记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

: a9 v! n8 H) j7 m 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 + r( P" j) W, n4 P4 g7 ~( T

% G+ Q @2 m/ m! p: U5 T5 Z 众亦信安，中意你啊！
8 d5 j. k, P$ p7 F! L
$ L/ j- `& {# ~' s( w( YingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> # f- s$ S2 P) ]7 {2 r Y8 j- E% y

) j1 q" V( ?5 u0 B' y" F1 ~5 ~: f ingFang SC,serif;"> 6 F+ Z2 y8 y9 x' l; z2 F

6 t2 ^+ d4 E; m$ D
3 ]1 m r# Z: J 众亦信安 * j% ]* h% b1 Z" E. m& K4 U/ z
5 Q+ K$ ?3 \+ x. k! v: `/ O" r6 ^
/ t: K; E1 q1 X+ D2 @% T+ O- A- \! b 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> / b1 ]! D* E/ b
* J+ A, K7 Z: @% L8 x9 k. U6 D
$ a& c7 W$ x0 E' o ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> % F" ]' L" Z$ s6 j' H) K
; i" o4 D7 L5 y& i
0 I5 H; V- b. @0 R0 Q+ A6 [ 公众号ingFang SC,serif;"> ( u4 C" `3 ?, h/ m
" v4 L& p6 a/ s; z
/ {' p/ f& w; u. j* l2 f, m9 m0 x! j
0 [9 t& R6 ?9 e n9 X
2 n* X, v6 v" {+ S$ y; _$ n! R 5 g; x2 }6 F8 r
5 c( ]) I! g0 b' d: F
点不了吃亏，点不了上当，设置星标，方能无恙！ ' B4 X9 Y+ n; A! W
% u5 d/ Q! u# V ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> * ]. X! T$ h' o" H! o2 i6 R
9 K- m9 b/ h& E. E
7 B% W* }( T" M" U. `. X 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 8 k I4 J. u/ o: L7 T/ V! a% }" d3 t! y }
1 Z. J) Q2 ^. e, z7 }
2 w# Q, h3 Z6 z0 b6 s- u( D ! v5 s& i9 g' `, C, f7 N; r
. A, V% `4 J Y; z% z/ ~% X
( L* P$ h4 T- m! l 4 P5 K- H% O) f7 W: ^% \
: I) g$ n( [) Y7 F k+ A6 z 无线or有线# d% R( [8 a7 y* c
7 }& T/ a% z1 i$ L7 m % m* C! }/ T% C8 b; z# R
8 \6 z' m4 Z5 \; o$ Z2 s/ \ . G' [3 e8 _ c2 s
0 ]$ H5 ~$ }, s. N" X: a& y 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ) ?. ~9 m4 y# a7 d! }
# Z' k9 W/ a" `- ]+ Q
2 Q9 ?- D6 k! G3 F9 b6 _: I. | 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 - H6 F+ }! h, ?7 d9 }
: m: c/ W6 V) `) _) Q) Q
, M/ w ?& J1 A3 n* w+ Z) \ : v4 t- U: V$ W9 o% m* d* h
* ]6 {5 \! }; ~" s9 w
- J3 u- n% `0 n) E. S$ ~( r8 K+ o 2 ^% l$ I. m0 z
1 T- J+ ?0 z' h" F9 T
" P$ X) w2 n1 j# x/ C/ M6 R 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ) v- T$ l( t( ^( H+ o2 E6 P
* u. b# L1 `5 ?) ?$ d5 Q& k v6 l
3 W# G' E# i4 q( u X9 ? " C6 N2 D6 [" G' j& ?" E6 Y6 I
3 q# r$ M; ]7 E+ c8 K7 H- L2 o
% P# x, O& x7 @ 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） , O7 b$ h3 E4 P p7 B: G7 r
: L' ^& m" j) l- U* v6 ?
& `/ V2 t' j' y& O! l8 ?' l - n! ?" U( M9 _' p( G
3 ?) @" l8 c2 o; l4 L
& |& R, X" Y2 k/ A4 E 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 5 B7 M. Z2 d! Z$ z# K
$ Q. O8 ^6 ^& O
( z& d2 R6 _$ e, ? 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 . ^' g; \" P/ A4 c9 P% M6 q* a
8 L- J9 s- \/ |8 W( ]
' Q8 c7 J$ A1 ^8 M }; h- _ 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ) [- i' H `/ P2 w
* ^! @; {! Z& ^) i1 e
3 @) ^1 h, ^ X' I. Z. i * C6 j- U4 z2 D) h; z& t( ]( k
/ H8 e+ _( f7 C" W 内网渗透 / O6 y5 w& n$ s' H9 i+ b
* L7 w$ I, O3 y0 B( O7 L+ `2 J) @ 0 @; D! W+ h7 H7 B8 E& W9 v7 \
# o8 [" v+ [2 a; y7 _2 { 7 l/ P1 ?% b1 E, `* q0 z9 p# Y2 Y
/ p8 q0 J9 c* B# r! e win下搭建cs和linux类似。 5 ?1 l( Q. a; T6 x4 R. e% I( ]8 J
) [. r) l+ K4 g1 R
- d) H9 x3 T' K- G8 W' ] |0 C( R
teamserver.bat + ip + 密码
5 m2 X, d/ R' O1 B& b

7 c7 a0 u. e6 {, @5 Y/ K " D( I; q6 q5 l' Q- d- Q# ~* ?/ q
N) Z' A; X" S7 X+ ?, Z
6 }% Z' z2 r$ n1 R fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 6 U% [ j0 z: R& r6 y
1 a" ?9 |4 t( V0 Z- J
l3 J2 k0 z. Q ' I, s/ z6 ]. S* B7 [. f# [
9 W/ f5 o( Z# A$ H; p G
/ R x2 ?3 i6 E8 N; S. e9 I& T 6 k, {' e! R: C/ E7 L+ d
7 y4 B- u/ ^. y' k! H2 Q4 R" F- ?
6 M P: L8 b! [9 G, u 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
! ?# K) G+ O- O/ s
$ @- N/ N* u8 b: P9 w. z: s 0 A$ j0 T! w1 b4 Q# e
% O* a( M; l/ m8 ?
: y% j) G4 U3 E K6 ]/ [5 n4 i 9 e% A6 M$ z1 j+ h1 H5 R
0 l7 H- h: U& v" Z( i+ z& I
8 s0 R4 D5 }/ m4 Y fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 + L2 \9 s& J! f& Y/ ]( d
n' q2 |4 j) e9 B
4 n- l7 \4 Q' }6 s' y" ` PACS系统 0 v! R5 _% b$ F2 y; {3 X. V$ `
6 C! D% l) j7 n7 V+ [/ Y' W# ^
* z$ l4 X+ i/ Q# H, F& A1 c3 j 7 w6 n8 [, `' l) h" v
( f! d& o- m0 W
: E4 M2 H. F6 N) |
2 R# {- z) v3 b- `+ b: j% O
: o" w$ B7 m! e- k 8 r; H( `$ ?' F9 d$ D$ Y5 }6 }& q# o
2 B" r7 ^3 W7 K2 M$ f1 E
9 a! n# G X3 r8 m- _; P HIS系统 $ V6 U _* [" U# K
" |% [3 J, b" J, s. g _" z
2 n( \( y4 H% ?" J % ^4 k0 ~5 i# Q3 Z3 O" u% h* @ [8 T
# t/ s8 v- |% H
/ e$ n; g# N/ Z; r / V7 ~* z! d n# P5 V- }% |
+ ] F6 f! `8 C0 R
; Y/ C' p$ x- P% E2 w. t& |" f 7 Z2 _. _" C! {! a
3 w$ ~- ]8 _* }7 @% ]. @- n3 W
& ]% i3 ~& K. i" m, _ 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 $ I$ _8 H5 y# t' e
" E/ R, W2 |2 `2 q1 \' W7 ]0 s5 a
P0 c! ~& q0 }. D0 ~
/ |! c/ k) A3 k. S
1 h7 B% P3 y5 s* g; o ( c2 _% }" ~5 W" g/ H7 P$ T* m* A
5 _+ S9 K0 h0 Y$ m3 u0 L) b
" ]8 G. j% U0 F+ | 后话 # p9 U# W+ f1 r9 q1 P( Z
" Q5 ?+ b+ v$ d5 n( ^3 H
' X9 E$ j3 H; a3 \- b+ R" ? 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ' [+ x5 {6 [# p( f2 |& {
/ b! @% t7 F1 ?# n
. z4 S8 }' ^8 c2 K. ]1 ^* ] 5 _1 P+ s' a, f0 ^+ ^/ ?. P8 u
4 J/ w: n* ^- ~9 { 1 |2 D5 U! t4 T/ k
9 t0 {4 V: |3 Y0 i ( S: h4 M; M* ~+ `. i8 O
, G# A9 p8 s6 [ 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 1 b& \. d/ U2 r# M: ?: u# L
9 q5 V8 m. ~1 x8 o7 |+ U
" a) `9 F9 r3 n6 A9 ~- y- |9 z" P7 l 5 b; m% \( F2 _+ ^
6 W y( n5 j2 C9 V8 k* ~

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

: I) g$ n( [) Y7 F k+ A6 z 无线or有线# d% R( [8 a7 y* c

/ H8 e+ _( f7 C" W 内网渗透 / O6 y5 w& n$ s' H9 i+ b