记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

; v# y, ~; i0 N; z& n6 h5 Z 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 + C5 c/ Q% n2 y( a. q- [

+ ?2 v' f2 j$ e 众亦信安，中意你啊！
) D b0 i# X) M3 B, ^
% S6 M" P% a( `ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 4 ?9 P+ {* t! e/ u% K) H# r$ Z

8 t) h6 F9 s" R ingFang SC,serif;">4 n: a( Y+ ~, Y9 B9 p2 o

1 c7 _; O# {) M
. u8 ?- ]( \( F4 K$ M) Z+ t; Y 众亦信安 / x+ b0 h W m* c! V- B* P+ }
; N& |9 w- Y4 \ D! A, ^; N% ^- H
! ^7 I; M! m/ B7 W7 q4 P% I% P 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 0 v, x& V7 H% w$ [( k' h
: T8 Z- F9 \1 W q( k3 v# D
2 x4 m$ y- x4 c) o* Z( p ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 9 f d& [, P# ]
* z8 [' `# q0 K. \
6 w: |4 ?( H- H- r9 v; j( ?" B) ~ 公众号ingFang SC,serif;"> 7 u# C; G1 {+ d6 L0 g1 {
1 r. B" i9 ?- c6 V7 D
; f) e6 P, n5 h" s) P
6 E0 V0 d4 H; H& [# ^
( @0 a" k; v3 r; d/ \! P3 y; S
' u4 W8 G- S' w0 g, e- X
点不了吃亏，点不了上当，设置星标，方能无恙！ v0 {" e9 ]8 ^6 F5 U; R
3 a# X& g% v5 M% l7 } ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 2 N# r4 G/ `# i$ b+ u, k
) Q8 O# @3 p ]0 v( y' z
) E2 N; f+ _$ F$ ]$ w* v 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 3 t h- l$ N g" ]+ x
, b$ V& H* z2 t+ q/ @) V
! C$ ^1 t: S% f( z* g" @ 4 o. a1 L2 ?+ T. v
1 ^; C) M+ p( N- m6 |4 i
$ k9 w- ^* o6 F; ? " N: A% o3 i. {3 n
: }9 @0 N( |( _, E0 e 无线or有线 ; S. d; t3 U7 F$ `
8 \% O$ j2 D* l# a9 y3 T: e1 O8 | 7 a- D/ t4 _+ ^8 L0 S3 p1 t, C1 |
/ g+ h( M$ j, L. n j3 r 6 H! a& Q1 T# v" g7 Q; X
) `% ?9 a/ ~' U" m 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ! N7 Z2 a# ^' n; y. f
: ?6 [" D5 ]7 W R+ R; L" m
5 t2 N+ ^& O* M 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 $ M# X& A) k# ?2 _; X0 e
) A3 U( H6 r& p! F4 L
( H. F) r; }! n; J: Z/ f4 V 3 J3 R& l0 ~+ l+ I: R0 w0 _" q$ Q
: g7 J4 T7 `, `% ^
/ Q) {& U& @1 ]; v " T+ z6 m2 V, O( \
4 y t6 T+ q* P' h* C' z9 f
0 q9 ~ E: x/ s- J! f+ D 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 9 W V+ O c' Y: L1 m
# l) Q/ R) E- J9 E9 }
$ y! H% h% o: A2 D/ j# n8 N( S+ W8 e, O 0 }# t/ d- d2 D: q( M$ Z% m
X$ o9 |# ^! J4 }
* v! V: A/ `1 w9 z. J2 B6 \ 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） * N9 @7 ]5 f4 V& ~ g1 s2 J, p
* ^) x* I) S2 ?% u8 [! K. G
3 u& n2 q" `& w7 z - F8 ~- E5 M" C: T9 H+ d6 v8 U
) X: b2 V Y, h: F# A: e
! t! W4 k5 \5 `) K. B+ U! e 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 `! D4 I2 w0 ~$ g m) Z7 Y
/ @6 v: S$ A# T1 x$ \3 F, o6 ?+ q* n, w
$ e3 p, D- `' t' b7 g- p# j1 W; I 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 & z3 s% l6 ?' T7 a# Q6 y- J
; v2 ~- i1 O( I% S- p( }( u, T" X
. F7 s% E; W5 X7 ^3 ^ 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 $ l, ?0 ]! h# u( N1 d+ e
* t) T& F5 t A/ F
0 X' B# N) q5 k6 ]2 Y- P1 `' L) ^9 ` ; i" ^+ k* J( I% \& K( p7 {8 n
( U- B0 z* _6 r0 g& o7 w" C 内网渗透$ X) j; F; K1 D0 [9 {6 @! j
$ P2 g7 ]' p, Y. ? ) a, j+ l& o5 b3 h6 I
- W5 M" x0 y, B, T " a/ Y5 w0 k. t' l/ z
/ `) n" }' }5 ~4 v win下搭建cs和linux类似。 9 T* E2 T8 D' j+ D m
1 r1 [* Q% K! e5 w, ?
& A) G9 T/ k; G6 d8 X
teamserver.bat + ip + 密码
, u. Y1 {; Q n4 n
0 y1 A, c$ D+ ?
: ^% p0 I+ f( \' t + R6 v6 s- ~/ s( l. \7 P
" I. d/ Q' B4 ^+ j
8 i, x# E* `( w# N fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） " ?; S$ S# O4 V! U* j6 x) J
) |5 s8 `, `* M2 G* [
1 X8 ?( S5 l4 @. P ' z* ?% U, \% e5 |3 u
. s1 S1 _. v( z/ p$ _5 o4 W
0 `7 \* L/ {! l0 ], D; @ ' q+ b7 N1 q+ P' k- a" ^
8 M# h9 b: [3 P) P1 {5 c) ^5 ?
2 O' {* ?# ?* r. f( ^! Y3 Q' K' k 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
6 v0 j3 c( d- U4 e
: J+ R3 Y7 Z9 Y- U( Z# \# D ) t2 I: r3 P# u
& Z0 ~$ ]* p: I% ~# p& A% }2 \" H
2 |) p$ ]$ M' i) L / T9 e3 o5 F/ ~9 T" Z! i) w) B7 e
6 ` x- Z( V+ R: d! X
) D6 z5 ~) d2 e8 e fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 7 J- \" t$ ~# k8 ~ {4 N, x
( z! x b/ g$ w% [5 j N5 L3 f& \
9 T/ {' k' c1 k% T/ b4 i PACS系统 - ^5 T2 @; o N7 x; e! v
$ M! g$ n/ {2 G9 c- d
1 B7 V; ?9 @0 I: ^7 v& L 9 [, \8 C7 O* b/ L& A. X
0 b: K$ } T( A+ n( X& R0 A, u( ~
, y. z: `" M& K; ~! c# o
( `7 M% [$ H% ?3 |3 u4 R% R
( `8 Y* H5 y; P5 f , j4 D6 o( ~& k$ V, q- I, w
b0 r% }; _6 I3 o: p2 c
# o8 z8 I) |/ g# R6 r HIS系统 : M3 t4 H5 Q) y- N. N( v. I
# O/ \: p2 H: b9 X& k2 O
! V0 K% y4 i) e) H3 v. c/ K8 | 8 G" F6 K: I) Q: Q
: S( L' c4 j; P+ n5 ^2 L; a
4 F- ~$ W; E9 r 8 q4 v( U) [. @; c# M0 c. _
; Z" u W3 z8 N0 Q) d% Z3 d
# d# |( Q, e% I$ ~0 h 9 i7 }2 D$ A+ z- L! ^6 q
1 G) y ^5 B8 J7 Y \
5 m0 H7 g6 \8 V8 Y# F) R# z5 Q( E 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 + u0 d; ]5 k! B/ G: `8 C- ~
& H! c! ~+ T4 t
) w5 R# k3 a# ~0 o; m. V& p
) Y: j: E: r6 I0 P; y$ C8 h
+ f, n9 G1 @& n2 m # S" T) a* G- V) e& Y% X* ~
K& r2 u9 w: p( U' i. D% D5 @
. `; k/ ]; q$ u 后话 * D7 ~0 S- _; I, N: l
3 P H: i/ M/ K6 w) {& v
0 _- O7 T+ F+ C+ a+ B 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 % J2 v, h& V6 p: E: Q) t
2 v5 ?* l S& o L0 h, h
e/ h! c m' w6 x* K! U) b $ b+ f' H7 D. L) \: f; o/ N
& G- ]3 i: c+ \5 ?$ @3 L3 Y & u- u4 W* l/ o! w8 f% [; b
5 ]) h. E) v, Z6 ^" X2 ]7 y ! |! [% {0 o" ^9 Y$ {
0 b9 s% U( S R6 g# U0 D 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 . C* z, u, Y' Z+ J. W
8 o( Y0 R9 h7 M# K J
1 s5 m- @. m' K4 T* s# `0 ^ 6 K" Y. g) v- z
3 t" y, h& C" D: y k