记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

5 ]+ `; `4 G- e 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 4 _, G; U/ E) F6 Q; ?( Q

8 R% y3 f0 _# C' Q4 Y 众亦信安，中意你啊！
S+ r Y3 y0 N: i- y8 l
! Y- T) F" j6 ]5 m1 _8 V$ S; PingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> / n, s% i" z8 O6 j! Y Y

$ I0 j ~9 X, W! k/ o3 N ingFang SC,serif;"> - ?2 }" z" K/ H( _# k

. g# H$ @, j8 `! d6 b
5 n9 w$ M0 y1 ] 众亦信安 6 S2 l2 l7 Y( w6 y9 ]+ u
8 B+ P9 O* r2 `' z, N
+ P# v& E4 v. {: r: s 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> + Q' c# F5 C- H
* L, s1 G, z3 b! I
( |. r6 e. S$ X* K E/ l2 x ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> * P! J& q7 f# M' q$ c/ a- K
; Z# t ?1 i$ e0 ^- m
2 f4 C2 L J" a* ?+ G- o: J& c3 } 公众号ingFang SC,serif;"> " Q4 A* y) n1 M1 C
0 V- e+ z, q3 f) q) q8 ~
- [, H5 v& Q6 F: q& c( ~
: S; h( T Z& I% z8 k/ B
* ^. @" O7 `9 j 4 I; }' R" f( U: k" K" q
' {. c' n+ {! r7 J5 D) M
点不了吃亏，点不了上当，设置星标，方能无恙！ 2 Q: ~: z! e8 T7 s
+ g' l9 O- j7 H7 V ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 4 h: u* u# l. E+ h. v" v, [
/ E/ v( F0 Y2 }* j D/ W
, B9 j. X" o+ ~' W8 q% H V 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 A2 l9 V3 r9 v# a3 @: x
: \/ h0 c6 B9 }4 ^! Y
" t6 {- O! b0 G$ k6 _/ W8 l ! _4 y0 N, A3 Z4 H
' \% |* L' }# P8 D
6 t* `* g4 j6 U% r 7 N1 E. ]% _5 ^# Y2 s/ w
: J) q* J2 Y" h1 @7 [" g 无线or有线4 \$ k; G- w# @/ Z
0 J2 Z* z) v/ A! X& P! l* C 3 a; a/ L. u4 F( R, o9 N) s
/ _0 n ^% R( ]9 f. ]% K$ |+ s 7 |, A3 e* S5 i, M
5 Q% Y7 o5 V& a! e 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 . O* a0 h3 Y* }# e
/ `0 P4 p: e/ `) F( H& [
1 `2 o. j& ]+ }1 D 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ( B1 Z: ]5 m y3 ~0 M; h
; |2 _. b: @: Y4 {/ M: }4 G0 W5 \
! t, x0 s% n7 C3 J& V * {8 R9 S! \2 J& K, X' J) w) r3 `
, X B- y f* m' g/ ~
# i' F6 ]7 N3 u - O& z c9 |7 P4 f( p
, i- v. K; e. t7 o
9 |1 c. f+ f: O$ l9 V. f 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 5 G: ^; [/ [, G. d/ F, _
! B, k% ]; f2 r$ R
4 X3 G2 I; l1 j# d6 U, t1 `7 r + w% a: U& ?% C: D# L
& u: Q$ N3 F0 A
2 ^. @$ _ d3 ^4 l4 u 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 1 G0 t* x* f5 N) V. Y1 V# b9 j7 J9 M# D8 v
, W5 z4 G* |. K8 W
: b4 W, _( V- S$ w' ~ 3 E2 I$ u3 F& H2 w
+ S1 f: d* `9 F3 C+ J/ C/ a6 C
- m/ G* F8 d) [% g 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 - _# |5 p7 S3 a2 \% }
`' {5 |3 T+ k) q% n& l2 d3 s
+ s! m4 Z) d5 W$ y5 S' o8 z 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 6 [* O% r$ v; ^3 A
# U3 I0 C3 w. t8 o5 Z" i. Z
' k( L8 z+ V" T! G9 h3 s1 X 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 8 T, r1 }. i" O0 ^7 G$ _; I
& u) K1 x2 m- u- `
9 A1 o& g% N" E8 T3 w 9 Y0 z* I3 I" T# |- z' r& o
; K c( P) [ u- o7 P 内网渗透 " ^" D, s: W6 {9 e6 u5 @9 M
8 h/ v5 G0 x, e1 R( U4 ^$ h / H' J# }* r% x. f
7 I, q/ M7 D" `* U q& i& E {0 [: e& i i+ Q1 h0 i
8 q3 V( [6 C3 d" k$ ]6 a; `2 S5 E win下搭建cs和linux类似。 , ~! ^% b8 \; f0 I; [" u
& |1 M! D! A, X( u0 i6 [
0 S. c! M" @" R/ J
teamserver.bat + ip + 密码
, _( f# o' P6 I b. X
& s9 ]' u1 \2 m) z# j
+ z8 l9 T# v D+ m8 N4 W4 W8 f! b ! H |$ N+ Y0 n
- b( B$ G* _3 u- L' }8 K; h
3 R- [, P* S' L0 K, u0 v6 \; i fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） / m/ n: n0 R2 E1 k2 `, S
) F2 h* U9 K( V! v" K- k
0 o6 O, I7 {0 V+ p& \; Y: Q. C 4 C/ e5 V+ Q* y# d! [. N) J
8 c" M' u6 ]- X9 ]/ X
5 n0 U+ @9 U; O# D5 F$ X) n/ Y# T 4 E' v- d/ j) {
8 X! |9 G0 Q* f) d
. E* b/ g1 H4 L0 S2 |8 m! ~ 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
7 [! `6 h1 s4 |# \0 O
/ |9 T& _: d! h- N/ ?; N. P ! k' n/ D+ T- _* j" d2 a9 J
# e) _2 h8 i( y. S4 i$ o K
5 W- m& e$ a! j# o( ]! U8 a: z% Y: O , T5 s* F& i; B: i3 U) {
; c# s5 ?* e) r4 ]+ a
" x, G! }+ U$ P4 q2 Q5 N4 w! [ fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 - y* g8 I. K6 ^2 L$ k
' l- R) I; D) h1 i
3 r( @; E: e* m8 A PACS系统 # [) N6 I7 l) _, ?3 z7 q7 d# |. Q
6 S& G0 E0 R& X8 x$ C6 c) w: s0 y* c
3 x* t4 i0 Q* E6 n7 Q ( _/ W2 T* [8 u3 ] Q
I( G1 p' j# g4 k* T
' _$ [4 P( w$ x: O+ f; F& M
# y1 ^9 w! g, B5 B( N7 n
. B9 O: I* P, i3 [- v 9 l0 U/ R; N- S! w+ j4 Z
" J, h* ]: [6 x8 U4 T) E
3 a G* i% u- `/ Q, q HIS系统 1 W3 n& t1 a+ @
5 P3 k; }9 d+ Z' I+ y# ^; N2 [
! ?1 s# Z( y6 r7 W! Q1 V ; T3 P* d; Z' o5 n
1 p7 l J& B. l# t. w* e. u1 {/ r
: o- y9 v7 N# Q! k ) o L! r# z. K. R& n0 Y
) Q7 x* ?2 u% f0 U7 p
R& W/ z) d" [8 \ ; U4 {* I& C9 M
8 f3 h7 M& m! X$ m% S2 L
6 k I+ ~( t" K; X2 f) l' c 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 / }! R; d7 G0 X8 R% K r6 y f3 u" X
7 l: J y0 S$ {- @4 T% R3 A, S
9 \3 N1 m& F8 o% W1 F' B6 o9 y
& [6 C/ G" e( ]; L" c6 n
& C' j) c- ]( X ) L# @& l4 X& u; q! l
7 j I9 i$ U; \5 q' l" F
3 T' v6 ^5 W( Z m: Y8 u6 Y! h 后话 1 u, M, ~! }3 r, D2 K
u, m* C0 X3 v! H8 p( G
4 I7 r7 C" {6 u 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 4 ?9 ~; ~# I) a
! M. H$ m# f t; x& L5 R
0 k, ?3 O: l1 W% D- r- _2 E + r" {) ?% m6 u% Z3 W& X9 x
- f6 V2 C/ k C2 T, p : h$ w( v9 B9 G; f# f% E$ {
1 x& w) m3 ^ F' {4 u( L0 ~ 3 L4 r4 k$ g& i( w; Y( `8 V; m3 G
5 D2 H/ m5 v. ` 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 + X- t7 g/ i* X: T/ `$ k. O
3 w' t! C/ L$ t3 d# Z
6 ~2 R I1 K) d- P3 r& C$ ~% B 3 B: C/ n" y C1 }
, p; A3 G: I: k% Q% s- e8 d

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

: J) q* J2 Y" h1 @7 [" g 无线or有线4 \$ k; G- w# @/ Z

; K c( P) [ u- o7 P 内网渗透 " ^" D, s: W6 {9 e6 u5 @9 M