记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

% x6 o! M5 n! i) r 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 * X+ E( @! b* f& E+ B; u

+ _' n8 D }2 U5 n 众亦信安，中意你啊！
0 B7 \2 v0 x: a* i( i
# f5 e- J! r L2 V0 i3 G ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> + i; z: _1 e5 B( r3 ?7 p

7 i5 N( G- g$ j" { ingFang SC,serif;">1 g/ q( d" e8 v5 c( o

+ N3 M! `: J z# ~
) I9 o" T) b; u 众亦信安 ( Z7 W3 h a$ U5 q5 B3 I/ z! o! ^
( Z$ U; N" U" }7 L
3 D1 a; }% J ]8 U; L, j 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ! X( c. H M( q& D
* h9 b3 q% {* _- [ U
; ]* M* I" H* i; [/ E ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> " _5 M: i. S+ ?7 u
: K/ T& J j, a( M, v& S* v) p( N
& E% P" C4 \: d 公众号ingFang SC,serif;"> ; v* V6 |& Z% D6 b( [4 N+ a
% f2 w- P0 ~0 L
`' L" G1 A& t; P7 {' `! H
0 N8 b L; u5 A& I- [' I7 _
5 d0 S; V {3 ?5 e/ d ' p$ G# c3 r4 B* B) r
# D* k: R* z. g! L
点不了吃亏，点不了上当，设置星标，方能无恙！ 9 T1 D! A4 ]. T6 F/ T: c/ j
' Q6 ]: O2 I9 ]9 g# G2 R$ d6 W( Q ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> & Q0 J' E! ~2 N
- Q' D! J) x# b% ~9 w, J
3 _$ ~$ W( K9 M, p9 [ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 9 ?( l2 b( C/ R# n5 u
/ x0 _+ ^4 \* A1 e
6 \: O2 K. B! Y7 E ' P+ Q- m5 y7 U; g% W% u. u
8 L% B- `0 P' F8 @$ s) G& E7 l- O
$ G& @4 X) _% g& A9 O& M 4 B# x: K U& |. i
9 {( g; D7 u) d8 z 无线or有线 % M( g6 E$ _2 }' `8 O* X8 h
9 F+ |2 V2 L0 A8 b) Y* i 2 P) i/ O, Z `1 _7 X5 l0 r" Y
l' A6 g7 P0 m 8 M/ |! T/ B% E1 I- ?# f& K
' {1 d3 `% \% |/ O1 } 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 7 P0 \' m, N6 V' t
3 |" ]3 n* y8 W0 z7 T/ S; u5 w- C
( [6 N5 s' A/ G$ e$ o, ` 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 2 ~4 l: B9 O2 j |9 B
P$ g: a3 ]3 A
$ X9 P* `# n( J8 m* c% B0 b J' o, X5 \- X+ S& P' U
6 g, W2 G0 }# ~7 v$ ]! K* |& L
8 k4 \$ u4 h' U( k0 T; S1 k) ~ ) p% y% L5 J9 a" O4 |
7 Q; H" Q; ?7 y8 d
6 P/ ]7 A/ {5 G 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ; T1 I% F; U7 T( f* f$ s3 Y% |) T
7 Y2 s. j( N$ B
6 a9 _1 w7 \4 ^) u6 a7 W5 f 2 x* E8 B6 K: Q
" |. F' @- T+ F7 Y+ B9 k
# ~( ^0 a( S4 Q- G1 V. E. g( e 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ; b+ u2 c( e$ y- c$ F
. V% p! B1 k# @' X
6 I( r/ M* g$ J- `; ^8 u. O" S; j4 r 6 p& n! C0 a" v' y2 O
! |( E/ v3 l: S& q: E1 e* C; @! ~
( {( K W4 _# I# O* i 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 & A0 h& o( w% j9 E N$ e! R
) K0 C. M8 i- L( C/ b
9 i' N. b6 m0 ` 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 # L* p# M! g8 W
! J, x9 F6 ?* N1 @9 ~( p
6 [! w) \ c. K3 M( _ 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 3 c% Y+ o: A, b( M+ ]9 i3 {
* V" @- M/ B; F
6 S! ?; W- n _( v$ h: b+ U" ^2 x) r . J% q, W) x/ A- i/ f+ H _4 \
* _( C! L, X, q, j* l; h* \# Q% j9 L 内网渗透 6 D( l0 h6 g$ H \! z! B0 q5 I7 I
6 j- L' e# A) U3 e3 j # f- y. q' ~+ l0 J& ]* Y
/ U+ f* L) G' w & E* m/ k' P+ o4 y: Y
! M: A& E% A+ v! [ win下搭建cs和linux类似。 3 S2 e! e% e7 K- s" l9 v3 n' b
4 o6 p7 t' x3 V0 G# \6 {! N
# g% a+ P. E# c# L# D8 h
teamserver.bat + ip + 密码
3 R( `- t7 o, o6 F3 n
( b' x2 T9 s" A
* C. R" g9 ^& {1 P; T$ i 1 h& s( J: s* G& ~5 r
* Q7 ]3 o" }- A. p
- o* ?3 ^) @! L) z9 y3 V fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 9 y( N& M1 k8 f* x# r. x9 }
2 J8 q6 m: w, N# G& v
( `) Q0 W, a f& a7 U% z1 ^9 ] / B* |! q5 g {' a6 z5 y+ s& M
: ~7 U+ J7 J ^5 e
4 q! d! {0 b0 S9 e ) s% i; H9 {: [! T% L0 Z
4 h$ d9 N9 M2 y. b. n
7 c7 n" ^; y1 p" E) E. C+ r- a 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
! C. S ^) S1 |
* r5 S" U& s2 u2 Q" o2 m3 w, `$ k7 q 9 V) s! ?' u! [( p6 |3 m
3 ?) k5 J$ Z% H
. H9 R7 C B- H1 H8 b* a $ }3 D, _7 G6 V' o4 A! m
% m7 e3 d6 Q. ~6 j7 c
) G; s5 B3 O7 Y _8 j fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 1 j% r- R& x3 d
6 ~3 M' \6 v. N, |- Q
+ I) x+ |4 Q7 e! X+ h7 E PACS系统 + Z o" j! {4 u+ B0 h
2 u8 v- \' m3 [# q* |, f7 }
a) i4 h$ X- r0 _; E 5 |7 N4 O+ C _/ u7 @5 {
+ O" N; u- _1 i2 U; Y2 R
7 J% b( H, \1 a6 Z
# |+ O2 d: l3 t2 \$ a% D6 C
8 l# I4 P, w. X O- U& ] ( O4 k! t1 X0 `4 W8 |; @- w
* l" a& F7 B' |0 ]& j- B( C
4 Y: i/ @! q1 O. p+ \( `" x HIS系统 3 k I" N/ h0 q5 Q
- D3 F& _, X9 I8 w! ^% w
7 s8 z) c- p0 O O! |. p! t( @* Z' {$ J7 Z
+ f; H a% E* E/ [# Q. O. D0 k
1 ^+ y+ A; N( l% y 8 S6 C2 }, T" c2 \
; _. d n% Y+ l( S
" ]! C2 ?% \" o7 O: }) D+ R: L 8 J, w' E- B# I B3 S/ S0 A! z
6 e0 Q. p2 b; K. `- m6 D
! P2 M8 {7 _2 c) y' v" l$ o% f, l W 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 2 l1 ]4 ~1 ^" q0 F
! p$ [$ K0 j; W+ s" `7 ~5 Q5 C
* I: i. Q m! v7 j
/ l# M4 `* B; v
- B# g% {2 I2 G& i 4 B [5 k: }7 J( D
2 j# \7 U) O5 g9 C: ^- n
: }' N/ g4 G6 a l6 r2 B5 d 后话 $ ?% Q8 u: v- k+ P+ U* p
$ B) G0 `3 p/ w/ f' Y2 U/ D
( d& @ v" J5 b& B 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 , `# |" u1 C) V# g1 m8 s0 e/ E
5 r/ r h/ {, I: t9 N8 {2 F9 f
( ~" J* p0 u: h* M, p 5 b; c- U* @% Z; g: q* H0 k5 \
; C* l6 p @. {0 C8 ?4 l : L; E" N p. W$ Y/ Y
) X8 E. T7 A& c6 y+ j) r& z9 q3 O& T & Z( J: n: S' I1 t
# d( J y4 M! W 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 0 ^6 _4 W" B4 `' z% h$ m) X! K5 U' @
/ Y9 L4 [/ Y( ?
$ `* J0 e' d; x+ d) W+ v& A7 r / |. M+ h- |* r# {) T
0 c$ v4 U0 e7 Q1 W

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

9 {( g; D7 u) d8 z 无线or有线 % M( g6 E$ _2 }' `8 O* X8 h

* _( C! L, X, q, j* l; h* \# Q% j9 L 内网渗透 6 D( l0 h6 g$ H \! z! B0 q5 I7 I