记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

8 V6 g" {/ o, J# ~& a: c 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 3 Q) V0 W; i& n/ e$ }9 Z- u; c

7 ?: u8 _" U( A 众亦信安，中意你啊！
" N3 @& G# l5 F* w0 X6 s& m
3 o3 ?) r7 @" P- a9 X" h ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> $ J0 |! M7 p) i3 x) K8 I7 B

( N) I+ q" A; R ingFang SC,serif;"> 7 \) t) R* u3 l) O. G, R) u

7 K0 o! p) W' V, \
- b i# G1 N6 m! N, j, Y 众亦信安 # D3 ]2 h4 v$ S, r
) Z1 A2 h( e% t% P
( j! ~. ~/ `9 D1 z0 s B 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> & j8 n K3 J5 `; N8 A
6 T! b4 v, J7 _6 q4 m! W( p& R
" U. R4 R i6 o+ l7 g9 T" o ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 0 E% ^0 _0 S$ k$ T* r) y
" D8 q) v6 S5 p$ W' G
3 g) o: ?$ [) e8 ?- o& S 公众号ingFang SC,serif;"> 0 i8 ]5 h4 [, G4 f) V
0 X6 G8 W: c/ ~- e. \
3 N* V* W/ O# C2 ^1 e* t
0 G/ {$ G7 q1 d: Q! U8 E, b
# N! q6 q0 T7 I: b. o # y) V# d+ {' \+ d+ |( }$ ?
" ^# D$ m8 Y' W9 M1 @
点不了吃亏，点不了上当，设置星标，方能无恙！ % H, Z1 u2 G: {# M: ]
$ t2 u4 ^4 l% e5 x" M ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> & \+ a4 ]) i# ` T. E
d" S5 ~, j* K' m. c/ j
" ]% ]7 T% Q3 `% i 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 + A9 U9 F. W6 O$ T! v) a( a7 ]: u1 s
, A# c$ E0 |# e+ N3 m3 _' G. ?
2 L2 Q' K4 P k. [) i " Y0 k3 M& K* v* Z& R8 @
- ~- H. N8 Q, |
: \6 T# S9 y0 K: v& k+ E : _: J4 e$ o: p* C7 a( H+ x9 P9 f+ N
. h! X& ?, n7 H6 e) u" [ p; o 无线or有线 0 {1 ^: u4 `4 q
" {* T: Y3 [# @ H# A/ Z, U 6 T1 U1 i- N# n% Z& T4 Z0 ?! X
4 z4 j% K9 q! J( F6 D- p6 t/ X/ ~9 d ) W( x2 g: F$ {" w& W6 _! i
% U5 z0 [9 I ^( B 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ; W! ~" ^$ U! _0 }* s' N
( m9 A7 e. z5 U& H
+ C+ J) ~% b) z' K1 |& m8 R2 @ 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ) g4 f" x2 R1 x4 J2 ~; y
% y; J: [6 }8 ?
7 o( N9 x: t p& P ( R4 t9 I$ r; E' m* x$ W( I
9 T5 j+ U& o$ ^& Q" |
. H& \3 p* e7 \. b& c 9 _ P# K |- `2 A- \
$ l; v, N( H- l; T
* F; ~9 q) W5 U5 I 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 5 u/ |1 Q: f! e/ h+ r3 M0 h9 v
7 W4 g( d% H7 t& B6 y0 ~' l" c- ]
" P: L3 I5 Q; k) G. s$ i$ v( W 1 ~ N+ C! S" a4 l
% U" R/ d$ s6 m$ F5 R
5 o R9 P4 j1 A6 p1 m 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 1 W F3 S- G" B
- ?7 k4 w5 C9 O, f4 S
1 s2 ?, ]' f0 e7 Z9 v/ P3 _ , w G; @1 Y* L: E' @) i/ Y. _
9 ^! H$ \; Y8 F* p" E' \8 D/ w
' c {+ Z8 M1 ` 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ( I& D# A! H5 i
( P+ h! _5 {) Z |0 L1 E- P
g( K+ s1 w5 P' D 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 - @# E6 i; Z7 Y1 I
/ F1 |. [( k" A
( ]. R* a2 z; Y& p 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 9 u+ L! Q9 P' b3 Y, H5 n( c/ L' b
. y5 |2 t, W1 `
+ T4 a, o6 }. H* |7 y) w$ }# B 9 C+ g- R7 O# ~4 ?
3 Y$ J, m. O5 q& s8 ~3 }7 H# e; j 内网渗透0 f2 E- X- i3 d
6 L2 U4 Y5 ^# r : \+ g2 [; E) c% E+ ^$ H2 C. I
& m3 k4 ?' p, s2 C) J $ d [& [$ z2 F, L$ W2 I
( _& `% [! N3 p win下搭建cs和linux类似。 5 S- x# C& y. M1 S
6 c7 U* M0 j/ Q$ R, ]( T( ]
6 |* U- E8 M$ U: ]# E Q& ?& Y
teamserver.bat + ip + 密码
# {7 }* B j* s
; ^, `# z3 }: G2 A
2 a! [( S! L/ g2 s/ C % u# E- i- S. E
' y5 g+ X( w% t& }. K) O
& n0 c% p: K1 S9 u5 E! X0 K+ g fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 7 F, v: {' P1 a$ J
% i5 O. m6 @4 U' m. X0 q( q7 u
8 F6 [, }! }) G2 U3 T ; z( E" A3 s: }9 V/ ~+ m
) o+ E1 a# H8 {' k2 {7 ]$ t
; U3 v' i, v+ T! M3 [$ u( f* U 9 w: l# J: l/ W, @
: t+ J8 B0 ]2 o/ R i8 x& S
" m I+ p0 d/ `, l 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
" V* n7 A# I. ] L7 m
2 ]! N. E3 S( q6 u5 s / E1 i M) l" \
# m5 v# Q1 V R$ S E1 ?3 ]
\: h' d4 U5 a0 o0 Q8 \! ~" @ 4 V; f3 J6 R e! O2 [/ c0 N+ l7 S
5 F! T( i# b- M8 V( P
4 q2 K5 M) s1 p fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 7 [4 B7 c" h2 r# }" e+ a. e/ x; _
` n! n H7 l6 `9 v; q
: E: D( m4 ]1 w& u" P PACS系统 7 h1 K% r. K8 L/ N
6 L1 R; G9 A+ m: b" b" x6 m
! @7 B- z+ d) a+ h; v5 R. @! l* P( |; j / J) V- U7 K9 d( ], y6 x+ \
" u5 p3 l+ |# V) Q8 G
: X k! |* T: m
! t6 ^3 Z8 W9 P. F7 a" O2 T' H8 K; x
* E0 h! f- c' R) m . c5 K F) b2 M0 `$ o$ w8 P
9 Q6 H9 R& K) D% F" ?' \
3 A; m. t5 I2 N HIS系统 2 L! Y3 m0 n3 c" k
; ^% G3 k9 h- e) r9 d( |
1 n: @% a- k1 W8 D ( q- Z2 u2 L# C) V
, W8 [* P0 C: o& t
- i! p# u9 L( |* }) { ) {# v1 p, H* v1 q
% l8 e. ?$ M5 Q
6 \7 Z( ?& ?* w4 c # N9 n; R8 ~% c& o: d3 b
) e" ?' ^7 }8 `1 p2 [: a) z
1 L, D% C* d G* q7 Y( o+ M( p 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 ' Y' K4 G0 q' E& h5 n5 a* q
5 n7 z. b- ~) K/ J
" d! @6 }+ k; l R! n6 N7 G/ x
K3 o1 d# R* s* R# C
* [- Q, ^/ j# U2 h/ I8 d/ E& b! r+ U) g" w: H4 f& d
/ o! V" a2 D6 [0 j
% g" G* W: w/ ?2 i6 V" Y 后话 4 T5 Y, O) J! e- M( f N
" i4 R. N4 b3 i1 v( t1 W; a: T% J
- b- N+ g7 {8 ~ 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 3 a) v/ t& H( Q! |: O) J$ N
: D8 z, h9 i) k. l' j# Q" B6 }
0 o! g$ ^* f! C9 U 6 H! @ R( A" R% E' R( h
3 D4 B; d/ M0 {2 ~4 g# S5 c' ? 7 B- Q% M, }" E
: d, v8 {( }- b# C) U2 ^6 Q- D ! O: n' V8 L: [
7 q1 S( L6 k$ ], D 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 , X5 ?- n: x7 C/ X e4 p, i- _/ d
2 D0 c" _4 ~3 ^0 B9 ~
* _1 ?' Q+ H. t0 c7 Y / E8 `- q: M5 m
2 ~$ }6 b8 b3 Y5 K+ a* a* D0 @