记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

6 B- I; N F' ^: `; |0 U 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 7 n+ f' q+ x6 L& t1 U! \

: z! l) u; I6 p% d7 { 众亦信安，中意你啊！
: g# o, d8 c, K e
: I* B5 G' a: y- e ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ! O w" F) R" |! Y

2 I2 b/ I8 S' s2 s5 v5 J- v: X1 W ingFang SC,serif;"> 1 D4 M* I! H4 ^* [' m

% {; q; I# b2 G# e
. V& J" T& f' b# S |* \# d$ C 众亦信安 # }; S/ V0 y* m
% y: s6 e. L( n/ N% O& k0 c
% m4 a7 \) t) d" M+ t 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 4 {5 @$ Z' p* `8 T9 {) i5 @
7 C8 `) \% y3 d" I, @
/ w+ m! R* M# n+ Z3 o3 a ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 7 v1 R* s( p+ o: [' w
n7 G1 G# F* H9 P5 m) T- \; K
, }8 b9 E) h! l. K, R 公众号ingFang SC,serif;"> - n1 l8 {; \# u" u+ k
5 t" G! F, i1 E. i f
$ i% p+ ~/ \! {$ W& f
' ?' J- x! R7 S: X) s
, P6 ~" y0 O" y" p) \9 [1 c 9 m4 e( M6 J! U3 c
9 ~3 p" l5 X+ X, b
点不了吃亏，点不了上当，设置星标，方能无恙！ * Q7 M- m7 x# E8 v; h% ~' V9 f
8 t; M" H+ }& U2 W# i" Z/ X1 o ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 8 t/ J v8 x1 w& k6 J1 B) d
- R$ }% S0 E+ k
* n6 o+ `& _; Z! Y/ o( b" r 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ; m4 @% R T7 E
+ [$ ~9 x8 d+ n& h6 Q
7 ^* A; i+ ~5 g, u' O+ j; V5 d ' X+ X9 S& `4 k& S+ j& K3 ^
! F% }4 K% \' j8 V
8 n5 h/ w' h1 G& j 0 r; i% r; g0 O% r4 ^
1 X4 Z. l2 [" s" x) t7 S, d 无线or有线& H; c; t' v* T8 w3 v
% i7 I$ Y/ f6 m$ S3 V+ H2 V" ? 9 s% L+ i; D6 p
. e4 A' T6 Q0 P% e w4 G, I8 l ) H0 F9 i+ V! D8 z" u( z r
! X- N6 }4 |: C% E' }9 V 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 9 |9 U; {$ m% T- g
( ?( k9 h m* }! }
) c% Z2 d, S% v5 O3 ~( H- v0 u8 }( N- u 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ! M2 j* U5 c4 z
: S/ i% ^6 Q! t3 _& b
" x+ d* M6 g/ Z8 ~5 h& T 3 y/ m/ J' {& N f! M& M
; w4 Y$ q3 \5 k& @/ h
) K' A9 ~( @/ z( _5 G ' ~ c# I+ ?1 w, L' h
/ b9 e( p" y1 M3 c; S8 s3 C
/ h1 p: j6 l, \" @$ G, n( i 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 : b, P6 D+ [- ~1 Y# \7 u
! G* l* A1 |+ ~
& P7 Z& e4 k1 m6 ?( p8 j% L/ H ) y# n3 H6 ^8 c
" f+ A" g" ]- e- Q Z* q
- ]7 R9 K, b3 N 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 7 ?; }6 l4 G/ W, Q* k
$ `5 Q7 @$ F* t5 F$ _
' f! `% }# e: d3 p9 n 0 x9 ?8 ]/ _. U/ T, x+ y2 q8 N( Z/ u
3 [# Z+ ^" R4 W( k8 B6 [
$ \: z8 z( H2 h( z" ~ 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 : N- p2 ]$ U- k) E$ n/ L$ o5 J
) Q+ _' c0 y+ c- O* \1 Q6 N
( e' e% ]( M/ r1 ~& t) [# ~0 |6 s* R) p 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 2 n& h% {1 Z: @6 f, N5 H2 \3 B
! R e$ o2 M! j! m
7 T' e! B A7 a0 q/ t 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 - ?+ n( ]$ r, c6 D) M! f% R8 j( p
2 y6 Q1 y& M; A$ J+ k% j
9 K, b9 d1 N8 K; L4 x 9 W) d1 J. z; l& o3 h9 I
C2 @1 i+ ^3 z& o) h0 S0 } 内网渗透 & _$ p$ {2 E" H* l
$ o5 O- T7 V- M3 W; E) u+ f + T1 V- ]7 F/ f7 |' k d: [
4 Y: L7 }& x( a ' [; X3 c, q0 O) a/ {. z+ D N
% {4 S, }, t% O" z win下搭建cs和linux类似。 8 N% r: X1 Y4 B" ^3 U
4 |" L( e" O+ x3 Y' j% A; m$ u9 m; z
; T* A3 t$ Z) M( j1 Y" h
teamserver.bat + ip + 密码
( N# w; @% h, b. r) k2 n2 q
2 i, b) ^2 K! g% G
, m/ L' s$ u( `: ]6 A) e+ ] * f) k$ i: C- r+ v( F5 w3 P
& Q; j" ~* ^( `, I# ~" }4 f: h* s
8 _7 T: G" P# D$ |! Q, X) F fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） , T3 I. D: a6 m; l
; L3 q% S! @' h2 [& @5 E# y7 P0 t
" ?% f$ W- |8 ^5 |* j. K $ k5 s* L& \/ Z9 A" A0 S' v' X
* Q$ N% W* z1 I L( t
! `$ S# G3 i7 w' g2 R6 y 1 A5 N; g1 H8 [- R W( A
\+ j7 K) _ X$ a
% a: V7 Y% J! ? 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
4 z6 v; a( d. b- ^+ v6 o9 n
. p3 W8 r5 X& _& y1 X$ o : f0 N* Y. V0 r* n5 w( V% O
. o, x. O6 Q: k5 P; m4 ?* C* ]
1 Z% z/ e1 P J6 S# I% V0 S 0 i9 H: {/ U2 @* w3 D, n
q' v) K2 c) k& E& ]
1 Z7 u+ y4 o. E3 `4 O1 \ fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 , Z+ \) N7 I! C& `
. Y5 V" f: Z6 A
# r9 F/ e9 [5 P' U7 r# @6 r1 N PACS系统 ! Z( r0 V% I5 G0 ?. ^- ~( z
# G/ o* b/ }8 A) e" k- O& K9 T
- ^2 V# u2 C. i: n9 X9 P . {- n1 b R8 p" G8 J
5 ^3 k( a) n6 z+ Z3 G" W: j
" B1 g% Y2 S+ ^" a7 k" D3 f- h
6 z, F( u9 ~+ u3 A% I
/ Z3 U" \$ ]) O1 ?/ U+ v , C+ k+ ?8 I6 e+ W5 D
8 ]: U, n1 ^4 v8 N, S# D
$ [' j5 S% L4 Y" |% B/ ]! y W$ ~ HIS系统 ! c3 d) j3 n& `+ a% m1 H* K
6 H9 b9 @- I: J6 c
' ]1 R' I2 ?6 q- p- X: _: V 6 b8 }+ h, o+ [- A9 k
4 ?. Q0 N' ^6 b+ q }
) Q; I# r1 ?) |3 a& S : F9 w- t$ ]+ |! |4 x
/ I6 s. M: c2 C2 q& t/ Y; X
9 [8 \2 Q4 u) I* D% i w% [7 u. ?/ F . M* x' B1 b1 E7 N0 b
1 P% |$ a2 p/ M, g9 Z( ?
+ ?- a) B5 X( E1 k3 c/ v 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 / G9 m6 |2 @9 Z. l. M
% K/ K# A# F! N. J1 l; V+ @
' j7 h- t% \; A* v. `
$ b& n/ O1 z+ D/ y4 T3 d
1 A; i: v! y [) s 1 s, Q+ q( ~4 t6 k2 N& V5 F- j0 B
2 o% L ?/ U& o
2 B- `, n' I' d/ X2 V. @- M: a 后话 3 ~+ U+ Y% D$ z- Y# [$ G! e5 y; i
3 Z H, u) m, B
& P! @% I! \ M/ u 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 - x4 K" Q9 |$ z2 J
8 ]6 _0 R) {1 |7 ^8 p5 X/ u3 h
2 o0 g& ~6 q+ j/ g' F7 X% n0 u7 b - h, I, y# @) v2 T4 b" j
; |5 G9 v# o3 ?. D! L, L / a5 y \5 D" |
. s$ x* |; d& e 9 s' {. u0 d/ J4 b
# H4 S3 L" S) n 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 ; A6 {; o/ O( y$ N
( B. W! @7 ~; x
3 C; c) R$ k \6 y3 A% g 1 M" }4 E% v1 m* Z3 n" P& r
3 ]7 x, k9 R8 g7 U& r/ J2 ^