. F4 c% u4 D7 x3 N: Z9 y3 I, d
声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 ; j# ^ E2 `5 ]1 w7 l, f& _
! {1 s/ U! x1 \+ @% @( h
2 f6 s8 C' I' ^% D6 e4 `0 s% W
众亦信安,中意你啊!
$ v+ C8 ? y1 t& x4 Q- x0 F . ]& a9 |6 v( @2 B9 [$ J# b
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> / `, C$ U) [# K4 A9 Y
: f+ g" G( T( p; K: J
7 H& Q. e5 I( L) b" _* \
ingFang SC,serif;">
, Q) s+ @* n& X* L! c/ a
) z* M; S9 j7 U ]
+ W; A6 V3 N+ g8 @0 R
* D+ U3 r! ]. \ 众亦信安 ( V2 C1 r5 M/ b4 R
2 H! |. y. l/ n* r8 b! K
" ^% t4 l4 ~: z 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 7 O/ ` P4 j) e3 c
5 |# }1 L2 d, l; n& A- O o
" \4 s2 M; U' |8 J, {- G% c1 B ingFang SC,serif;">26篇原创内容ingFang SC,serif;">
3 C6 x# l8 a% u
2 z$ U: C+ `. d* Z
# w: } g* _' h4 O5 `4 L9 E" R d 公众号ingFang SC,serif;"> 0 u: z& Z9 {- a% K3 l8 W/ E
5 p+ e8 K0 G9 c8 v/ c. B
@& r1 K) n2 M! b. S* F) `
0 m) n* Q [ u9 q |) D # t0 E; c6 w$ ?2 k2 T* k$ I, S
' ~' E$ b) `5 s" }
* v, Y% S5 y; w0 A1 C点不了吃亏,点不了上当,设置星标,方能无恙! e6 G% P! g4 S
9 Y% v S8 p5 T+ t0 o
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 7 n' b+ Q5 g4 i6 V# ^- p, @
' J( m' ]7 j: z0 E6 k2 G
3 q4 l$ X% Z: M6 U$ a/ \ 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。
* S/ Z; Y L& Y; y, S - {* W- v8 O- |% ?" i
: J. k+ x" R! P8 K6 R: M' B9 a ) m, X! A7 [: X" g
" X, [* w9 G3 p3 _$ X q
2 X; _+ R8 n$ X: W6 T& B
+ m# s7 A/ X4 ?2 Z, v/ W 1 M1 I+ I- L0 ]( ?# f
无线or有线
9 j8 u: K7 N9 @7 p5 @( s3 t
, \! i, T$ A* f1 A. E8 h% Q ! P' p$ D( e, {! B0 s$ _( ~
- M( l! c: y; d
2 {) k6 U X3 R- E" b4 t- [
4 O6 `* T4 a# K 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。
, `3 X1 R: m8 _) J; _! z 3 r. j* ^: S0 j) t) F
( e" N" |$ J9 L- O) b% ` 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。
: z1 H& \* V; K8 K # ^& J( Z$ Z; L6 {4 N3 X" B
7 j9 ~* o0 c9 [
- r6 E# a6 V0 J# y7 |% W# K
, ]! a& p& O6 Y7 c0 V
; z* B, X1 N9 F; O p: j * t) u( c) P' e6 Q
. o' G* F Y2 g4 i
0 Q7 ` r1 b; S3 a! I5 U3 ?- _ 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 8 T) e0 P9 ~) ^( n4 ?9 c
6 G: S/ C2 R6 T6 S
4 q) j, Y* d: A$ {2 V3 }+ M
. k2 G4 n1 C* m* h
. p) f4 @! o3 ^- ~, f1 T) g d2 o$ a' H, I* T* k
很快啊,美团下个单,没得网线啥也不能干啊。(血亏21)
5 q) [. y6 q' Z: |1 G" i. I$ G ' O9 f/ S0 _6 e- H, Y( \2 c# m
4 [: j7 }% d% J) T% o
( G2 v- z# }8 A' S
5 ^8 d3 [* [5 o6 y, s8 W" e
2 G7 {. n/ \1 n/ _. \ 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 - q$ G! e3 v @5 ?
- I9 x5 ~8 B; a/ q4 ~$ H' g" j
' h$ C7 X. u( T4 f9 g. E9 X" q& C
这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ( |$ u) d) u. ~5 X3 T2 ~
+ R Y* O, p$ j: A& d. H9 v- q$ \* ~: t( g1 G' |6 n
一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。 9 v% \% j& P7 a
6 ?& X6 b9 I( ?$ }& X. Q
+ F2 d2 W- V2 ?- p
2 ?, @1 E& e' a8 h2 d% i) Z6 \/ T8 U/ m
# Z$ `$ u; ^1 t- P 内网渗透
" o5 E) c5 `9 E! s4 r! C8 t" j * T' V* e4 G; e6 \9 h
/ A W/ q; o- k R/ o
3 u. Z4 Q0 C9 R0 O b % Y% ~& Z4 i9 z$ o! `
# e$ c Q) C; H) I* H win下搭建cs和linux类似。 - t! w& P) j: @6 g; \
# D* z! m4 E0 U
! i. s* R% C" A! L4 r% L
teamserver.bat + ip + 密码 2 i; a( H3 R, u1 h; Z& K1 H
2 P5 D. l0 g" f; k7 ^6 O, t
9 I( I+ J- k7 G5 Q7 e! u% B
" f8 w, `& F# w
3 I( \* j. h7 m v5 J O
, T; F7 i5 c: v1 s0 y0 F9 H fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的)
" p! y5 G {! v0 U2 i * l5 m1 K, d& D* \
+ a, \. T, P) L$ m+ A0 P( X$ K
. _8 v; F) X% a
2 l" R+ l) O+ s3 M* p+ p- x
/ r" T# L* a- ~ Z& n, l
0 h% Z6 {! E3 n. @ 8 J! c* _; @. Z3 w4 P1 r9 l
% N( ~) h6 L' P+ x6 R0 e2 m
通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
5 E" w3 A) o6 L4 v: b3 R
3 u% X0 V1 `+ d5 [
$ i1 j1 l; X+ \, G ' E1 U: g0 `+ n6 F( S3 Z
0 m: K. U; p ?- a
! x/ s) r3 l& g
, n) B/ O3 F- v8 W% C M3 O
8 h" E% h S* O0 p9 }, F4 g
fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。
! ?- h0 [$ H# N% s6 @ & b! V$ T" I1 j$ f) q
/ j2 M2 h9 N: q f6 L& a; j+ W1 C PACS系统 $ r' Z3 f8 a$ V. D5 M
{5 \: [7 |" x. ^ h& c; u
% n- ~3 K7 Y. ]/ H% c
1 {6 B2 n; J: G1 W2 m" A) o* H, f & s2 \" A) s* S
6 Z, ~% g# W" n
3 ]5 |. s& t; D4 ]+ P2 @8 D
4 Q8 Q7 N2 R1 w9 ~* i8 z9 G6 f, P, [ " s* X. j* Q$ N/ }7 s# F% Z
" {+ M. h h. n! d
9 d" |) M9 Y u- w2 g4 h HIS系统 6 P3 M+ n1 c' F' c ~8 F4 X
4 a! N% g2 {' y7 C, L
! \& @$ S& x' U4 m0 \; R# [
# z& S0 ^0 ]6 F* v1 T! Y
, k2 L" Y/ D. m, @- V
- k6 w1 }5 W2 d, I
% R8 I- ^5 r. k* o# j% g: a
0 ]" t7 s& m4 N, u8 D2 H6 @- k1 k/ N0 f* d* @0 ]
# @: Y# J: Q6 W# C+ I
& I; ?! M9 k! t9 N! k
' \5 A9 Q! f/ ^7 B: W: m+ t 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。
4 f) l( {2 y8 g+ x3 n3 C' P \8 X
. a* o$ g5 @1 m4 i O \3 _% U8 T! J9 f* Z
9 ]; s/ ^% s/ O/ s
% ?& }, X1 F; X" O" a, @- \
9 V* v5 [) m7 J8 W1 @
$ P$ _3 ]5 [9 g( s" O( B; V& O' N% l/ v+ G# T5 R4 w. k
后话 # Q9 s5 v8 X5 G! |* `/ q
7 H2 ?' b4 @1 U. i
. ?* e9 E8 z8 f& D
算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 % `: n4 Q6 ^: p8 c* m
& E4 w8 D4 T# t. D/ X3 v- `$ T) e
0 ` F2 k$ m( x+ B% y; G4 L
, i& c& M6 a" y
( v" E8 J) ~0 M- T: Z: @ . U! F) ?0 L; z9 M9 H4 `
. {% {3 x0 e1 p$ P5 w: f
2 i2 M2 M/ `- r" t' Q+ W2 Y7 m2 _! V, c
点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 ; U+ W1 l: |* o4 K7 |5 t
6 [8 D: I: A& }# e9 `) a1 h
3 X/ J; e6 ^2 i) D2 F# a
i, _1 a, W# b: E4 z
- G5 b6 d, l' M; a! ]# Q. J
|