记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

* {: h* S( z( |! o2 D* { 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ' R" w) ]4 G$ ^$ e

" y2 g' t* X& {: u 众亦信安，中意你啊！
2 V- b5 u8 k8 v2 S
& u- r' f2 b) O( k. x- ` ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 0 s4 f. S' _$ R- F& A: A; I8 [

8 e; C3 A) T" f2 ?" {. v7 g ingFang SC,serif;"> - G0 w) e) I* u3 O9 r- H5 x

/ u6 \1 ~4 k: J4 f( A4 \5 _9 J V
- E" I) J( V1 {& ^5 i 众亦信安 , N- V7 u% `7 r7 @* r
9 q/ M( Y8 ?& \& Z& B
: N6 S" A) z/ k. t. p5 ~ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> * O6 |! @; B2 b
! F9 V3 q% v4 U1 R- R1 w D
- I& H |" b* Z ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> % T# Z) f" T$ f, d6 H
1 M. k. k- t7 U D! F
% g. `' p! b2 n' n6 q& |1 N 公众号ingFang SC,serif;"> ( b7 J/ c8 l# z5 x$ o7 K$ l6 D
- ~" T& V. d- \" f% H5 v8 ]
8 J* g0 o/ E- `: F4 t% U, S
, w# @+ a3 u9 j* @) E
6 d" X' V; j: `# x# j ( x/ [) d5 w s; f- k! I1 ^
& N! ^7 f7 x8 F# l7 k
点不了吃亏，点不了上当，设置星标，方能无恙！ |& q6 k- D) l J! {3 u
6 R3 v x% W( n+ u ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> # ]& A4 F: e' H% J
9 @7 m, z: Z1 B1 I! u
% Y8 Q+ j& a! U. R& l( K 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ( r6 u& j$ y; P* Q% z$ {
: b; `: G9 i& }+ W M
6 x9 d1 {# _8 i8 Q6 y 6 f1 $ |2 `4 A/ y
; H" B0 J( k4 f) q
$ `" ~* @4 M* a3 D ; h; `9 M; {5 _$ w
" u0 `# \. d# W% R* h 无线or有线 1 I! z; r3 I# L4 l% ]$ t
- X5 `* X$ U3 C: u# b7 U4 N ; V- v& h' I5 e) z
- j# W& x1 d! w 0 @2 `' d3 a' \
2 x8 ]5 p $ \8 t4 \9 a 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ( M5 L6 P" ?' x3 t9 j
$ e% k) f4 P, g* z, r1 n( v a( ^, P
4 Y4 ^9 }5 j" ?* k+ ~3 x7 K7 P3 ^ 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 & H2 w) V8 H; [' ]
3 ?8 M$ ~5 _9 p
2 J" s" G4 [* P. g & Z# b: l4 w- W
; w4 r2 U7 _5 T7 g& B% S
$ K6 r% m! m9 {: J6 Q7 Z # i; j, A8 _% B4 g' w
2 }1 T( }: s v: G6 ?
* U( l8 U c$ f% r# P, t 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 4 t* y' E2 U6 ^
0 g7 [1 d! |* m; _0 ~
' _, l+ V( l% {0 [5 m* x ! I) u& N) c& C6 B6 e6 T+ w4 I
D* t ^$ J+ ?. d: C+ d0 R
2 V {7 r8 B* i- A2 h; ^' D+ P$ F 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 4 T1 B# Q; F/ X) ^- x1 k
1 ^4 z8 ?0 Q; B
8 b: d% s1 {! l7 u6 H- X8 Z 3 F ?" ]7 j5 ~/ W1 d' |" p
+ z5 k' Q* B5 A$ l) R
/ t3 h' W# {( M1 Z& N, `- S4 @. } 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 8 q" i7 U1 {& J
H5 r9 h, g0 {, {
) Q* q) H3 O6 ], P- s6 r 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 % o2 C5 L# u; ~, n- G
( A8 z$ q4 b5 U$ o9 B
. p) u0 ~9 s: [. Q& I8 c 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ; |7 N/ O9 T- [2 ^* L, t# t
. }# |9 [ u" z) i
, o- ~$ H# _7 z( u$ P% S ( W6 U* P0 p. n7 |6 D4 |
& N: }: o2 k# N 内网渗透 0 _9 s+ _8 z# H5 d& }& e+ h
H! @* j& ^* `6 Z 6 N+ g9 i1 N, N
! }" n( y" r9 @2 ?' u# O( t0 ` 4 [& S+ ~& k# U9 s& ` x
0 N4 I5 \$ ?4 d8 j( e4 t9 P" ^ win下搭建cs和linux类似。 9 f& q" y3 x2 ?: s' H( I
+ W: x. Y* D8 ~: z4 U% t
5 x1 c! c D) E7 i, ?' I; B
teamserver.bat + ip + 密码
: X8 L; C6 `3 O" L9 ]) l3 t
& B5 N- j- i/ |
, w/ a1 T d7 X- H& [ 7 E$ O5 e3 E* h9 v+ D
5 y* t: j$ {* _% B. o" b
2 D% z* L( z: Q fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 6 b8 n e+ d6 W) q0 W$ u
& l! n: L9 F$ t( S3 j
: l, S/ {* y3 C" F ( j& @' C# B8 T [; M
7 w" |1 r$ v1 L+ j) J8 k
2 E' ]' {1 ~& ?: t8 Y ) y# O* J( Q2 _% b ]; |1 `
. x6 H. j# E! P
4 @9 ~- P+ h; T; `- o 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
* y, c4 h" B6 O8 x0 e
. g: D# u) `9 H% z, W1 W, L6 B * T& r3 v( J0 t5 V' }" o
2 ]/ z5 U3 \3 l& w7 k# ^
/ L, w! A) K+ X5 U; V1 p, ~ 9 n$ C0 r8 U- ^, _6 ^2 f
1 g& }/ G; W; m1 ^- c; w
: E2 |) [8 C( l5 r5 \+ b5 f# s fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 0 x2 w$ ^; r1 f! D# G: h9 U5 j
! } U( x/ ?! B V% \% K
& B; j5 r' D/ @' `' \ PACS系统 8 a2 [3 X" G) f9 P& p) N2 i* ]: |
* k1 J& b% n4 V L
1 G1 A! I, M' J1 ?8 q ; b1 H8 [; A- n0 v1 ^+ d. d8 N
2 c- Y9 s d3 m9 W7 L4 D
* e& Y+ w% G; t- h6 ^
2 h0 j; l# ]) @) k5 b$ y2 V
( N' y8 o8 @( q( T: D% k) ^ , d6 k( J1 B1 h; \5 E4 ^, L; _( G- z3 d
. ~1 z" [9 J5 U
8 ~* Y+ k, h: a i2 z+ T( K1 o& G HIS系统 & C+ s- V& r9 |6 P8 ~
* O+ U8 n1 ?+ k% \6 g S3 s1 _
1 ]: B4 j2 i9 `% ]6 m+ A 1 c- T$ t7 X$ k2 ]4 M6 D
! o5 T U& f" N1 P
( G" Y( @0 X' H7 n% U & [# [* o3 @ _, S7 g
3 }8 f: n% z* m p5 ]3 J% V& E$ V
! j- ^. O. [$ Y e: }* m ' S9 A5 }! L+ A( f+ D
/ s5 i% a$ d7 T' U6 C- K
0 C" ~% F) g, A 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 - m% S4 @! N8 \) ~ \0 g# A
8 B' R+ F6 n$ {! V
& \* a( C5 P4 ^& e# d% G
9 W4 ~, D3 {- E; e: l
0 a% M3 M; Q: z' ]$ G! V3 q$ L 9 E/ Z- ^5 {5 K$ S) D- N
! @6 t+ B* S" O2 N/ L
( f1 a' c- C4 l7 Y9 G 后话 G( {5 Z# t& P: H$ ^5 v3 D
% l9 @& S( V5 ^. A9 R
4 _, X% J8 Z0 ?! e9 l3 u 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 8 P. k8 L* g+ e/ i
0 U0 g/ d, D( A" J
* s; D7 y+ A0 I5 [' d # T3 ]: I( ]$ _, t
- K/ a" Z' k% N' o; i" N 2 j. Q4 B$ r/ S. T8 V" s# W
& T' C0 B( e0 u" A) x% c8 S7 }2 g( U* ` % n7 z+ D8 g9 G% W* \, G" l* U
5 D2 H- ^/ P6 v7 w% ^) _' ` 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 8 ?+ {, q$ n& A
( ^( n4 J+ W* ^' V& r$ B/ ]$ L
* B3 O$ |5 c* E) K / S7 H) F5 \: f5 t" A/ j
3 B; E5 P9 E$ V