记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

/ b& q. c7 |* B! P 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ) ^; H. b7 x5 p

- P! X0 A, z4 B9 p% q 众亦信安，中意你啊！
; G1 Z, r' Y- \: I3 [; A2 ^
( r' l, R0 Q) K* N+ o ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ) y- s' @; N* \) z4 ?* x

5 ?3 n. B- Q4 u3 h9 A1 @; ?1 m ingFang SC,serif;"> , ` X# L) I6 ]/ q8 D! k# J

6 C" z) A5 V& Y8 s7 E+ J$ t
; [$ e1 q' Z9 Z* K 众亦信安 ( z4 U: ?8 m2 F7 c/ ^2 L# R
: r8 [5 p% o K7 O g
7 e. k# c* @# z% x# B3 j+ y; b. ? 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> * u; t* o+ ?: |
+ d. k* ?8 R. d% p
8 R( _& N4 A. J' T5 i" h8 [4 Z ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> % P) g; q$ F' w$ E( T4 q
$ p" D+ o: z: l3 I4 v
1 ?7 @$ p% Q' l2 `. m0 i& H 公众号ingFang SC,serif;"> , P* L+ o0 f9 T u0 f) k4 o! i
, C- K7 [4 [& p. b5 U) _7 Q) j
0 @% i% ]: j+ h* n+ T% g, a
* B$ x. Z6 I8 c- V; X, P$ c
6 }0 @* T4 T7 o0 H& ?1 T : j8 C2 u3 G6 j7 M5 |
r- x7 ^& v% A0 ^0 Q' I6 V
点不了吃亏，点不了上当，设置星标，方能无恙！ : w, d- }% p- t5 I, t8 K
" U8 Y/ p1 e$ ^* S v6 `% w ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 5 p& V L9 Y/ ?3 o
& ]* p6 }+ ]( D0 u" ]* E/ c
7 ]+ |- D* V9 ]4 \- | 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 / _' V# ?6 M; F5 c7 L3 y- k6 u
+ M! Q; H+ m/ |! |6 {% `
* g! [. [0 L# j8 Q f' G 6 H) _) v- S0 C, R: p/ _
/ ]$ u& a3 M% l9 v4 S1 ~
- K: f7 P V* \' X+ U 1 A9 Y w2 e: s7 {( m8 h |
4 O& g7 {; G8 n3 S( U( K 无线or有线 # G G( d3 E; B2 }/ e
- r( A& n5 @% E" f+ Y ' x; N j8 Q$ p4 I
# e5 n9 w% g) ^* J( O8 W" V 5 d$ P; I& P, N/ p w0 \5 O
( m( H7 M% k* P9 E0 y3 ]) p/ Z& u 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 . \9 \3 c. _( P: E$ d6 x# k6 s g. m. \
( T, @3 q' c2 F! \0 k9 h9 L4 l
9 j: P7 h. y( U/ C$ g 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 % c4 O. { `# {2 e
7 `+ |, N1 Z7 n. R
- q9 z6 P% Y1 o, _. v9 y/ O % ^4 c! {$ E- q7 o. n- h7 X! Q6 k
$ m _: I$ @! D: d
+ a! ~4 D: u# i$ ]# t1 H - d' V# z9 S' W8 `# Z, u' r# P
8 s( d3 W, T6 B- ^* a
9 t) g/ b8 C, ~ 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 C7 E) g' E' N/ t
, @5 n0 x! V( E" Z! v$ F7 L- t! z
9 V2 E- e- O9 O: C" X* G# c * T0 z+ \1 d9 `0 @& M
5 f6 m: L% |9 U
8 }( L. k+ l% C9 G 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ) A8 L3 x6 }0 U- \" |3 o& p2 |; A
) s5 @& ?8 f! u6 H
) W" W6 X: q1 t! R 3 x+ `- z1 m6 z) t$ p6 w G
0 J% A& U2 [1 p* _; @
- ]/ Q1 ~3 L4 `1 W5 r 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 / {, w" j+ i5 I
, h* ~& P, F$ x" W. w8 X) S
$ P$ q- X1 D ?( F4 K! g t 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 * I. P$ L! g! p5 C& @0 M
! j5 u# }3 z" y; r4 c2 K
S* m! F% h0 `; S' `$ ? 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 & j) l6 ]; Q0 i G! p- `
4 t9 H' u U, P6 O% q7 o# _
) X+ f; ]7 Y+ p8 e. d8 m- \ ( N5 a( r; m( k
% F& |4 G" P1 V 内网渗透: y' c% c; J* O3 a5 v5 d; _
. t2 M9 ?& y, v/ k7 @& F 0 x3 f0 z: Y7 A+ F' F& a) v, O
8 c Z6 b$ u5 E$ w ' ]" g, s) r4 [ c. f8 O
) `7 b0 |! q @6 I8 l win下搭建cs和linux类似。 + E9 J0 [+ O: S( H' Q
& O% I9 ?3 `4 O
4 q/ ^% O0 T. u: Z9 ?$ I5 j
teamserver.bat + ip + 密码
0 Z2 h& ?6 n ]
# G: N$ M! J* x
! @" e# I0 c/ m 4 L6 T8 g& {; Z8 G
( w- Q$ @$ F! f+ Z: F) z
( p; S. m8 Z! z+ Z' U: V G6 T fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 6 Z) q& Q4 c: y9 r
) P# L# S5 {9 Y3 r0 a
s& P* }$ {# z " v- f) G* h3 r% Z+ |# } w
( K" V/ p# D* ~
g, T5 s1 X' Q0 ? : d9 |- j% v) |& W. ]. T
5 ]# G1 l, U2 Q2 M
. S, Q4 G& u" g3 y$ K 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
" c6 \/ C/ Q2 n" `+ o3 ]
7 A4 b" N. s, k; _6 ]; I, @ N1 m7 l4 ~( W! x6 t! H
: I* R: z" P4 r8 y, @8 A8 W% Y8 V
7 A+ Y8 ?2 e% i1 g 0 S; f' [1 y6 e; |
" I; K `$ m" D, H
2 l: Y" V# b' L! m: `1 f3 m fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 - @1 N' C L3 ^: e
/ o' a; ^& M/ p5 K
) Y/ Z5 R# k% z, X PACS系统 / n0 K2 P4 j+ o* u! y' i- t% o
2 k, Q9 z5 s7 ~' E
$ i z+ o0 L7 M# A: q+ x: |' n 7 X- g" ?) ^" a5 ?: F# I
) |9 t; D8 e) Q9 D0 A) T
) Q+ q2 e$ c3 l/ Y+ A. Q. O7 s
( w5 ?& ] ?8 ?" K
+ f" r3 n1 c/ O \( a0 z+ { 8 h+ S5 y/ f3 z0 i- R' Z5 u
+ z8 A( Z' r; \! H6 q. v, q7 G
- _& D. n$ I7 m7 X8 B% j ` HIS系统 6 z& s% w- \1 b& Q
2 V/ Q: n1 W$ s/ f( z' K
( T Z0 ^& [' v7 E5 Y# @7 H - r6 l4 X( W$ v s
- C' B' `5 U2 Z- ]1 }$ P! V
, j2 r$ _5 i4 Z/ X7 ?0 ? @7 i' x# S+ Q! A! m4 V
4 V% g7 v" |/ C, U% W8 P/ I8 y
% u1 D) Z/ b* F6 h6 F 4 H( N2 d4 E6 t/ r
; D, x* H+ I2 `- \0 f) O& ^
0 D' U& H9 K. n$ S 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 7 B4 B9 e/ e- `& l7 ]1 L; P
# w9 E u- v0 Y
0 { s( Y: m& f6 l+ K- Y
/ g, p" S0 v% ~: A) X5 N
: W7 c: E) S9 d, s 5 f! e( J# L# g& b! n
/ v/ d$ [/ D$ `* F
+ u" L$ S6 z A 后话 : v& r$ s0 c9 g6 [! A: u0 y" F. c
& K9 l# o7 c+ ~; K
+ v8 _) R; L9 M' K% o. v0 u; G5 s$ X 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 2 T$ \" ], c# F% M( b
* s" x& y7 c8 I* m1 E( y3 ^
" |* ^- F/ b# A& N& z - w( [( l: L f0 \+ V# ?0 Z! H5 J
/ w* p" i9 a6 b. ^- M ) F. w. t7 x- Y5 l& X0 j
* H7 T' \5 F0 |1 W* c$ v ; ^# y- B# g* o6 H# \: l$ l0 Q0 s4 O
4 {' c7 N( ?+ \8 ] 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 5 Y1 I0 L7 Z. \# @. X0 C8 w
0 Z2 u+ M7 Z# E( L
$ u' L3 B0 }4 m% c7 Q1 `( W 6 f% C( m; i4 `" M( S" Z+ O$ b
& t3 d% N2 ^' g

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

4 O& g7 {; G8 n3 S( U( K 无线or有线 # G G( d3 E; B2 }/ e

% F& |4 G" P1 V 内网渗透: y' c% c; J* O3 a5 v5 d; _