记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

$ F/ r0 c* C- i1 |$ S5 g; f7 W% b 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 " l% n: b* T u& L

! v' s8 r3 U- k, o4 Q! E 众亦信安，中意你啊！
3 ]2 `& u) I3 z L
$ J4 }$ G( E# O: i ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 2 D! G; E" z1 k9 r0 g, w" Z

/ o0 x; }% [; O8 H ingFang SC,serif;">6 ~) c. B- a* b5 U4 E5 F

9 `* A& w3 C$ c; p( r
J- Y3 v7 |0 h 众亦信安 5 ]# o7 r% r1 ]4 g, z
4 v0 z+ i3 b4 S/ T; M7 H
7 V5 _2 b: M( |: Z7 c: v 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 0 W' O% U1 w' W
& E9 W( | W2 L& U* G: z
# c# D3 U8 s3 s' a9 V ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> & k1 @6 @4 Y, `) H
+ h* J R7 |* d' k
# }& G/ V& | K D 公众号ingFang SC,serif;"> % X' S' f7 z; U; [5 U/ A
1 c; Q+ r6 n0 Z8 A& N8 [' ^5 B2 b; v
% H1 o& L! ]; x7 H0 w
6 H1 b0 ~. _$ B) x( V5 {
5 s+ b- |6 Z8 b* x; F, N- a4 K& b& G
+ ~7 A: d8 Z3 H* N H/ E
点不了吃亏，点不了上当，设置星标，方能无恙！ 6 v/ d. t" X" e
8 U g. b/ n. m, w8 n ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> t# o. e- A. e
+ R4 `6 F$ `$ l; M
* D$ W. o0 W1 V+ ~, G% p 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 {- ]. R+ [& g# y- U
9 R0 Y9 Y5 J: l' m b
' E1 D$ U7 a# L V1 q3 S9 T# D " A" D+ e3 O k; `! C9 u: I
@% g' f% Z- ]& ^* M
/ n) c8 p J& N+ L# f 8 J2 H7 y; I) K, V |
' d3 p* j# [' j3 @ |6 z. b 无线or有线; q! A* s3 o' H5 P) W C; p# A
7 f* w# A: p+ a. R. c5 Z5 ~. D; U 7 b" t: e# l3 j- O7 f& ]' Z
9 x g# j" [9 T$ S D$ z) H) [' B
8 q1 U" Q! b L o% z, c5 F 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 & N6 }1 l- e" } Y
]6 N. @' P1 A/ U$ y9 S" }
0 n- H9 Z/ N1 K 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 # B( C, C: s9 v4 H; I, L8 [
) R2 F6 a! G, x! Z+ w
- T+ r% S# v" P2 E+ F* l3 C' x # K+ I# Y- e/ g" ^+ h# |2 e
+ w. b8 M7 _* g& T
3 o1 Y" b9 p0 D( q2 |1 p & R6 ~0 ^% Z7 B( h, d+ c+ d
( h7 H/ f1 V6 I
3 u, q0 v% N' a4 k, n5 x! ]+ T 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 9 R. e- E! @/ h! r0 I1 z8 ^
/ D4 u* ]1 k0 |: U" T
8 O: D/ z- W0 m. p0 H0 C " Y z$ ?2 m2 F/ o+ a. |# ~% p
: D7 ?7 r! j2 k8 n$ [ ^2 t
1 n0 I( E" M. b2 X( D6 d 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 6 N t$ p; K! I; k' [
1 M- s, q ~/ N( k1 C9 j' U
' W" m/ g# @. s: Y% `. T6 L # o) i) L8 w- O6 B2 N7 K" p6 Z& G
) t: c' H# {5 e! b/ ^; c, `# n
; T( V+ x7 C% v/ L! E 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 0 x H7 ~5 f: o, a$ C! a+ S
. y* K5 C0 Y) E, u- y8 M; E$ F' m5 p
7 S1 W# Z) B) G2 C 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 1 c+ P) R1 |) n. Y3 K! \# u5 N ?/ J$ s# Y
! {, M6 T* h$ ^/ F
4 h+ S8 W0 g% U* g$ S$ s0 A. @# t 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 5 H8 k4 U* b$ }& i
3 k; x- [& k5 s+ G: u+ b
1 O5 v! q" [! M 4 f8 v; u! i1 E% T6 j; {0 f( c
' ^# q5 P/ i" |& k" x: ~( ?, k 内网渗透+ h; h q+ @# c
6 M) G/ ~9 r4 h' z1 ^/ _- c ( v, ~* W0 \; j( L9 m
0 S* N! n/ l5 {2 @7 ~; x4 h" J 2 \/ q. P0 L; f8 D
. I% V6 \ q2 e" K( w) t win下搭建cs和linux类似。 $ n" k$ Z% I; s; \( C; i
6 z! Y% y; R' A* E; P6 v& x
$ Q/ q3 s, @6 M$ P; ]
teamserver.bat + ip + 密码
/ U) f9 U; C' K8 L8 _3 g2 B
- Y( L8 w) }: z* ^
0 |5 {! ?1 t6 p! Z ) s+ V. J' F! r4 A% C& m- c
; B/ p- ?( z- k* {( q* S4 h' ~) i9 a
" A) }' p2 T! N fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） # w s6 R/ Y! ~+ I
+ Y1 @ r- S1 p3 p
6 Z2 b$ W: c7 |" ?) v - Z: S+ u5 H) Q% r1 w( J/ P; y
% L% E$ D7 m0 S0 B p2 _7 Z
+ a! l M/ ^0 K1 u9 g [) C. V5 h3 | ' o7 [4 S# I( V7 `; f. {
7 R6 ]2 e0 _( r
" p; o S: @4 S/ C% B3 y 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
! h5 @ c& S& S, K/ h& \' Z
- D& O" V" |2 B; @0 [ . S- b+ q9 [, [$ m6 D/ ~6 P" J8 N
& L( ]1 t$ E1 p5 D! R2 m
& U8 L2 t4 |* `4 ?% R6 o ) o5 P3 F ^$ R$ T6 e; g
+ R$ w: `) c/ I6 S9 L$ r# Q
7 F# D8 s4 K: x* G+ u9 p2 D& X fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ! @2 w. a( t. @) `3 k) J1 }
5 s! @; J" ^: o
0 @/ F8 a7 C5 ~% X: q( c% `& x PACS系统 7 M, D7 |# Q- R7 ?+ U9 i
! `3 g& B" @0 s7 ~7 ] q2 o
4 O0 M3 U h2 u/ i, W$ N" `; ]+ s9 z ) N+ [0 R v* A, W' n# k, {: p
5 \$ a" B4 [* W( A
7 @8 Y+ D- L* W9 }; x- {
& r& ~+ i7 P7 i- O6 { O
* {' o; Y* Q( }* v% {' g+ F2 k. S; T 6 F( M" }: q4 i' P$ u2 l
% z% I8 V% ?( C* T$ C' O
4 a: t8 e, u' D! a8 p0 F1 W& m- R) d HIS系统 1 i; k$ G, P6 M! c* H: z) C
" K3 c7 X% g& C
8 ]7 M/ `1 c* p7 F# b+ @+ ] ! l; ^! n# c, r4 D
0 M& C: u2 w0 [( H" I6 O
N) S# N* Q6 C& { 1 L' ~# l) s8 F/ N. H
, A2 p( E: x# m1 v6 O% {4 `3 X
% r( ^3 W) o, Z4 f m, I6 J* N# f0 Z3 n5 B
* j) ?% h/ _4 h) S
3 u/ F5 L9 `. g. u% A' A; Z 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 6 {* a7 u5 y$ _+ F
; S" H! k6 g& G# Q' A0 a9 P7 U
6 L, p0 n+ T7 l3 o5 B
$ U/ r7 K7 e$ k2 _ u* ~# u) S( ?
' X% e8 _0 e- G! k ' {' \4 v- o' M0 L
C, L% ~/ k8 `" ?3 s$ B" y, D
3 L M9 O4 `9 z1 Z 后话 ) i3 Y1 }2 D6 W$ O$ g8 \9 B
8 Y c) M) i& G
! g! @" V3 n& X) L$ n) N 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 % C: b$ i- Y; `! \, R2 r
; W/ y9 o7 e3 x
& n! I V0 N/ u% `" A- k , Q: m( u' c7 V2 s
, ?0 a4 ]" L9 p+ g+ I ' `) U- n0 P c7 t. i% r
' t% D. x& y7 C( O 4 k* L: i3 X8 ]% B+ U- I+ M9 \
! u' r2 H6 i) [0 c9 c. D% W! ` 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 0 N0 r$ Z9 Y$ Z" o1 B( r3 ^3 I
1 t3 u. p5 L/ K- S( f0 r. J
4 @- q9 b( F! H( u- D / j7 H* F2 l/ K! `4 S9 ~
* S+ i, q" e0 X' ]& h1 N/ U