ v8 c2 O; y! L e+ X* N 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> , {( A9 J- W' c+ a" k5 B
$ X% O( c; e! [3 v' U" T" P
4 [/ F7 f4 r. [7 e ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> . R4 r% A/ {3 Q8 L0 x% D! Y7 j! M0 v
& }4 t* E M6 I4 n
- |( ~, G% F' k 公众号ingFang SC,serif;"> ' }3 u0 ?6 h8 m0 C, e: w" B
* e% q8 C8 V$ y, A
, b; q1 A$ d( c4 i3 e& N4 ^
9 r- A) @* L1 ^; i/ T; U
) i. [5 m8 o# `! `! b2 s ) ~0 g; ~6 M* |
3 [7 w+ v- O3 i* i0 S4 z
点不了吃亏，点不了上当，设置星标，方能无恙！ ! `1 J9 w* Q, R$ B6 J' o
" M6 H! b, F; j+ } ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> * B) Y. s% @0 S( ^0 a p5 u
l. a/ M1 @* M
, w: D E6 ~6 { Y 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ) e. U. V8 s |: E- S; ]
) t# g7 g9 g9 g" @) g3 z/ S
3 B. B7 _2 c' E) e & G7 f; J6 w0 L2 `/ m. p2 p$ Y4 R
0 b0 ~2 r+ Q9 j) `
& V) s P9 f' C% Y 5 X- a$ c5 C0 L
$ S Q7 r6 U# ^ 无线or有线 5 c+ |& R- `9 |. X5 {4 g/ i$ J
4 ?( `- G" l, N: z & R2 T, ?7 U; R/ c* Q/ N$ h
1 A. I- r+ t/ `3 {- g ?7 O ` 1 L1 N: G0 R3 _2 m% I& w- v% P
7 Q- Q4 E7 F* G j 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 % [- a8 y( E$ X* k# ?6 b% K4 r: ~
/ T0 C2 c3 G6 s9 P
2 d* z1 m- I ~+ \6 C 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 4 C% @4 R* m5 `8 |3 L
' @/ t$ }4 o. {% J, O" n0 D& X
0 l) ]4 Q8 R6 Y( o5 A5 k # `8 D" P9 ]; o
. W' r! {$ ?1 P% [! m2 `3 u9 M' ?0 U
: ~5 `6 G) v: {1 K 0 a2 N2 n# N+ f l: n% U- L9 l
9 f2 z O4 ]+ j" N# H5 s# j# r
( M' d- W6 x1 R& T: u6 k/ x 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 2 P, b8 ]# j/ s n4 ?# E% e
: x0 J5 {* e( P9 b
4 z# w. V6 o* c* s0 x6 K % {9 N3 g# r& F' }* l
( x/ }. D) p. l1 D* d- z, J6 E; s
9 S0 ^0 h: o4 b) Y# g 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） m* G% o1 J' L& S% X0 p7 v
6 g( }. m0 C9 c
$ b% Y$ A; e7 @& E7 A3 `! ? 4 l5 n2 j; J8 Q
i# a6 }9 B, }$ z
- s6 r2 I) R! D0 w 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 * N6 Y/ ?& r0 A" T
' e% `1 m2 _3 }7 T4 c5 s) p
. ^: t I. I( }) p" P 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 : m# Y B8 R z8 h1 Q9 }
) X% C$ v6 t: \4 h$ A
: M( H& A% }' a 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 7 l2 S/ C- k6 H" j/ J0 K: H7 ]- H
1 a$ \1 }( J. K; ^# C+ O, a2 F
9 x) M d& R% Z8 e" j 8 H# U4 f! ]/ q9 _
+ i# X' [+ D& d 内网渗透% v$ t# h. k' Z) f
5 n; J' m* l" l : W) f) g% q4 G C6 g/ X
1 R0 w- a/ p9 K3 R( I: _ - ~) r% A) y% A& X5 {$ j5 f2 p
* e, U( J9 ~$ X3 h# Z win下搭建cs和linux类似。 # s8 @; b/ _7 r
* [3 _5 [; ~# z
7 `0 z+ p+ V, c, y3 \
teamserver.bat + ip + 密码
& R+ f9 v. _* w
8 ], s) G3 y) ?
7 @) |' p+ L4 ^1 f 3 {6 }. x, R$ s6 [: j% g
( S& G8 Q1 I- W% d) K
. R2 i' }- \/ T; I$ f! B1 L* n) B fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 9 {# i( R$ L8 l4 g a
8 x% v5 e1 e# w% j! \3 J* [( s7 O
2 a5 x* u2 ~- g& Y- m9 a( ^ 6 x9 Q4 \5 H7 W U
) L, [2 l: p4 n! G: r6 T. c* n
2 `' i: |- [' G; i8 x+ o ) [& B6 A1 T* ^2 }9 u8 w+ `) ~
+ O0 i9 H; H, J
8 _) g. k6 x" B# q3 X1 h 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
) y1 H* U! N# t0 V% U& U
1 J! J W5 ^/ U0 y9 E9 Z' G8 h . s: a. F) H: k8 |2 M5 V7 K
# }5 |/ T6 Z2 s6 Q F
# e* ?7 E; Q4 O+ P0 j( S; y+ m0 X , H/ [4 A$ y: f2 e9 ~
: V0 F: d5 |* v+ V$ F( e5 T: r
( }+ \8 {" T r fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 - h- m) d0 e/ s+ @( b
, T+ U" `4 G; l5 E, x( m: d
& _- N# A8 \$ }7 Z PACS系统 ( b, I" B2 w* C
+ ?2 `5 D1 N! D
" j2 f4 F+ R( o9 k; R0 V. ^ & E2 B" q& y2 N
% A6 @% C* E# y
! w3 H+ Q7 t8 j$ u7 w
7 U$ }4 U: m2 P- \) ]: S4 b% D) v4 ]4 ?
# p2 i- j) }9 Y" s$ P% | ; y! `- {; {# p* T! U% C2 z
; ~* }4 F9 w% F4 i/ f- u8 U
# a2 a# o+ s$ W HIS系统 , C- c5 j G& i* e+ k) r7 Z. C
* X7 _" g' W" Q* V4 l. _$ z- n9 w
+ B: w$ \) ]. W X) L% `& Q & R6 d8 ~9 S, i, ~" r
( `. k n8 T6 ~- K" S# q
" S \1 m H8 W3 m$ w! y& B8 ^ 2 t; n. e) d0 S4 i' L
. h% C6 K- K2 H& |. h
2 ?' b8 L4 M) _- ~ ( p. v8 ^9 I$ C/ |
+ H% {" R& ~9 M# h: [6 K
6 h" V2 m9 `% M3 I. e 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 8 |- V3 v0 g' _( r# N/ D+ q
$ n. U: d% T8 ~! L$ k2 Q" |: i! g
+ `2 ]: m$ I& _. h. \3 S2 Z
6 c+ I$ ]6 _- y
x# w& ~7 W4 ~3 _ & [" U/ e$ x9 r) c3 Q, o% Q
2 l4 w# X4 I3 V7 o+ f6 c6 S
) Q( O; C& d( S 后话 ; t2 U8 q! T6 L+ A3 Q; L
" J: M; _4 w9 l' q( x/ {, l n
6 _$ T) i( q) _$ j) F 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ) w, O0 u* j2 b! U+ n( R
* U8 m" G, o5 @7 }0 b% x2 [
( e; O- u0 k8 |6 @. c/ x . z+ @( r5 \: }2 }$ d2 }
2 N; l1 \0 n. ]7 g) ?; b - {3 a U; A. C' _ r9 C/ X- ?- k
' @3 g9 f- k3 R0 X4 Z3 C: n( k$ ~8 } ; g4 N6 S. J+ M- s, H1 ]
# T6 Z6 Z( O- s 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ) p3 H1 `% }9 R7 N
' i! V( O1 M' f, \) `5 J$ \
' ]5 e: r& c# u( q# w5 E 4 t4 P+ _ X7 I. j
# n, a& ]' w: m6 e! }

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

$ S Q7 r6 U# ^ 无线or有线 5 c+ |& R- `9 |. X5 {4 g/ i$ J

+ i# X' [+ D& d 内网渗透% v$ t# h. k' Z) f