记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

5 c/ Z1 y/ L+ m! p4 X% t 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 4 D! t& B I/ l5 s7 D$ S. P, K* h

; a o* P7 i. v 众亦信安，中意你啊！
; X3 @' N R) K, p) ]
, k* T% ^& [. N ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> % p0 Q! n2 ]2 p ^; N: R% `

+ Z$ n8 o5 i. E2 | ingFang SC,serif;">& p$ E/ k1 e5 |& c* v2 H, w

4 R8 z2 m+ [; E/ M, ^
+ R- S/ C' `' F 众亦信安 ! r% h0 @ D8 P- d" g) N
7 ?. p Q! E$ }8 E" ^' p
3 c% p; }' }' X$ S2 A9 J! W# Z! o 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> , k+ S" |8 M X- n
* u1 z$ q* `5 W5 w+ J$ M9 o
: n' r% K/ z8 f' k ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> * e9 J' v2 H8 O8 ~* u( H6 B1 g
M4 m6 C5 u$ \6 k: K
# s* [0 T& a2 H 公众号ingFang SC,serif;"> 7 e/ R- A2 N* c" [
+ d# [" F9 N$ p% w# `
1 ]# Y6 ^: p) T* B* I# L
, n1 n8 J$ R8 n D' y% {/ K; |
. t: T* x( |0 d7 d0 S Y1 L) S' c8 p" w* U
" u/ t. M3 D {# t
点不了吃亏，点不了上当，设置星标，方能无恙！ / I P4 x S1 [; ]3 r8 i3 z5 E
8 B- q& d) N" q& K ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> % u6 E" Z7 Q* q8 X8 x5 d
3 ?2 v# i2 Q) P+ D7 X+ u+ O
; L1 @ o+ L0 V2 z* d- F 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 3 u. z7 E: ~: Z7 `% m3 u
( W$ L; G6 \. m: M. v
5 S8 @8 I: l( j( J8 I) T6 Y F7 k1 X6 U0 N$ W5 Z8 Q6 x
1 y5 l4 U$ c7 h+ U, b
1 U2 s' Z3 E9 }3 j0 i- P & b; {; s6 w* D( z! R5 t
0 t7 G3 j1 }. l1 R9 m) E 无线or有线 9 }9 X, w, E) j( x% O' x9 G
1 O' j- `5 h8 N, \ " V+ [. k- W$ R) H( B0 U* b
5 L+ V2 j5 n& J' Y# n) F0 m ( U; G8 R2 f$ t$ O
6 ]8 y1 s6 f* E. F4 Z1 F" n6 h( c1 e 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 / b2 E0 E5 E2 F K. w
) a2 c5 ]: i5 ?3 {" d2 ~ G- p4 _, `
! f& B) L; ?, M+ B3 l" t4 C( h7 f 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 0 i9 ?8 C. R% V. W# M, [
1 W; l& D6 @& Y: i7 |: q
1 ]) G8 S$ q) u) X' f , Y O6 ~$ _7 g5 I' h
: p: ]7 ]( Y5 g+ r0 O2 a
: h; ?' M# |3 n0 K # g& V, N }8 ~
$ ^# W7 k. U: V% _# ?, D) Z
6 L% f( T" E7 W/ F8 _5 J; D+ @* ^7 r 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 9 e Y+ m, X E" |
6 T) o0 B' N0 ?* v. {$ Y' l
. V; a9 J& ?& ~8 _) }7 @ 9 f3 n u. ~! `5 t5 M
, C/ y. r8 n5 h0 J9 A1 u$ `
+ N+ m! h6 @2 W 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ( F2 h: o1 @! s8 r! D
! h2 f+ y, u: `3 i4 U3 g4 {
4 |* ~ y8 |8 Y) r / t. g% b8 T% N0 j
2 F* t# n) S# j' U7 n; B
3 B# [* i( |; w( }" o: N% m( ^ 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ! u% A ?; U" h" x
( ~, e% L: J, N/ T9 M( V, i: e9 J
; p% A5 V+ F' c: O; Q# G# s 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 8 d9 U& \$ n6 |' c9 f% x
% z% J3 i/ R) @5 X0 @
/ i2 D4 k8 a8 G9 z+ z; h0 _ 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ' x) t$ W- C) p: v/ O2 g3 F
5 S4 ^4 x3 t$ a8 a. t4 g) q9 W
7 u4 U3 z" q1 G7 c; _ 5 B0 k, f, X# Z! J! S
9 z; ]& c4 `8 o& M& F' ~ 内网渗透 9 V+ m P% H1 C5 |) _
/ ^9 G( O* ~) R/ w$ p5 i8 y. @ ) f6 A& Z/ j0 x: X
. w8 G0 C* b0 O1 H7 F 3 m' B- f0 Q0 v% }" Q& c( j
* |- M1 L7 u: @! a win下搭建cs和linux类似。 : U5 t) ]2 N# h
, `/ ]; e4 _* q1 h, U
9 r* e N! O. S4 V8 n
teamserver.bat + ip + 密码
2 i. o3 `7 U! l8 q8 w+ F
# v8 [" O2 X0 H6 ~5 i
: C: a! q# D+ w5 y* J/ a7 x0 a& p & i6 Q) u9 J& _6 X
: e( `: M1 p( {' N& S
* m3 @7 |' @9 t9 C fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ( k) G$ q; ?6 E5 S/ ]7 }# V9 c: Q
" U+ D3 c" C t4 [6 _4 N/ H# I9 c
+ A# p8 a. m" R6 |! O 6 H& x$ L& u" T- `: t" I$ h: u# y
- R i: g; e2 A7 j
) h( W8 M* A( d8 M' ^ 8 y& `. d" @1 x* s4 m/ h E2 r9 [
& L9 }1 N" O& a7 B7 v# F7 X9 ~: J
% ?" r$ ~" R' ]/ v 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
5 S! c( Y# w$ _: d. s8 H% B, o
: O0 P Z7 j8 c% s1 {7 H7 d 3 U$ ^+ H2 r0 ]0 q# x& b$ g
' g" W8 u6 q; [: ^4 P
2 `2 @' v9 h' b/ F 0 O# G( m/ H8 p3 ]+ N2 v7 C
e" N& G8 V; `* T
) v C9 T4 C% u2 G% f fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 / S% N( r+ y* m2 m
4 E8 a! B# ? H: v4 t
# q! { u9 S. d% y PACS系统 8 S! I+ u# _9 k5 r( i* U
?% d7 |$ Y3 h8 s2 `& m: @
$ b6 E+ F0 X# w# m+ |3 W
6 d7 F; R+ `8 `3 x2 u
8 _$ W1 f- f5 P T! s6 A2 S, x8 z
9 Q0 O, k- N# E$ D, M# p) F% C
5 n3 N4 N& F3 S: H# d' p 5 l+ I& w! e+ }5 Y0 g
. U) h2 S+ q% W6 A6 m: [+ L2 U1 B
: Y& R: Q/ {& U7 M' s6 C HIS系统 % k0 q9 T! J4 e2 O% k
1 E3 t J5 O1 R: O, ?
. a6 B, J/ z0 G: x1 @$ R 1 f- M. |1 t0 o9 Z
& U8 n: k- I$ q* H9 N6 A
6 q- ~( u+ H( J3 R# z. [$ v! i! r7 c 3 l( \: I" B/ x* {9 _0 u
4 O& X7 f3 K/ g9 a& D" B" Q
0 }& ^, L! a9 X8 N9 ` . A2 O1 t8 c9 R; x
: z/ k6 A$ Z8 W, B7 }% D
, A! q+ T$ O) l: c8 b 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 7 H0 [' H+ z7 d, E |) Y+ l$ W
' Y5 B2 @! z; U. q7 ?& C
$ d/ `% n' j5 M' Q9 {
+ c, H9 \ X( H# c
& P. V5 @* x7 n) F; u6 D6 M9 X* L! b
9 |! I; o4 W' B* v
! [ K. n: Z5 H% f, O% w 后话 ; m% E- ]' o) A0 u- ^
9 S$ k9 q4 o( K- |+ G
, ~" N% V% }8 i/ W1 {; N 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 + C5 @* U; w, D D' p/ z
* A: K4 U* b+ b9 \. W' m
* P0 i9 i7 z8 M: Y" R3 d * m5 H+ W! g$ a' {" O
% ?' k& `' c8 f; l/ ?# C8 x4 U " u1 ?& K2 c5 B" Z7 ?: `; f
7 x$ L1 B' w7 n& O2 y# @; c ) q9 K; S( ?( W; M
" i$ Y6 O5 Q( A$ H 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 " P" [0 w* D2 U8 F1 o
/ Y7 |4 B o- r9 c5 c, e8 r
7 P4 Y( Q( N7 S. d# L 5 ^/ f4 l* _4 M" z
2 G+ h4 D9 ~9 F% M* S9 k- _: O