记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

# w: u( q* _) Y5 H% e C 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ' ^9 A; c8 o6 l% L

4 T7 p0 v$ H9 E. b# l4 ] 众亦信安，中意你啊！
8 b2 `# I, V+ W# L
- x. b3 X; K" F& l+ w# W/ X* tingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ' a; i) j, f( @% ?; G0 K" b

3 j& N# U1 y# B1 j! s4 m6 M% x ingFang SC,serif;">! y: b$ `3 O7 y; Q5 [5 A' e

) a+ T; {4 u! w
9 ?9 b- M8 \1 N$ |& { 众亦信安 7 z4 \9 f" M0 ]3 V- Q4 [! F, u( Q
?0 o N- T5 U; d0 k6 m! x
8 V) \ ?# @) u1 ]" l 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 2 z' Z" V, q3 Y9 m, S6 l$ U( o G
1 z& I2 `% K5 T7 o
7 m8 D3 l8 T3 `0 z5 B ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> * K8 |) o1 H& Y% d7 d% W
. W* X" g; @( F) ?' g2 [" q1 y
; n3 q# }2 d% {0 |' C s 公众号ingFang SC,serif;"> " [% W# O$ N# `+ u. z
$ o5 e' c, p/ w/ G) {
1 J6 L% P2 |1 k7 g1 _5 M' ?0 h1 i: E
# }4 _# G1 m0 H' F. ~2 a) j$ ]5 L. h
+ |& _. j8 }' V6 `" N, B 3 Q {# V/ y8 _/ ^3 O& {
. \/ v. w* o9 t% n" O
点不了吃亏，点不了上当，设置星标，方能无恙！ + }. o) h: {" V
& h1 @/ a& w- Z2 G% q0 J ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> , f) H2 V0 K3 V. e
- B3 H1 B; k" `1 L' G* e( T3 K
) W; ]' w9 n! ] i+ x 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 $ ]9 r4 w% |& N1 J# X( Q* o
# q# V" d7 T9 f }* x7 ^+ W
( P7 z6 m: U0 r; o* l 8 u; F/ m8 A1 Z
/ ^ Z& X: R& u. C+ E; @
: r4 l2 E8 V2 A M2 W. c& f2 r, ]$ s
" f' n+ m* o5 y* L 无线or有线/ ?$ g' g% q4 p2 R4 J
) u. h% M; p- h, H3 n. _ # ]$ l7 z& O5 y# |* V
* a; B& P: Q+ ~' u/ t s; ~+ W . q5 ]7 L8 \8 p6 ^; }: t
% I4 T* h7 e& m6 r4 d0 E5 u, v 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 1 @$ L" w/ l! _0 N
) R' G6 b$ Z; T) {
& v* t, j; [! g1 F9 X) c. j 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 % N& `. q# U" S3 |& C5 M" C
" B0 _. ?; |( @& @$ r, ~$ Q$ R
! D7 E. r) `) i- E % ?+ y. F: n/ i- L+ M" K( W
3 a; s* R4 q# v
7 S6 B# I3 s; t ( V+ b c& K; r4 P1 ~5 Z
# H3 @ R( B5 s- U8 G6 a/ q
$ o0 V0 F( ?6 I, f ^/ [$ A- b 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 9 q% l4 T; l3 e- W- t( I& l
3 Z, {% N. C) N. l
7 X: Y) b1 ?. V9 g- Z 1 L/ D @7 X2 v+ M' o7 |6 Z5 t
% ^ _1 v4 e1 l6 {- U* @5 [9 j9 w% W, ~
/ v6 n2 U# V( V# J- W 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ; p% Q0 e' Y& ^4 q% W l
. }7 q( n" i& T
$ t- Q, h1 @+ Q. q( e . X. v$ b( o$ W! z5 W
, n% d2 D x3 N
) h6 z( }# ?* ^6 Z 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ; \) X! ?+ z' V1 g+ H0 o6 l5 J
+ K# b% g( H: Z: m5 ^
9 M" W; J2 S8 t `6 _5 j+ G$ ~ 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 }' K' }- k3 W* Z: a3 w; O
4 ]& C$ t: ?, u. U) D) y9 h
) K3 d# H3 T9 s9 O: d 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 * A( p' V) ~/ D8 @* `
# ]1 m' i6 G0 n
$ P% @8 o0 ?0 p E1 o( e4 b$ S* K+ ~
$ v+ V" q% O) r$ C- Y 内网渗透 1 J/ N, O. Y% L
- W8 L& r1 J' p$ h2 F ' C5 R# @/ A% z5 j& K5 R
6 V6 b" i3 z: [' Z, s }. \ ; e& q% T, h8 Z5 \3 |
# x, q, J6 y" O# {: q! _ win下搭建cs和linux类似。 * I8 L4 C" Y5 n) {
; b) R$ E( M; ^/ T
/ t1 F. z+ a/ x0 c5 [, I Z
teamserver.bat + ip + 密码
2 ~4 s; [% X1 ?( z
; P0 J; a) p7 ]
! x. t0 B/ n% B' P7 I , A2 T$ [4 ^- }8 N2 m% }" z
! {( l1 E* O7 |. H- s" M- r
# F {+ z/ Y2 |! p# K, b- I fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） " K- i2 s- H: i1 y+ N' k
6 f9 e, A& i L# {& {4 X; a- i
; |; L! g9 P- \- J7 {: [ / U1 G ^9 i( L. u. _% U& W* t- e
* X& v2 v. f# c) B4 |/ g
: Y& W) Q& `, m" G . P% n# s1 t9 g0 l
6 H! I" y7 x6 A1 W1 p" V
! |& q7 b; O ` X0 R/ ?% h 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
9 w/ m7 L2 L! q, U
5 E. f3 G0 {, _- | " ]( \ V2 Y( i; k- ?$ G& p
6 P" a. h3 N q& D
; r b7 T8 f0 d$ u q* D, p: p3 r 0 A4 R) h' v: k7 C/ }4 W' ]- e
' j: D: T6 \0 H4 s: Y
: p: ~" _# E) q; ^0 j& M fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 : |) C# N+ j, x4 e' j
7 u7 x1 h, T5 v" c2 e4 d& R" P# u
6 M8 U4 P6 |) X1 k, l* h PACS系统 % ^: x% v) O* u/ \2 I
3 O% n- x. \, Q4 I
. z) A+ W* A Q% J: [5 I , D& q/ ?2 ^* G/ X
# B& @* y% B* B- o( A$ P
! A# B! K+ m" \& w# i$ x9 ^5 R
! G9 B0 m0 C6 j$ i" g: R# T
: ^! n) a5 d$ Z& v % A" |5 Z9 D2 Y* \: k; e- ~
7 b' d! A" V' V2 o
9 @4 W' b7 v( ]) p* n HIS系统 ! @! l/ `! a8 c8 i
8 ^6 E. d. e) W3 Q- G- m+ i
) ~, p0 W u' A; t5 } & U; }6 d" v. V' p
. p) c& s( O- \+ R$ [1 z0 d: F
; l/ \" P, U ?' r+ e ! J% H3 \3 s) ]* ]- p6 L* B, q$ b, Y
" \0 _: ?' l6 o$ _+ v
$ `; z+ h7 ]! g% f6 s- ]5 T9 _ 8 |3 Q( T- a5 G6 j& ]
' T) x! @) x9 y) u" P
6 q T% Q9 j/ W, v+ J 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 4 S6 Y0 Y/ s, A. F; Z T6 C
x3 ^! B1 d( \$ ]
. ]4 W& x! ]2 L; g, w9 [
0 h' n U" q/ `' y& A
* U" _. u# [ _+ y% h # g0 v% Q$ s6 {2 R) Z
, \$ g: ]# J6 Z9 |/ Z( G/ B
) D# {/ [/ E' \) ~ 后话 0 _( E3 M7 `6 G4 p( H2 x6 [
1 J0 x, }1 Z3 g5 ~
. `: T2 h4 Y0 Y3 m1 G# m$ R 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 . p. f' T$ x {* ^& u
1 ~: S( l: } V
. U5 i* f4 l0 @3 U 5 ]" s9 o* I" V8 e. J
! T( A) j! L) O& m, I : G. b4 }$ S* W$ {
9 l6 X1 |6 h6 S0 I: E+ e6 l2 v2 g: b 9 V8 M n) [! G
* r8 g; k6 c+ S( k6 ^6 n: X 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 , i" M4 @' h+ U! p2 P' v
, g: d4 Q5 |$ v' c
+ h3 l5 O6 h( f1 H& w1 U : s6 ]" H- d9 N9 d
, j9 W3 g h7 D4 Z4 r2 ^

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

" f' n+ m* o5 y* L 无线or有线/ ?$ g' g% q4 p2 R4 J

$ v+ V" q% O) r$ C- Y 内网渗透 1 J/ N, O. Y% L