记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

* @; G7 w; l# R 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ! X9 X, r# [7 w! s+ _) J$ V* G% K

6 \. b9 B8 d& c# _ 众亦信安，中意你啊！
+ \1 r1 C l: R) b
- }! f/ S7 d3 R# |- s, l1 @ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> " [6 w# k% e; U1 t7 e

3 \" S5 z. m1 c* q4 y5 J9 ~ ingFang SC,serif;"> 4 ^3 I1 e; J: D* A

# Z! n, w! h$ m! i" {/ J
) x9 Z1 X7 I: e 众亦信安 w! a- e, g; A. x! }& N
% @9 U3 w/ x# e9 D- A$ L
4 x+ e" l" ^' b+ [ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 8 ]7 n0 _; ?. O3 A+ b8 B
! T% d3 k. Z. C3 T1 ]& ~( L
4 c2 `% n4 ], c$ k! ]) H; S4 u) a ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 5 h- c9 _7 p4 t3 a4 Z! n" m
/ m+ ~# q0 M: H7 K6 z0 [" f
5 c% Z" {+ ]$ @- L8 E+ O6 R3 \, K 公众号ingFang SC,serif;"> " C5 U! J# [ s6 f8 ^& O
* c$ s+ i3 D' Y. x
9 `& J9 w$ d; w4 c) D$ M, ]
8 c* x$ z7 @9 _9 D
8 q$ g3 o1 |/ y' V 3 m2 B9 d4 U9 Z1 p3 f8 [) y. f
4 E, e; |) j* }, S
点不了吃亏，点不了上当，设置星标，方能无恙！ ) c# S1 I g( W0 g6 }8 d- |# K) e
* F7 ]/ A; J0 v+ d! D9 p ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> & d B- t( d' e+ I6 K, p7 R
! p% b- S1 C O5 V8 w
! w& {! \: q( K2 F( G8 t+ `/ O 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 : r# I) s, a( U: S, `- o6 V- I
H7 k; B8 f. b
* Q! E" K6 ~) Z5 z2 R3 L - D' ^8 @8 A1 |3 m+ N4 c3 ^
% x, \. y. p7 j6 C/ m/ D7 s5 U7 l
3 u/ }6 b; K d4 U+ ^" g $ i" {1 e& X+ n5 ^( a2 Q
- a& F. S% A& E$ e 无线or有线 . s6 _. x+ t! n
/ [( [/ N I* v/ b7 `! y1 o / i5 U! }# q$ P9 e ^% t9 ]5 X
% C, f* N- r& Z 0 k6 g5 z( H1 p
# D3 s0 Z2 x& Y1 W 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 & H- [( V* V9 }1 |3 G3 E7 M3 x
! z8 b( C7 X/ `5 S, {1 ?
+ P @4 A; s: k) d 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 8 x5 @ z" {/ e s
. R1 e: f J3 K5 D0 t: }
: K! J$ c) ?$ ]& _- ~% B 8 i& u6 @: I% ^' ~# K
4 O3 m, }$ W& r; _* u3 G" ?
4 r: @3 t5 d1 H9 J4 ] $ U e' H! G' U: V4 {0 b6 r
- z) q, K0 o8 u9 v' O
# u8 m3 y1 O. T# P% e8 }0 j/ Y2 l 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 _# c+ J t) J! M
4 B" D/ ^6 v2 d7 Y* |9 ?
+ A4 D8 a( s. d' G1 Q. [ 2 R/ y, q3 q# x& Z: D, Q
+ ^+ u# w0 B r2 n8 e) z& {- O* R# q
7 Y1 {; D1 ?% \ X( e9 B 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） . m* C+ c D1 u" C5 ?8 a. N
) d9 G6 f. H& R, W: h
* C# B0 T5 X- J$ [) G& V5 S 1 d4 ^( s5 T- A% f' s
7 D( N* z( Y1 l. s8 ]( a
- [9 g/ O6 O, n2 s% S- r( l! ^5 E 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 & }6 @. R$ D2 N5 |# B/ Q% U
# |1 x Y6 Z5 ^" H7 C: S
% H# l6 \; o3 v$ a 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 8 X5 j& O4 Y5 _3 ?
% C7 t0 I' [, i: U/ | I5 C2 p4 C
* V# Q# }# F/ \. k; i; }3 m! j 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 / J9 E/ C5 W( ~6 b+ k& c
, f: G) D. V2 S9 H- v
( V8 L: v$ I! N# r& P : m( q3 N# S, K: U' n; J. s
0 K, K: O( [& y; F# _ 内网渗透 ; ^6 d# C6 T; N( R
a8 u F9 n* X3 r5 b- ^- X - G$ f6 h, u& L: m( ^
" a8 Y2 c* u* A) ?7 M & C5 H- x) _+ D2 ?/ c/ m
9 W7 h% f3 ]. R+ b3 ]( L win下搭建cs和linux类似。 8 K1 E- I4 s( P' H
. \7 G3 ]$ }) i4 j6 {, y; m
' `5 x. $ D1 u1 c, c" h
teamserver.bat + ip + 密码
6 z+ R( Q/ L( P+ p/ P
6 T5 |) E' O5 j7 O/ O, h; \
: G# C: B* O# t* @3 u% \0 ^* K7 T 7 f2 k( d3 ?/ A% E
6 p, P. _+ b8 J
7 s5 t& A6 v- f9 E# f& f4 ` y fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 6 Y2 s: a( z0 i* m
3 N& A0 Q- t3 ~# H
6 o J( [7 |1 i: R3 b. G 0 P, b5 $ s- B5 T, Y% g- l; b
1 R" x l/ T# o) R2 m) _
4 N3 `) T! A7 J. j4 l* p . u) M# S0 e Z) x2 \/ f6 s
" K3 O- Q a! d$ r
% i2 Q5 d4 m3 O6 v+ R6 [5 ` 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
) u% i$ p( k" v6 C8 j
0 L, l6 w5 Y0 n1 A/ x* l: e5 {' N: T8 b4 s \3 h3 X
+ \; P* S1 j! u# b! b$ P
, N1 u0 h9 y3 c, g6 N* y3 y: t 8 ^7 U' b' N" T/ W+ V( X2 L
2 a' m3 a1 r, k. ?8 {8 C+ n
+ B# F+ e$ w; `! G fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 " I/ M# b% R) o% k0 A
7 a" I+ o( {9 l/ D4 {% _
( ^0 a* v7 |& H& X" K PACS系统 ' b$ r# y! L$ Q; w$ {/ z2 @
+ i: o0 S- l3 e6 e9 Z9 k/ Q; [6 d
: r6 y" j; T9 S' M# q" V( V ! i* X" ?, ~4 E+ o" t% c) e
5 k; p6 z: A) l6 C: t
3 _& }" s6 y" P: N4 e
) g) k' P5 ~5 C' B o( M* p2 i
T* K4 z) m" @ ; r" s* O* {% B' w1 w! o
& N* d8 E5 l* l5 P9 O
: R) b8 \- E4 d HIS系统 $ E* T1 t* X! b
; g2 J: X2 u9 R& C( p
4 R f' p2 j+ g4 i " J: J0 y) ?- v/ P5 B* ?7 H/ H( C
. z& z$ C% F0 }
4 Z. ]; e: N1 u3 x N* L J2 v- |0 s0 `
4 K" _% P# | X1 Y# H! H. _
j, w7 p. c' [9 L7 h5 x" N 4 I- ~$ n8 Q- v8 u( Q
: q8 y' A E2 L( |
0 o" p2 ]2 B3 O+ O% j 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 + W6 \, i7 u* Z9 G
3 b- ]6 v9 {+ j- ?' H1 `0 k
7 F. T! W4 t0 Q: w+ k8 B/ e; ^% H
1 ]2 K) [# K8 w7 f) A6 d
8 r: _ i* }! {* P0 D& a & f- F( ]. ]) L$ Q! Y6 _+ @2 I$ K
- T3 I5 {4 e8 M; i( D* K
7 l/ h+ ~" j$ n. ~0 Y, C' S 后话 " A: n, v, Y8 w: l# V* d" I
, z( v A9 v1 Q) r* z* o
( _% y. ^# l7 A1 O7 x 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 7 y; p4 \# F2 l5 v+ E/ ?+ S' R8 @! y* D
) j" a' G- |. @: t
) D: E2 b/ J% [2 k Y ! ^* E- @. C+ z# u" D- U* w
5 D3 C4 c* a+ h$ f% Z / ?0 f, k; S7 I% a4 e8 V' }
1 e `3 C# |. w+ |1 T& Y0 H : J3 A+ c4 p% M# V. x! v
0 A K1 U; a9 P! D 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 / u" U# r# |' l$ N4 d. m3 Z' j) m
' T* j! ?8 ^, x+ M
. Y3 T# }& M1 w1 V 2 c) g T8 o* F" X
3 o" L" ]: g4 n; z A

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

- a& F. S% A& E$ e 无线or有线 . s6 _. x+ t! n

0 K, K: O( [& y; F# _ 内网渗透 ; ^6 d# C6 T; N( R