记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

8 [( T- x1 w0 s* G/ a W 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 / [" E) z+ z3 |: w' G5 e

! x4 s/ f6 I( M 众亦信安，中意你啊！
0 U/ @/ [+ v1 y* y
- H6 F! I/ ^" D1 C! G8 d$ [9 \4 S+ wingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 3 O4 G5 q9 w4 M) X( r1 P

- b* n7 [0 i, [' G; \( W ingFang SC,serif;"> 3 w8 M; ?( C! x5 U* a, \. K; u

- `! H. x3 H$ x. P
6 h- H/ ~' \8 o( z" X; }, ] 众亦信安 _1 a0 E: ]! d+ ^9 _
' T) \8 R4 f* o4 }* I
3 C F! O: a. O* Q 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 8 e9 }% D; K9 ?3 @7 J- I6 S+ g
% l5 Q% x; Z* K) S
8 `: o0 ~+ M8 y ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> * C1 x/ }( v: P: N' ?
$ y. C4 P: R2 ^& z% K) V
. c" \/ \6 i- D* G, I0 J 公众号ingFang SC,serif;"> 8 T" k* y) j) ~" ?$ w
7 \9 X" e+ g! S I. M7 b
3 _' b8 H' i- X5 V2 v+ k
; R6 n6 G: L p" J' S! J
! u w, i3 P( S3 f5 Z; N3 q& c& R ) P7 E" I7 S* m3 M% I1 U
. t+ @* n5 ~' y6 l4 B# q+ r
点不了吃亏，点不了上当，设置星标，方能无恙！ % Z% S |- x. O$ H% `. \" z; i
3 V- H; O- k6 c; |+ C8 | ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> " f% ~0 U$ s7 x4 B% C2 T( n+ n# m
2 m* i$ J. ^' E& B8 E+ u
! f1 o2 T, v6 \; b3 b; N" Q* ]9 \% ?, ^ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ' K& }4 l( W% D [# I
4 j/ v$ ~5 E3 Z) {
' @$ T1 L5 ^# q 2 k9 C, e* _! v8 M
4 a8 z9 K0 Z$ A! M" t3 l
* b# l% ~ f% O; k $ J2 h! ^& a' G4 F7 D) i8 X# S A
) \+ h) s$ x s2 Y s 无线or有线2 i1 ~! c% h7 \$ u
& b0 y/ u# G* R& ^( m* p# r 1 }3 ]2 [! H, H7 d) Y8 u% y
9 b% K: x$ o4 s( g2 ~2 p/ f6 O0 g& e ' u% j( q2 J" o& T) u: L
: E% q) @- V# I7 T0 D" W) Y4 h 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 4 s1 g2 o3 o( n2 G
9 k8 r9 T; N; w; P- O1 Z% z
& W6 e" q1 _; F9 ~/ m 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 # [( a T2 e/ O& m8 E* B& p
8 U& P0 u3 L, a, r2 s2 u
; c, O3 X1 q- Z" ~0 } - s, d4 b' x! }2 X- r
, X* L, `# A- ^( z2 e
" v+ c C: w/ F5 q3 n, ` ! L! W# v5 C$ o
" B- `, i F0 h% Y" k: W
8 t; r. P0 X: T. z. A- m3 N! M 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 + c. E6 L L, e! H( U
# L( g3 t8 [/ q# f) [
: w: b% b' o9 m( }# H, _( y ( Y* z: Y+ U7 I2 H _" _" z
& j; b" B* r% ~. [# z+ S7 N
8 j8 \; P0 x( o u& o 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） $ B( k/ n6 e% g
: [ G0 \0 t* \# U( l
6 \6 A9 ?1 [* J5 e - t1 Z( m5 I; `
$ Z! z0 n' |# g$ h! K8 x8 R, S" K
% D3 `! X0 f% I' o" T, D* {' v0 f 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 * V5 k7 s+ _8 |6 Q3 O3 ?
! c* y& H8 J3 F E- }) X- F% m4 k
$ O: c2 Q' T( p" x# s 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 ! j; B0 w. W; p
3 z% B7 L3 E$ v$ e2 [
$ Y7 f( D8 I( n$ O 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 ; |% s" y; i+ ]8 |& F0 d0 r+ ~
/ @% S, z; \) w
, Q, @* o5 m' Y' ^ 8 B% S; ~8 U$ Z
0 Y2 n9 s3 ^5 ]% h8 Y 内网渗透5 x7 G4 T, I: b0 g
' Z6 m, W( m& {! \. J7 w& ~ ' U% W4 w8 x8 e9 ] s2 m
8 \5 V! u& U9 e+ m0 f8 x4 O$ Q3 e 0 V( p; l o, S- T* k6 x6 x
6 ` \) ?; ~7 [/ q9 H win下搭建cs和linux类似。 # Q& Q# j2 R% N- Q, h# [3 V; l
! i# u6 `2 m& }$ r
: f$ F& w2 a/ j z4 m# X4 J
teamserver.bat + ip + 密码
: G) A( i0 C8 a, J( U: M
" G1 F E1 I/ p7 J
+ A! j! W. [. M 6 x1 @" A& r$ K7 f( V8 n# T' j
# o& m7 _1 O; ^6 @& i* R
T# b2 t' s. k% K8 m fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） : \+ E S' E$ X) g$ U) ?
5 v4 j6 L% V' ]8 f
) `" I5 d4 Q( S u1 @3 Y$ v/ g 7 U, h8 [' B9 G" i
( D. Z- K1 x8 n! F
1 R4 t5 ]9 V; i* Y2 p2 | " v5 H6 r& I0 \1 Q7 v7 [. {- [
! P+ B0 } ~' L9 V& a2 J
: ?) E# | L! {; ^* h 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
. }# o- \; ?% A
# J) B2 n! }1 M! V5 D ( u% ?: Q& w2 ?: J1 h( [
+ _& z1 m- \0 y, j. Z6 Y
& h- M' `( Y; f3 o ; ? _( \2 h% S% p( O
! A5 E5 z8 h8 v9 }0 }
! k C: i/ F9 Y fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 9 q' K2 T* I. X! c1 i4 D% p
6 Q# |( X& b% c! L+ `
: y2 \) j. n% ? PACS系统 9 o9 B5 [+ \1 E' Z7 \
7 F+ _( K0 [: G% [5 ^/ A; Y" V
' l+ |# {8 o; h/ G/ g( L$ m! c - T9 `% L1 B* n2 ^0 d
1 j7 I7 A4 ~$ V/ Y
; G9 w9 k- J# W
! E6 d1 k4 Z) [
5 Y+ ]" d+ y/ u # ~& k0 I; T% ]+ D& q% K; P
7 U( k" _* C6 z1 W! A
, f. w, \" D: \+ Q8 U% G HIS系统 1 ~* a3 d2 _, R
" G5 U4 l/ _" d$ M; x8 q
0 ]6 W* T4 y. E 6 u* O2 |3 z9 V. R" K$ J$ a) o# u
$ q3 t! [) W4 h# d* t+ E
( K. O7 b3 P9 Q! H0 q. e ; m0 {9 _" a/ d( v+ n
$ f8 D/ z. C5 K) W/ i
1 B0 j8 `$ u: d: y/ j7 F : o/ w b/ S5 j; s; o |, E& Y2 w
4 k$ ]5 X4 u6 M1 E
( T0 g, o+ s1 g& `. H 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 9 j* C) ?/ ?" i% S7 [) Q5 q. V
C3 l. h- F( e0 l& @$ ]- Q
6 H8 V) h9 \$ _! |3 s
9 w+ Y: N1 J8 T/ d( r4 T6 d
# R L# A; y! G5 r& M, `" m$ T: h 4 O1 Y Z: {; g# C
! F; }7 ?9 F- _/ D* h0 W+ @$ z
' V) s! |% O7 |& E* ~5 X6 V- E$ M% Z 后话 ! [0 l6 r$ ]; J. O( h+ V6 o
: v4 T( H+ [ t% d4 V
- L! W+ {# l9 k 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 4 x% m- B& Q7 ~5 n3 N
6 ~9 C, M# j5 z9 a0 j8 j
6 u% q! @" p" k( h1 v 8 b6 @2 K; y* [5 a, O: `
! P3 ], |& S% c+ w* x% [' `7 _ 1 h+ p- F X3 v* C, V/ @; t) o) [
, U& u/ _, S: h* j& k , C; d- r" L T* D8 y
1 P; B3 A8 f2 J. H) @% U 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 - z$ ~% {) q. }& E$ {+ M
+ i, I. V4 J# X, v! i3 G
. D) A6 ^2 e" Y! E% w 8 M* X9 B2 x |2 s
3 \2 R8 [2 f: {' e8 y0 N! X" k' H, C