找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2544|回复: 0

记一次某医院渗透(近源)

[复制链接]
发表于 2024-3-1 20:15:03 | 显示全部楼层 |阅读模式

. F4 c% u4 D7 x3 N: Z9 y3 I, d 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 ; j# ^ E2 `5 ]1 w7 l, f& _

! {1 s/ U! x1 \+ @% @( h

2 f6 s8 C' I' ^% D6 e4 `0 s% W 众亦信安,中意你啊!
$ v+ C8 ? y1 t& x4 Q- x0 F
. ]& a9 |6 v( @2 B9 [$ J# b ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
/ `, C$ U) [# K4 A9 Y

: f+ g" G( T( p; K: J

7 H& Q. e5 I( L) b" _* \ ingFang SC,serif;"> , Q) s+ @* n& X* L! c/ a

) z* M; S9 j7 U ]
+ W; A6 V3 N+ g8 @0 R

* D+ U3 r! ]. \ 众亦信安 ( V2 C1 r5 M/ b4 R

2 H! |. y. l/ n* r8 b! K

" ^% t4 l4 ~: z 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 7 O/ ` P4 j) e3 c

5 |# }1 L2 d, l; n& A- O o

" \4 s2 M; U' |8 J, {- G% c1 B ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 3 C6 x# l8 a% u

2 z$ U: C+ `. d* Z

# w: } g* _' h4 O5 `4 L9 E" R d 公众号ingFang SC,serif;"> 0 u: z& Z9 {- a% K3 l8 W/ E

5 p+ e8 K0 G9 c8 v/ c. B

@& r1 K) n2 M! b. S* F) `
0 m) n* Q [ u9 q |) D
# t0 E; c6 w$ ?2 k2 T* k$ I, S
' ~' E$ b) `5 s" }

* v, Y% S5 y; w0 A1 C
点不了吃亏,点不了上当,设置星标,方能无恙! e6 G% P! g4 S

9 Y% v S8 p5 T+ t0 o ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  7 n' b+ Q5 g4 i6 V# ^- p, @

' J( m' ]7 j: z0 E6 k2 G

3 q4 l$ X% Z: M6 U$ a/ \ 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 * S/ Z; Y L& Y; y, S

- {* W- v8 O- |% ?" i

: J. k+ x" R! P8 K6 R: M' B9 a   ) m, X! A7 [: X" g

" X, [* w9 G3 p3 _$ X q
2 X; _+ R8 n$ X: W6 T& B + m# s7 A/ X4 ?2 Z, v/ W

1 M1 I+ I- L0 ]( ?# f 无线or有线 9 j8 u: K7 N9 @7 p5 @( s3 t

, \! i, T$ A* f1 A. E8 h% Q
! P' p$ D( e, {! B0 s$ _( ~
- M( l! c: y; d 2 {) k6 U X3 R- E" b4 t- [

4 O6 `* T4 a# K 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 , `3 X1 R: m8 _) J; _! z

3 r. j* ^: S0 j) t) F

( e" N" |$ J9 L- O) b% ` 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 : z1 H& \* V; K8 K

# ^& J( Z$ Z; L6 {4 N3 X" B

7 j9 ~* o0 c9 [ vshapes= - r6 E# a6 V0 J# y7 |% W# K

, ]! a& p& O6 Y7 c0 V

; z* B, X1 N9 F; O p: j vshapes= * t) u( c) P' e6 Q

. o' G* F Y2 g4 i

0 Q7 ` r1 b; S3 a! I5 U3 ?- _ 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 8 T) e0 P9 ~) ^( n4 ?9 c

6 G: S/ C2 R6 T6 S

4 q) j, Y* d: A$ {2 V3 }+ M vshapes= . k2 G4 n1 C* m* h

. p) f4 @! o3 ^- ~, f1 T

) g d2 o$ a' H, I* T* k 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 5 q) [. y6 q' Z: |1 G" i. I$ G

' O9 f/ S0 _6 e- H, Y( \2 c# m

4 [: j7 }% d% J) T% o vshapes= ( G2 v- z# }8 A' S

5 ^8 d3 [* [5 o6 y, s8 W" e

2 G7 {. n/ \1 n/ _. \ 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 - q$ G! e3 v @5 ?

- I9 x5 ~8 B; a/ q4 ~$ H' g" j

' h$ C7 X. u( T4 f9 g. E9 X" q& C 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= ( |$ u) d) u. ~5 X3 T2 ~

+ R Y* O, p$ j: A& d. H

9 v- q$ \* ~: t( g1 G' |6 n 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) 9 v% \% j& P7 a

6 ?& X6 b9 I( ?$ }& X. Q
+ F2 d2 W- V2 ?- p 2 ?, @1 E& e' a8 h2 d% i) Z6 \/ T8 U/ m

# Z$ `$ u; ^1 t- P 内网渗透 " o5 E) c5 `9 E! s4 r! C8 t" j

* T' V* e4 G; e6 \9 h
/ A W/ q; o- k R/ o
3 u. Z4 Q0 C9 R0 O b % Y% ~& Z4 i9 z$ o! `

# e$ c Q) C; H) I* H win下搭建cslinux类似。 - t! w& P) j: @6 g; \

# D* z! m4 E0 U
! i. s* R% C" A! L4 r% L
teamserver.bat + ip + 密码
2 i; a( H3 R, u1 h; Z& K1 H
2 P5 D. l0 g" f; k7 ^6 O, t

9 I( I+ J- k7 G5 Q7 e! u% B vshapes= " f8 w, `& F# w

3 I( \* j. h7 m v5 J O

, T; F7 i5 c: v1 s0 y0 F9 H fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) " p! y5 G {! v0 U2 i

* l5 m1 K, d& D* \

+ a, \. T, P) L$ m+ A0 P( X$ K vshapes= . _8 v; F) X% a

2 l" R+ l) O+ s3 M* p+ p- x

/ r" T# L* a- ~ Z& n, l vshapes= 0 h% Z6 {! E3 n. @

8 J! c* _; @. Z3 w4 P1 r9 l

% N( ~) h6 L' P+ x6 R0 e2 m 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
5 E" w3 A) o6 L4 v: b3 R
3 u% X0 V1 `+ d5 [
$ i1 j1 l; X+ \, G

' E1 U: g0 `+ n6 F( S3 Z

0 m: K. U; p ?- a vshapes= ! x/ s) r3 l& g

, n) B/ O3 F- v8 W% C M3 O

8 h" E% h S* O0 p9 }, F4 g fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 ! ?- h0 [$ H# N% s6 @

& b! V$ T" I1 j$ f) q

/ j2 M2 h9 N: q f6 L& a; j+ W1 C PACS系统 $ r' Z3 f8 a$ V. D5 M

{5 \: [7 |" x. ^ h& c; u

% n- ~3 K7 Y. ]/ H% c vshapes= 1 {6 B2 n; J: G1 W2 m" A) o* H, f

& s2 \" A) s* S

6 Z, ~% g# W" n vshapes=
3 ]5 |. s& t; D4 ]+ P2 @8 D
4 Q8 Q7 N2 R1 w9 ~* i8 z9 G6 f, P, [
" s* X. j* Q$ N/ }7 s# F% Z

" {+ M. h h. n! d

9 d" |) M9 Y u- w2 g4 h HIS系统 6 P3 M+ n1 c' F' c ~8 F4 X

4 a! N% g2 {' y7 C, L

! \& @$ S& x' U4 m0 \; R# [ vshapes= # z& S0 ^0 ]6 F* v1 T! Y

, k2 L" Y/ D. m, @- V

- k6 w1 }5 W2 d, I   % R8 I- ^5 r. k* o# j% g: a

0 ]" t7 s& m4 N, u8 D2 H

6 @- k1 k/ N0 f* d* @0 ] vshapes= # @: Y# J: Q6 W# C+ I

& I; ?! M9 k! t9 N! k

' \5 A9 Q! f/ ^7 B: W: m+ t 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 4 f) l( {2 y8 g+ x3 n3 C' P \8 X

. a* o$ g5 @1 m4 i O

\3 _% U8 T! J9 f* Z
9 ]; s/ ^% s/ O/ s
% ?& }, X1 F; X" O" a, @- \
9 V* v5 [) m7 J8 W1 @

$ P$ _3 ]5 [9 g( s

" O( B; V& O' N% l/ v+ G# T5 R4 w. k 后话 # Q9 s5 v8 X5 G! |* `/ q

7 H2 ?' b4 @1 U. i

. ?* e9 E8 z8 f& D 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 % `: n4 Q6 ^: p8 c* m

& E4 w8 D4 T# t. D/ X3 v- `$ T) e
0 ` F2 k$ m( x+ B% y; G4 L , i& c& M6 a" y
( v" E8 J) ~0 M- T: Z: @
. U! F) ?0 L; z9 M9 H4 `
. {% {3 x0 e1 p$ P5 w: f 2 i2 M2 M/ `- r" t' Q

+ W2 Y7 m2 _! V, c 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 ; U+ W1 l: |* o4 K7 |5 t

6 [8 D: I: A& }# e9 `) a1 h

3 X/ J; e6 ^2 i) D2 F# a   i, _1 a, W# b: E4 z

- G5 b6 d, l' M; a! ]# Q. J
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表