找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1863|回复: 0

记一次某医院渗透(近源)

[复制链接]
发表于 2024-3-1 20:15:03 | 显示全部楼层 |阅读模式

4 E6 G' H7 \" A 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 7 l# A, {8 ]( ^* ^: Q

+ R/ X& |4 o X" ?

- p! c5 M( F- u g" F 众亦信安,中意你啊!
P" S9 A* w( X+ J J) n3 t5 N
9 z3 k6 Z/ c9 J$ s ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
8 m; k3 ^" W" W' j

0 V# H7 W8 t9 s d9 J' x, M

, m6 `; X1 ^7 [ ingFang SC,serif;">. ], _' w- M7 W2 Z: \# U" i7 [9 v+ y

4 x; Q4 v$ j! n- Y
j+ P* i* {% r3 s( Q) b7 p

x$ B- }) V, y, W1 K 众亦信安 & B4 E8 P& @/ g8 c7 C

6 O: F* f. A) ]- o* w

r# y, ]& z9 F, c: h$ ` 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> $ M. ?. t) u' s$ P7 C1 _& M

8 D* B+ m: s" ? |: A5 m7 K. ] L2 `

- E7 Y a8 r% L2 U# X ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 1 L8 T; a7 j, t/ Q+ |

, |! M! |( i$ }6 ?+ U( p- m' `* W

/ y1 b! Z" G2 I" s 公众号ingFang SC,serif;"> , z6 f, r, r+ W" X

. o5 P; X& f& S: z. Z: _6 m

# e! C4 h7 B! n
4 f3 E* J6 U7 j& G, m
- a3 [+ n6 p% ]" ]! ]
! D r# _) K" i# z5 |

- F; n! @/ I7 O1 N
点不了吃亏,点不了上当,设置星标,方能无恙! . H8 ?4 T$ t% X$ R7 ^. D

6 U# L+ P$ u) y! x ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  1 F$ U, H9 a' a% w- @! v

: D" ?0 z3 |0 b+ u; \$ Y9 O

. j4 C+ S. g% l' {. w# q; C5 W6 @ 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 2 p) p7 a- ]. t2 Y$ _1 y

: ]2 a$ m3 J$ |- r7 V, n

8 i0 W+ w+ y3 r' D. l, b. `   ( e% \. N; r& n% h( I

% ~3 G, m z# j. t
# C6 { J% N; n' } ' y0 N, m: a( s, h0 m) p

1 p; W3 Z. Y7 x 无线or有线 2 V; d B. }3 |1 f8 \3 |9 s1 e3 S( ^+ R6 {

- v# K6 r# \- i" l7 }0 r. l
% {- D, b& n) a( A8 l
% B6 r' y" P7 ?: [7 r8 M, l 8 }* Z' |3 X/ J( |4 G

3 f! R! [* D5 U) I e$ M) B5 v 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 7 x+ }4 P% r7 q' c- l+ X7 |! k

* I" j6 ?# U7 _( a' A

1 x$ ?2 W3 O; h [ 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 ) ?( p. L/ H! t7 C/ G& G3 B4 i4 \* ~' C( D

9 }) j) l# H9 x6 S1 T

4 L& H7 `$ w2 U2 }3 A vshapes= + v! E ^0 F2 g+ m; ?+ B

1 K) P& v, `- V/ ~- {4 Q* k! M

2 S" }4 N) Y! t& ?6 h vshapes= / F3 q5 E& i( v

* g$ o3 k8 Z( M/ A# M) q

% [; K x! s; g! |. ^. S, N 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 2 `- H9 ]3 D7 r. L2 J7 y7 \

( ~6 n! P3 H5 {, Q

+ @; i7 t0 {8 f8 m: X, y9 {, A vshapes= 4 E+ J2 w, @+ g9 G+ T5 e0 v

) p* R! U$ _: U5 f

5 s' C" ?* g+ [# u7 ~( o% ^: I 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 5 C# j" q' k, s

+ h) s0 Q) O( a

1 w0 I9 s( f7 G+ q( d5 R$ [3 d vshapes= * w; u6 |4 P9 p$ X3 x0 y. Z

- V) O6 z% ~( ^1 l9 |3 w+ n

+ @* L. o$ b$ G! k+ v1 }. @ 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 . n; n h# T" x3 S! E

8 U8 {; B, @: [( Q' u

! R: P( E' v# |1 l. U; \ 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= & z% B( i4 K0 ~ X8 W- r& K

6 R9 F8 d8 T8 s6 G9 M) `

9 k! f2 U y3 b3 X3 P8 y3 ? 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) : V' ?; {9 n4 j7 B+ D9 X E

! u7 V$ N5 @0 J: K6 e( ?& b. U
5 C9 |- t2 ]& E" V$ M" B . z4 I8 ? p$ M, u8 v8 K& G

: Q# i+ |4 f; d0 v# U 内网渗透7 \( g. s A! y8 e& d* V( x

' a# b* ~' P' S% G h8 A
6 y9 o( j: v$ ^7 L
5 }% E* @) [# D0 x$ b" \ 5 }5 ~5 a z0 Y% S3 D

1 h- h& O y5 m+ R, t win下搭建cslinux类似。 $ T- k0 V: a, z/ ^1 u7 x# g; U3 ]

; ]8 |; L! I3 w; x. d# d
" t; N/ o' R) K6 p0 Y& |: w
teamserver.bat + ip + 密码
2 Q6 Z# ?* `! k
* O; U8 t4 V0 k- O# t- x7 d

V+ [" }0 O I/ M+ g vshapes= 5 A s/ j% D8 B0 O) f1 W

- f0 {2 }- G0 L

1 t( [( p) S0 }" M( f$ Y fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) + ]" _: k* ?/ ^% P0 \) q

; _2 S* x4 \6 N. D( e/ \( j

9 F# |; P7 }' M" Z: R vshapes= : b7 D) j( f, u; K, I& v8 ^

2 l+ }# @/ }. t, |

' }/ A/ E9 q9 l1 Y9 E vshapes= ' K' C) o: U) I i9 v: Q/ Y; I

6 _; L. _3 _( X" u$ J, Y& s+ E

% m5 q2 q a" D$ D+ a/ H; s; A 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
" S. v. N, f) p- t
* E3 M& h" P& Z% Z8 T
! m) Q8 c. `/ F7 _$ l, W' r

1 g, b9 @ V l( \( e% {5 r" b" [

; p/ b# [& c# b& ?& P vshapes= e! c+ l! c/ _/ I9 M- z2 i* [& o

7 u3 u4 Z9 ~ }" L3 @8 w/ X

2 P% b* T0 J2 ^( p$ Q- O fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 7 r' W7 \2 q$ i3 L9 ?4 O- O

1 P/ R p" M% V% r6 u! Z

$ F! B+ r# X9 e5 x) R$ A PACS系统 % X" A; V' [7 t3 E! p( _

: W% i" R; t5 i& _4 \6 K9 w

0 B, D2 @7 z) n! t# I8 _) h vshapes= 2 B. V: N2 U2 g4 c2 e4 C% M

3 C r0 A7 }, D) g2 h

9 d9 g; e+ a& q+ P% N vshapes=
3 Q! @& u. _7 l* d1 j! w3 F a: z
" S! M. J: L5 m, b
9 R# k" `- \ A9 J

8 Q$ n* m9 l" E. I6 D

' `' \/ A& [' s$ S HIS系统 $ V. _. u6 s3 ~* L; ~& B0 H4 \

9 z" j( E- Q9 I% f4 s

: ^# a: I' `+ _( G) i% Y vshapes= / q- G7 Z, D: |( f4 g" n0 P! H

* ~* A( p* n, l

) ?1 S: A/ { C: n) a0 H   , q' _3 O I# r0 Y1 C+ p4 s

, v1 g2 e. v: H' u8 z) G

i" t9 ~. E9 K) U z h0 `9 m vshapes= ( h1 s8 Z( d2 h8 V4 _

! Z! Q1 I3 W' g& V0 C0 O

) ] Q; r$ X3 m6 v5 `! {. C1 d( c 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 ) `' s2 F- M$ A

% J# N/ w6 ?& h! i9 l( R

$ A5 k9 P; a, S9 f
! W1 O; k( C4 F: h
- K. f4 ]$ [ k( y3 F
( }2 f9 J1 Y1 F. x$ m

' H/ d; l& ]! S8 i

. ^6 V- w0 X6 \: c0 D 后话 + o; I4 p( L; o0 ]$ Y. h

5 m5 {& W4 k' f' n+ Q

' F3 _" n4 I+ G 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 / W# U( }% \) V4 {' b

5 r9 X0 y1 h: X6 O, u% n
/ g3 K- m" l" ^/ H9 t5 } ) o4 [$ J" M4 G* [6 E
) `; _3 T; e+ \. N
2 T2 [( G+ U3 E# u
7 P8 q5 S+ s' A# a6 P9 F4 N " F, `) |6 N& H$ g

! ~6 @- ~8 ?: t, v 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 * p( J: Y: X4 d# d& p

; v8 K% U/ Z! X* T1 k! x

" O6 s B7 N( }% Q( L   : T: L9 F% J7 \% R

: h2 i `: g" n8 J, X+ ^$ R ^
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表