找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3244|回复: 0

记一次某医院渗透(近源)

[复制链接]
发表于 2024-3-1 20:15:03 | 显示全部楼层 |阅读模式

1 X; L" v1 }5 L 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 4 C$ ^6 ?$ z5 y% Q

7 P9 [0 {8 P' H6 @& b: o: b v

, X0 [! Y7 h; u: Z 众亦信安,中意你啊!
9 [8 V% o' ^: P
* J- u' w# U' I: w' w7 L/ a L$ ] ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
- D# m2 h8 M) U& w7 G. M

4 ]' z3 Q8 V/ s/ n

+ d. K& I$ h. D ingFang SC,serif;">* p) C+ B1 e m5 j% K0 Q$ E

* M, B/ J. e# A# L h: l
9 n1 M4 n5 z4 o* {) v+ c, H

- k$ w3 i4 W g% O) l/ `# B; d 众亦信安 : j1 `1 b6 e7 r5 x7 ` U5 e5 h4 @

: G5 N" K+ i8 M1 l

9 H& u8 U2 A! i, a 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ( M7 s9 a' J2 D% [1 v

{& z5 Q. F9 |% U: M

/ m1 H5 V- C b ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 5 x, s* T6 k# v1 f

" [( B) m4 w' [5 I! O3 K' [

: ?! X1 h0 r; g6 G$ k 公众号ingFang SC,serif;"> 2 j/ R9 Z- x4 {4 C

3 m, Z; r( X7 A; [, W$ r

( k7 O. H4 r' `; W5 ]2 n
7 n. u) \; K4 i0 h
! ?- V9 I' k8 N! P$ B
+ ^( |* W4 e( _6 c, L( j" F4 S

' F9 O8 A2 @( e. K+ \$ L
点不了吃亏,点不了上当,设置星标,方能无恙! : U! H3 V) c0 D. N. D

6 ^' j1 ~8 h$ x ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  8 j, c# e8 t# M& c# ~) Z

* y) q1 ?/ C: Z

2 k! J7 |. a, x* k; Q 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 8 M- K$ `2 d1 _7 w' [

% g; v1 F. @" d4 ^1 B* }) o

( \: v. B) b+ P, F8 ?/ v   ! U7 Y- \9 }& L' R9 W+ @$ w2 T

/ X3 N! s9 J9 f1 C/ r+ s- y
" E/ ^' C I: g5 E 3 B' F8 A+ l, [: w; g

# k' Z, c. V# T* j0 z 无线or有线 ! \/ H! o$ c: O! I" \: t$ R

( E8 T2 U l" F1 J' U& @" m9 V
7 Y9 c) \6 q4 r, ~$ ~6 E
/ z* F% l. u+ ?% N2 p l% x S$ n 0 T$ }+ X* E6 {9 l* _0 u6 Y

! _2 c$ e, ?& m: i1 W3 y 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 4 k6 Y; I- a* ]' c$ s

9 \6 m. l: L$ @8 Y0 o& e

& C- c2 c1 c. f5 c4 d, w3 Z: h 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 8 Y6 R! v8 C5 w, r; o+ h; `

& I. @. _. W2 Y' C

& ]7 Z& t4 c. P$ w vshapes= : ?4 I2 ~: [/ R+ g) z5 f

$ Z3 I) J) g( \' w, e! v

$ b/ y5 X0 E' ~% o: `+ _% ^3 s vshapes= D s5 O: D. W8 U6 k4 F) F" `

1 N+ H* F: G0 I

3 s' \1 f! U4 M2 S: T9 ~7 X 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 % z: ~' I4 M( Z3 J2 \

. Z3 B6 P- ]0 }4 A+ m( ~

6 \' l& o8 G5 P9 h6 o" O7 ~5 h vshapes= 2 u+ |; a- C. @: x5 B

" w% q9 U( x: c: g/ ?

' b0 ?' V# c5 R0 s, i 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 ) n# z/ ~# ?; m0 D1 \7 O; |7 S/ U$ P

- d I* X$ N4 ~3 k' W

4 Y3 V! q* {3 }; n" S& w7 V& M& Q! n vshapes= ) G5 O; k9 b/ C: L2 q% C

1 w: Y; |( U' m& q; ~

) `: S2 S& d# ^0 G* m 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 9 B! T1 Z D y0 @4 F( E, ~

" t! I( ~3 l+ m! }

$ E8 g7 C) `2 U P- r( W7 l& M 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= & d, A9 x& N p, e$ ~- ] S

8 @9 K. j" ^; S% F

! e* ]% W3 r9 y* U 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) + G/ E# K0 ^3 j: u

- U- F: K `/ g; k9 H8 `
, Y/ @/ n3 f! c" A ' p0 ^, r R! Z0 L/ A1 \' X# ^( f1 r

9 D$ x: g c* W J$ h9 F6 v 内网渗透 ~" | j! l: B

6 [" ^1 @2 [# ~1 F4 c) p6 y
& N. K' O4 L R7 h& k( s7 D
$ A5 X: o2 f) P- E, Y3 f! r " b: l& V" e- \$ c" c, g( W

( k) N' |# v& K: |* o3 t$ i win下搭建cslinux类似。 1 P w' ~' S9 Q

* M2 y! t, e& T9 r5 d% y. C' y
" b1 m# j6 m# F0 }5 E% j( S
teamserver.bat + ip + 密码
5 ^5 L' C! g5 |4 y/ G u a, @
. L, K& j+ j0 n8 l- t3 l

4 {8 V% x0 b0 L, ^# |2 f* q6 F vshapes= ! \! n! E( x, L& }- A

8 L# f3 J/ Y. n' I# ?

+ L, g6 T C1 J) Q: r% X( t fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) " \9 Y, O9 K4 ~5 s

( e. d0 ~( q: _

0 D u, Z9 p z- ? vshapes= 9 S' O8 a- r* C6 X6 e, W

9 }; H6 `0 Z/ @! y( b9 z

* D$ S0 p4 H( i* m& R9 a5 O/ B! F vshapes= $ f/ k3 k, M/ U: m0 k

* a6 m6 U! f) E, Z

1 A( x% B3 \5 y 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
3 Q' T( k( [8 f% i3 C( F
2 z0 }7 H5 Y2 Q6 _$ t" P4 C+ S+ A
4 ]$ j& f. ?! I, \) B/ A! c

8 y2 l! K3 w" E6 {" C- Y2 m; d2 h

$ L; Y4 O1 n# {& W' B$ P; L+ C vshapes= * v% K5 a' L! j, F

) D- T) M& h2 V' J5 [, Q- ]

8 i$ i. w x# t5 V fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 1 A. f: J8 i+ e7 q

% a$ V6 }% c% {+ X- p

8 @9 U9 v) g/ ?' i# r PACS系统 + K4 L! E6 r: n2 K1 G9 v6 ^

5 K0 P P }) e: e! Z

2 ~/ t; K; j8 a$ d8 I vshapes= 0 h! K" z6 G1 C% ^" R& C/ q3 ]7 Y

: k0 r' @6 I! [7 L) J

) h8 d7 X' [& L- K0 c vshapes=
' T; q$ E, a: Z5 q
v/ v; V6 v2 K( T
i+ N' a9 z7 M* b' J. N

' F7 }: ?/ N2 p) f

0 Z4 }6 }- `/ h7 g& |+ {0 f HIS系统 D/ n1 H0 M6 M4 I4 y H

8 b0 ^% q {3 y, G7 D, t

$ `& |$ l2 [7 n' C6 `) s vshapes= ' N* c6 t; B" }, q8 z& E/ U* L, O

0 o- f7 I+ X' |

. m8 y9 m+ {% [; `( B7 O5 {   @5 L$ q6 T% A) Z& y6 A5 s

' O6 j8 z @! P3 U5 }

- o; `% z. h" h1 Z) q vshapes= 5 S2 M: T- r. ]' X6 L5 ]0 P

7 u5 ]) L: s4 @, n; I

0 Y B# l; G( S 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 9 c, L, T2 ^; o4 J _+ U0 b N, b

" X7 o' R8 V8 a* W

+ m. }: c/ n$ {
) s) I/ A2 N7 R% D+ ?6 p: e
; {5 Q% A3 P A" O
! L/ `7 O; Z$ w( @$ F; ^# z

1 W3 @4 {. d8 b8 _! L C

. v" b* O3 Q- G& g. L 后话 . @# p' c: l2 Y/ y" Y; D- |7 ^

5 t$ L0 y5 d& c$ `$ F& I# q7 ]/ b

* R( l) a9 _. \- j& n; k 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 9 P0 P2 ]1 s4 @

& }5 e/ Y0 e6 d& T
* L6 i6 f; w1 M, d0 z ; T: S! q" F! u
& ^9 r% N0 Q# {9 u
% M5 _8 U6 d. n, r) g9 p2 w
9 r0 V/ z% _5 Z ( Z( z) O. c' h- G1 p3 Z2 C5 s, z

) e. V7 d$ I, ] [2 x2 M$ G2 x 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 & K9 v, o$ r- X. S7 f! h

6 j, `% K2 ~& \; y) C; z

+ f1 d P2 c# K# a& p   7 n2 w) B! Y5 f7 @( Q0 D# G

! f2 M: Z8 J/ @& F: H; `. |7 F
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表