记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

6 O3 @3 X. J7 d0 U1 _ 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ! U( N, z# F' V, ?+ e: y. K5 x

/ ~. y3 C2 g5 A" n 众亦信安，中意你啊！
) N2 R2 G/ |# i7 [- Q
* v' X* c3 V# K1 Q1 [ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> % A: l) W) E2 k

9 `" ?0 I- [: i& R ingFang SC,serif;">( g% p$ z0 k" s$ z4 @ |! I1 S( q* w

r! _. Z6 s D: d$ r
1 E) l5 U; K K! \4 \! K 众亦信安 7 I. o, A8 C+ t e
# q0 r& H6 U* E: g
7 |+ e, V, r4 O( `' W1 K 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 3 ~0 {: h" ] W$ X% n) Y0 n8 P
3 @- n; A; t4 h$ ]( ]: Q: ]- M$ h {
9 Q. b( b* z# c# k9 p" M, V ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> & _5 i1 ^' B7 w
8 T, Y5 j$ A" L0 a$ K
, S7 W; S% w0 F0 t* ^. | 公众号ingFang SC,serif;"> ; G# S# o" i' X; K# o
; N( P3 Q! i" Y( j+ U
F, j; X3 I' `, B3 A F6 L) I# U6 d
. m% w( O- F# _/ p
* ~# g" o) n' t! s# |3 s * E7 Q4 i# [; F6 h+ @+ B" C
1 j% n" ?' h! Q0 |1 f: O
点不了吃亏，点不了上当，设置星标，方能无恙！ " `& v q1 K& h% ]: r1 k: N7 `
9 L, u+ z. ?7 j: ` ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> $ }+ P$ d+ t$ ` X( s8 O5 q
2 E& Y2 W# g( x1 `0 Y4 a
8 _& }! p' o3 W1 G. u 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 A9 d5 j. K; l9 P
* A& i( B& S. @0 j6 L
+ {7 x: E) r. O k7 w/ O ' U6 M# h8 p" n$ x& d/ ~& w1 q0 C
% L9 b3 W" o4 ~+ [" Y6 B8 D o0 R
* i1 w6 ^! V: E8 H: Q5 n# K " u. ?; h) v y; w8 |
0 N4 t: K: A8 c J8 P 无线or有线$ T3 y' G3 _6 \9 F
- D+ I- E1 T U" R 6 @2 r$ R+ z2 n! w. U' V; T0 V% c
- D9 f, `7 i# U6 o $ ], @' x) K1 {" A
" A9 Q4 e. u1 b/ d) \ 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 1 p* E m: }) B% c! G( z# O
! C7 p& S$ D2 V3 s8 d0 l5 I
' Z8 t6 }9 s5 F+ t1 ~) a 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 * [4 T" N# p) L. v
. |# b" m% d% i
2 s. }' G. I* B, X 0 i) ]1 I8 U j, ?, i9 t
) |( C& u1 N, Y* B# e
$ W6 W# E- n' V, K3 A4 v # J4 f" B: ~5 F8 W; C8 L; P
+ N* @4 C9 @9 f4 v3 P( r. ~/ O4 r" _/ N
5 M7 W& }, g6 w) @( p% K9 a$ i% ]( R 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 " ~. f d a0 z$ U6 t1 D
1 U( P' B; W) Z( n& n
+ y) r& u, M$ K0 E- [# m/ U 9 d* b1 k% _. w2 @3 e
( v2 m: V, N( \0 t6 j
) n* Q1 u* R8 r7 q/ ^ 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 7 z+ B2 j5 l6 A8 r$ A! j7 G1 l
6 d3 e5 m) l$ l! `% x% G' T0 C2 I+ B
' n1 x8 n- f6 u8 R) M A ' m% k N% n$ |3 {" n2 ` ^
* l6 o4 h% F' a r2 J+ \1 i; r
5 r- W8 `% c* R! P: [' g7 S) c 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 - Z9 Z( N6 Q9 a2 x' t. [% j* H
" P2 J* ^+ b% |5 B4 ?6 @
) k' n7 ^4 ~! S4 _4 D7 [ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 . S, i" T2 i$ W1 ^% ^" Z
4 ^) n" P& J% n4 P; \4 d" L9 m* k
. e* e% Y; k9 e* i/ ]' j0 z 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ) G# X* F' S/ c: ~7 H
# ^% q+ Z) [2 I3 x
' m i0 ^& r, f' b& B 6 o) D) K9 H2 o
8 F! \- [, D. w! L2 q! B 内网渗透 . z3 R0 t) G. M2 X ?- B5 l
5 K6 b- D0 h' E 3 l% @0 e; J/ n+ {: p: D; O
0 C3 ~" E6 O1 x$ W# d' x; ^ ! ~- O' r4 U, x0 Q) t
% U# g1 A# }# M: K5 d) H win下搭建cs和linux类似。 3 X) B1 m7 E& [; {# R
4 p0 ^8 T9 r' \' Z! X. P: G# L: O4 q
( }) G4 E* j4 {* [6 V0 x! K
teamserver.bat + ip + 密码
+ ]- s6 ~" d& J+ Q' f Y& k
8 ^1 ]! c6 u9 t9 k m$ x. D% Q0 s- q1 }
/ ]; G+ u; z y$ i% ?5 S6 F ) Z2 R! C5 D( l' u( c8 ?
; `6 c- z4 F. Z3 p! T
+ @. n- _9 v7 ?: H* o" T$ i5 t. R1 N7 g fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 6 G1 r) ]/ L( O8 \/ J
$ |2 e/ w7 K% {
% N, a6 y+ K; `/ q) e3 Y& u " n2 v' @$ M, H8 t. N5 P
7 p* M; P' J+ d2 D9 ?8 m
" ?9 v3 ~: E* x) c& j0 ]9 p% S 8 i c/ W/ U* t5 P- @
( N9 ]4 `" x6 x' G( i" z
% Q8 w: L) n& [$ |9 R- m' r& T 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
- }* k+ d; ?; s: H
i2 \, r. y) h5 d7 a+ S + S8 }# r1 Z5 i* A8 Q
+ G3 ~! f1 B1 o. s0 J+ s
: b6 o. b& `1 ^4 X8 m. B. _ 9 b; m# M0 O3 ^# D, x
4 Q# |- j( j& i8 o, {* Q7 w$ H- t/ }' y
7 L0 c8 t2 K: G4 x3 [8 X fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ( D2 ~+ d1 |9 F, s# {, z
+ [6 Z e4 H. B5 N
' J. ]( q+ ~- K+ A9 x: o0 F7 r PACS系统 * r3 D/ P! _* C j' [# [) R* v
- g! y; W- @: `& [7 H: m; Z! T
+ X6 n; X/ f$ z3 l% l) _ " U/ |) i, t; u2 Q4 Q" |9 Q1 p1 x
. e7 M0 l* ?2 ~ ]
C( f; j) \. v5 q2 V, o; m* i
) r/ }7 @# j+ l! A" N3 {: N' r
3 Z6 e2 e! s6 a2 _ ( p& l ?4 T0 \3 g
+ D; ?' g. l4 T) k3 z
$ C$ f M6 x6 i HIS系统 ( M9 h' s6 R& E% {) z* w3 i: A
- [3 X' w2 B7 y, s8 G$ j6 d: Z
/ r# f6 x1 E; F- C1 K! \! H+ V. e2 X& P8 H + X: m9 ^; J6 W. y7 W! V
- ~8 R" n( `6 @7 [- }
* H7 E0 V4 t# _% H4 R0 ?' ~. t 2 v, o& n: N5 U" X3 Z
% O1 Y( p* @$ s" K6 N; h
& R% T- Q" p; L: P- h0 E ! j& h( Z0 n! Q7 O* H8 u3 C
( r6 ]$ }/ s2 _! I! X- K! M( {
2 |0 h$ b6 W% R' ^8 e9 f/ $ Y 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 2 g8 r* z" |9 @
1 r/ y) l& E! X( P3 `1 q
( A9 {* h/ F3 c* [3 k0 }/ J
5 k _$ ~! S/ T1 p( ?& Z! j
" n( j' r( H* m% _ 8 `4 d( n) z P- Q
) z( V, h, @! `. T) L# }& D
: X/ d" C: H+ @$ }; {9 D# S 后话 ! y4 N ^( V% S. P8 W( P
8 F) |, j( E2 s) }5 \- A/ r. n
q9 G; W. S7 [ n 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ! P- u7 }1 N9 H" N" c2 U. t$ {
) _) l( @; a& l ]
: h. Q% c# m/ d, g; e , z v, Z: Z- ~! `: D' F8 j7 X2 c
$ ]( E/ M) P8 _1 y, \1 {% H 9 Z/ G* F0 `# y* P
2 _4 $ } n% j3 ^6 @# ^/ y + z0 |) @' I6 r. }' v& j3 V
/ Y3 z" C. N6 U8 D' T 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 / a, e5 O# r$ p. n0 a
9 i. O+ i$ E7 H% x" K& t
E3 i0 V: t3 V/ @3 q3 I# F% q 3 t& T K9 y/ B1 @' I, q1 ?
+ }. l3 D6 I' ]0 g8 P4 H8 ^' m

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

0 N4 t: K: A8 c J8 P 无线or有线$ T3 y' G3 _6 \9 F

8 F! \- [, D. w! L2 q! B 内网渗透 . z3 R0 t) G. M2 X ?- B5 l