找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1941|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

5 c/ Z1 y/ L+ m! p4 X% t 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 4 D! t& B I/ l5 s7 D$ S. P, K* h

: c: g6 @9 Y, J+ ?: p& X$ t

; a o* P7 i. v 众亦信安,中意你啊!
; X3 @' N R) K, p) ]
, k* T% ^& [. N ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
% p0 Q! n2 ]2 p ^; N: R% `

1 @0 D: f. s2 h+ l, p; Q/ G2 Y: z

+ Z$ n8 o5 i. E2 | ingFang SC,serif;">& p$ E/ k1 e5 |& c* v2 H, w

; K7 O5 `( N# [2 [$ B
4 R8 z2 m+ [; E/ M, ^

+ R- S/ C' `' F 众亦信安 ! r% h0 @ D8 P- d" g) N

7 ?. p Q! E$ }8 E" ^' p

3 c% p; }' }' X$ S2 A9 J! W# Z! o 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> , k+ S" |8 M X- n

* u1 z$ q* `5 W5 w+ J$ M9 o

: n' r% K/ z8 f' k ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> * e9 J' v2 H8 O8 ~* u( H6 B1 g

M4 m6 C5 u$ \6 k: K

# s* [0 T& a2 H 公众号ingFang SC,serif;"> 7 e/ R- A2 N* c" [

+ d# [" F9 N$ p% w# `

1 ]# Y6 ^: p) T* B* I# L
, n1 n8 J$ R8 n D' y% {/ K; |
. t: T* x( |0 d7 d
0 S Y1 L) S' c8 p" w* U

" u/ t. M3 D {# t
点不了吃亏,点不了上当,设置星标,方能无恙! / I P4 x S1 [; ]3 r8 i3 z5 E

8 B- q& d) N" q& K ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  % u6 E" Z7 Q* q8 X8 x5 d

3 ?2 v# i2 Q) P+ D7 X+ u+ O

; L1 @ o+ L0 V2 z* d- F 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 3 u. z7 E: ~: Z7 `% m3 u

( W$ L; G6 \. m: M. v

5 S8 @8 I: l( j( J8 I) T6 Y   F7 k1 X6 U0 N$ W5 Z8 Q6 x

1 y5 l4 U$ c7 h+ U, b
1 U2 s' Z3 E9 }3 j0 i- P & b; {; s6 w* D( z! R5 t

0 t7 G3 j1 }. l1 R9 m) E 无线or有线 9 }9 X, w, E) j( x% O' x9 G

1 O' j- `5 h8 N, \
" V+ [. k- W$ R) H( B0 U* b
5 L+ V2 j5 n& J' Y# n) F0 m ( U; G8 R2 f$ t$ O

6 ]8 y1 s6 f* E. F4 Z1 F" n6 h( c1 e 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 / b2 E0 E5 E2 F K. w

) a2 c5 ]: i5 ?3 {" d2 ~ G- p4 _, `

! f& B) L; ?, M+ B3 l" t4 C( h7 f 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 0 i9 ?8 C. R% V. W# M, [

1 W; l& D6 @& Y: i7 |: q

1 ]) G8 S$ q) u) X' f vshapes= , Y O6 ~$ _7 g5 I' h

: p: ]7 ]( Y5 g+ r0 O2 a

: h; ?' M# |3 n0 K vshapes= # g& V, N }8 ~

$ ^# W7 k. U: V% _# ?, D) Z

6 L% f( T" E7 W/ F8 _5 J; D+ @* ^7 r 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 9 e Y+ m, X E" |

6 T) o0 B' N0 ?* v. {$ Y' l

. V; a9 J& ?& ~8 _) }7 @ vshapes= 9 f3 n u. ~! `5 t5 M

, C/ y. r8 n5 h0 J9 A1 u$ `

+ N+ m! h6 @2 W 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 ( F2 h: o1 @! s8 r! D

! h2 f+ y, u: `3 i4 U3 g4 {

4 |* ~ y8 |8 Y) r vshapes= / t. g% b8 T% N0 j

2 F* t# n) S# j' U7 n; B

3 B# [* i( |; w( }" o: N% m( ^ 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ! u% A ?; U" h" x

( ~, e% L: J, N/ T9 M( V, i: e9 J

; p% A5 V+ F' c: O; Q# G# s 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= 8 d9 U& \$ n6 |' c9 f% x

% z% J3 i/ R) @5 X0 @

/ i2 D4 k8 a8 G9 z+ z; h0 _ 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) ' x) t$ W- C) p: v/ O2 g3 F

5 S4 ^4 x3 t$ a8 a. t4 g) q9 W
7 u4 U3 z" q1 G7 c; _ 5 B0 k, f, X# Z! J! S

9 z; ]& c4 `8 o& M& F' ~ 内网渗透 9 V+ m P% H1 C5 |) _

/ ^9 G( O* ~) R/ w$ p5 i8 y. @
) f6 A& Z/ j0 x: X
. w8 G0 C* b0 O1 H7 F 3 m' B- f0 Q0 v% }" Q& c( j

* |- M1 L7 u: @! a win下搭建cslinux类似。 : U5 t) ]2 N# h

, `/ ]; e4 _* q1 h, U
9 r* e N! O. S4 V8 n
teamserver.bat + ip + 密码
2 i. o3 `7 U! l8 q8 w+ F
# v8 [" O2 X0 H6 ~5 i

: C: a! q# D+ w5 y* J/ a7 x0 a& p vshapes= & i6 Q) u9 J& _6 X

: e( `: M1 p( {' N& S

* m3 @7 |' @9 t9 C fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) ( k) G$ q; ?6 E5 S/ ]7 }# V9 c: Q

" U+ D3 c" C t4 [6 _4 N/ H# I9 c

+ A# p8 a. m" R6 |! O vshapes= 6 H& x$ L& u" T- `: t" I$ h: u# y

- R i: g; e2 A7 j

) h( W8 M* A( d8 M' ^ vshapes= 8 y& `. d" @1 x* s4 m/ h E2 r9 [

& L9 }1 N" O& a7 B7 v# F7 X9 ~: J

% ?" r$ ~" R' ]/ v 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
5 S! c( Y# w$ _: d. s8 H% B, o
: O0 P Z7 j8 c% s1 {7 H7 d
3 U$ ^+ H2 r0 ]0 q# x& b$ g

' g" W8 u6 q; [: ^4 P

2 `2 @' v9 h' b/ F vshapes= 0 O# G( m/ H8 p3 ]+ N2 v7 C

e" N& G8 V; `* T

) v C9 T4 C% u2 G% f fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 / S% N( r+ y* m2 m

4 E8 a! B# ? H: v4 t

# q! { u9 S. d% y PACS系统 8 S! I+ u# _9 k5 r( i* U

?% d7 |$ Y3 h8 s2 `& m: @

" V5 z4 b4 B0 T" ^- m9 F2 M% V; a7 \: ?" N vshapes= $ b6 E+ F0 X# w# m+ |3 W

6 d7 F; R+ `8 `3 x2 u

8 _$ W1 f- f5 P T! s6 A2 S, x8 z vshapes=
9 Q0 O, k- N# E$ D, M# p) F% C
5 n3 N4 N& F3 S: H# d' p
5 l+ I& w! e+ }5 Y0 g

. U) h2 S+ q% W6 A6 m: [+ L2 U1 B

: Y& R: Q/ {& U7 M' s6 C HIS系统 % k0 q9 T! J4 e2 O% k

1 E3 t J5 O1 R: O, ?

. a6 B, J/ z0 G: x1 @$ R vshapes= 1 f- M. |1 t0 o9 Z

& U8 n: k- I$ q* H9 N6 A

6 q- ~( u+ H( J3 R# z. [$ v! i! r7 c   3 l( \: I" B/ x* {9 _0 u

4 O& X7 f3 K/ g9 a& D" B" Q

0 }& ^, L! a9 X8 N9 ` vshapes= . A2 O1 t8 c9 R; x

: z/ k6 A$ Z8 W, B7 }% D

, A! q+ T$ O) l: c8 b 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 7 H0 [' H+ z7 d, E |) Y+ l$ W

' Y5 B2 @! z; U. q7 ?& C

$ d/ `% n' j5 M' Q9 {
+ c, H9 \ X( H# c
& P. V5 @* x7 n) F
; u6 D6 M9 X* L! b

9 |! I; o4 W' B* v

! [ K. n: Z5 H% f, O% w 后话 ; m% E- ]' o) A0 u- ^

9 S$ k9 q4 o( K- |+ G

, ~" N% V% }8 i/ W1 {; N 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 + C5 @* U; w, D D' p/ z

* A: K4 U* b+ b9 \. W' m
* P0 i9 i7 z8 M: Y" R3 d * m5 H+ W! g$ a' {" O
% ?' k& `' c8 f; l/ ?# C8 x4 U
" u1 ?& K2 c5 B" Z7 ?: `; f
7 x$ L1 B' w7 n& O2 y# @; c ) q9 K; S( ?( W; M

" i$ Y6 O5 Q( A$ H 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 " P" [0 w* D2 U8 F1 o

/ Y7 |4 B o- r9 c5 c, e8 r

7 P4 Y( Q( N7 S. d# L   5 ^/ f4 l* _4 M" z

2 G+ h4 D9 ~9 F% M* S9 k- _: O
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表