找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2354|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

8 [( T- x1 w0 s* G/ a W 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 / [" E) z+ z3 |: w' G5 e

) [/ d% U% E% O1 l. f

! x4 s/ f6 I( M 众亦信安,中意你啊!
0 U/ @/ [+ v1 y* y
- H6 F! I/ ^" D1 C! G8 d$ [9 \4 S+ wingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
3 O4 G5 q9 w4 M) X( r1 P

: x$ E, @# ]5 m( S9 e3 c% l; y

- b* n7 [0 i, [' G; \( W ingFang SC,serif;"> 3 w8 M; ?( C! x5 U* a, \. K; u

1 z0 q! J7 \ w9 b" L% C" R" r
- `! H. x3 H$ x. P

6 h- H/ ~' \8 o( z" X; }, ] 众亦信安 _1 a0 E: ]! d+ ^9 _

' T) \8 R4 f* o4 }* I

3 C F! O: a. O* Q 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 8 e9 }% D; K9 ?3 @7 J- I6 S+ g

% l5 Q% x; Z* K) S

8 `: o0 ~+ M8 y ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> * C1 x/ }( v: P: N' ?

$ y. C4 P: R2 ^& z% K) V

. c" \/ \6 i- D* G, I0 J 公众号ingFang SC,serif;"> 8 T" k* y) j) ~" ?$ w

7 \9 X" e+ g! S I. M7 b

3 _' b8 H' i- X5 V2 v+ k
; R6 n6 G: L p" J' S! J
! u w, i3 P( S3 f5 Z; N3 q& c& R
) P7 E" I7 S* m3 M% I1 U

. t+ @* n5 ~' y6 l4 B# q+ r
点不了吃亏,点不了上当,设置星标,方能无恙! % Z% S |- x. O$ H% `. \" z; i

3 V- H; O- k6 c; |+ C8 | ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  " f% ~0 U$ s7 x4 B% C2 T( n+ n# m

2 m* i$ J. ^' E& B8 E+ u

! f1 o2 T, v6 \; b3 b; N" Q* ]9 \% ?, ^ 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 ' K& }4 l( W% D [# I

4 j/ v$ ~5 E3 Z) {

' @$ T1 L5 ^# q   2 k9 C, e* _! v8 M

4 a8 z9 K0 Z$ A! M" t3 l
* b# l% ~ f% O; k $ J2 h! ^& a' G4 F7 D) i8 X# S A

) \+ h) s$ x s2 Y s 无线or有线2 i1 ~! c% h7 \$ u

& b0 y/ u# G* R& ^( m* p# r
1 }3 ]2 [! H, H7 d) Y8 u% y
9 b% K: x$ o4 s( g2 ~2 p/ f6 O0 g& e ' u% j( q2 J" o& T) u: L

: E% q) @- V# I7 T0 D" W) Y4 h 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 4 s1 g2 o3 o( n2 G

9 k8 r9 T; N; w; P- O1 Z% z

& W6 e" q1 _; F9 ~/ m 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 # [( a T2 e/ O& m8 E* B& p

8 U& P0 u3 L, a, r2 s2 u

; c, O3 X1 q- Z" ~0 } vshapes= - s, d4 b' x! }2 X- r

, X* L, `# A- ^( z2 e

" v+ c C: w/ F5 q3 n, ` vshapes= ! L! W# v5 C$ o

" B- `, i F0 h% Y" k: W

8 t; r. P0 X: T. z. A- m3 N! M 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 + c. E6 L L, e! H( U

# L( g3 t8 [/ q# f) [

: w: b% b' o9 m( }# H, _( y vshapes= ( Y* z: Y+ U7 I2 H _" _" z

& j; b" B* r% ~. [# z+ S7 N

8 j8 \; P0 x( o u& o 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 $ B( k/ n6 e% g

: [ G0 \0 t* \# U( l

6 \6 A9 ?1 [* J5 e vshapes= - t1 Z( m5 I; `

$ Z! z0 n' |# g$ h! K8 x8 R, S" K

% D3 `! X0 f% I' o" T, D* {' v0 f 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 * V5 k7 s+ _8 |6 Q3 O3 ?

! c* y& H8 J3 F E- }) X- F% m4 k

$ O: c2 Q' T( p" x# s 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= ! j; B0 w. W; p

3 z% B7 L3 E$ v$ e2 [

$ Y7 f( D8 I( n$ O 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) ; |% s" y; i+ ]8 |& F0 d0 r+ ~

/ @% S, z; \) w
, Q, @* o5 m' Y' ^ 8 B% S; ~8 U$ Z

0 Y2 n9 s3 ^5 ]% h8 Y 内网渗透5 x7 G4 T, I: b0 g

' Z6 m, W( m& {! \. J7 w& ~
' U% W4 w8 x8 e9 ] s2 m
8 \5 V! u& U9 e+ m0 f8 x4 O$ Q3 e 0 V( p; l o, S- T* k6 x6 x

6 ` \) ?; ~7 [/ q9 H win下搭建cslinux类似。 # Q& Q# j2 R% N- Q, h# [3 V; l

! i# u6 `2 m& }$ r
: f$ F& w2 a/ j z4 m# X4 J
teamserver.bat + ip + 密码
: G) A( i0 C8 a, J( U: M
" G1 F E1 I/ p7 J

+ A! j! W. [. M vshapes= 6 x1 @" A& r$ K7 f( V8 n# T' j

# o& m7 _1 O; ^6 @& i* R

T# b2 t' s. k% K8 m fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) : \+ E S' E$ X) g$ U) ?

5 v4 j6 L% V' ]8 f

) `" I5 d4 Q( S u1 @3 Y$ v/ g vshapes= 7 U, h8 [' B9 G" i

( D. Z- K1 x8 n! F

1 R4 t5 ]9 V; i* Y2 p2 | vshapes= " v5 H6 r& I0 \1 Q7 v7 [. {- [

! P+ B0 } ~' L9 V& a2 J

: ?) E# | L! {; ^* h 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
. }# o- \; ?% A
# J) B2 n! }1 M! V5 D
( u% ?: Q& w2 ?: J1 h( [

+ _& z1 m- \0 y, j. Z6 Y

& h- M' `( Y; f3 o vshapes= ; ? _( \2 h% S% p( O

! A5 E5 z8 h8 v9 }0 }

! k C: i/ F9 Y fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 9 q' K2 T* I. X! c1 i4 D% p

6 Q# |( X& b% c! L+ `

: y2 \) j. n% ? PACS系统 9 o9 B5 [+ \1 E' Z7 \

7 F+ _( K0 [: G% [5 ^/ A; Y" V

' l+ |# {8 o; h/ G/ g( L$ m! c vshapes= - T9 `% L1 B* n2 ^0 d

1 j7 I7 A4 ~$ V/ Y

; G9 w9 k- J# W vshapes=
! E6 d1 k4 Z) [
5 Y+ ]" d+ y/ u
# ~& k0 I; T% ]+ D& q% K; P

7 U( k" _* C6 z1 W! A

, f. w, \" D: \+ Q8 U% G HIS系统 1 ~* a3 d2 _, R

" G5 U4 l/ _" d$ M; x8 q

0 ]6 W* T4 y. E vshapes= 6 u* O2 |3 z9 V. R" K$ J$ a) o# u

$ q3 t! [) W4 h# d* t+ E

( K. O7 b3 P9 Q! H0 q. e   ; m0 {9 _" a/ d( v+ n

$ f8 D/ z. C5 K) W/ i

1 B0 j8 `$ u: d: y/ j7 F vshapes= : o/ w b/ S5 j; s; o |, E& Y2 w

4 k$ ]5 X4 u6 M1 E

( T0 g, o+ s1 g& `. H 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 9 j* C) ?/ ?" i% S7 [) Q5 q. V

C3 l. h- F( e0 l& @$ ]- Q

6 H8 V) h9 \$ _! |3 s
9 w+ Y: N1 J8 T/ d( r4 T6 d
# R L# A; y! G5 r& M, `" m$ T: h
4 O1 Y Z: {; g# C

! F; }7 ?9 F- _/ D* h0 W+ @$ z

' V) s! |% O7 |& E* ~5 X6 V- E$ M% Z 后话 ! [0 l6 r$ ]; J. O( h+ V6 o

: v4 T( H+ [ t% d4 V

- L! W+ {# l9 k 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 4 x% m- B& Q7 ~5 n3 N

6 ~9 C, M# j5 z9 a0 j8 j
6 u% q! @" p" k( h1 v 8 b6 @2 K; y* [5 a, O: `
! P3 ], |& S% c+ w* x% [' `7 _
1 h+ p- F X3 v* C, V/ @; t) o) [
, U& u/ _, S: h* j& k , C; d- r" L T* D8 y

1 P; B3 A8 f2 J. H) @% U 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 - z$ ~% {) q. }& E$ {+ M

+ i, I. V4 J# X, v! i3 G

. D) A6 ^2 e" Y! E% w   8 M* X9 B2 x |2 s

3 \2 R8 [2 f: {' e8 y0 N! X" k' H, C
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表