记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

# P$ c, ?& o. } _# y& S& G 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 . ^* R0 ~" ^3 p: Q* h

: a; z# Q- ^/ |" g. a/ f) N* C 众亦信安，中意你啊！
! G7 ]% F! Q- ~8 C
& n0 u$ D5 b |7 C ^ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ! g# w2 ~& A9 G2 F8 e

9 n, V2 U% e" w( m& E+ u4 Q4 D' Z ingFang SC,serif;"> ) U) a5 }0 }$ @* C: o' _

) N3 @" t% m; ^/ l1 M* o; j5 l
: E! u) k0 |8 ~+ W4 P 众亦信安 3 F6 c7 g2 f/ F
w* I* g/ v4 x4 z( y" T7 m, U
1 ?6 ?3 ]% X F+ U* A& W 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> " K" J/ ^: C- |
. I! S* K8 z* `
, k, R) {2 i/ K* t+ x7 v2 n ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> & C7 H4 D2 K* L. d
5 e$ q: U$ ^9 e7 I7 o
* W. ]- X V+ N! _* t; H 公众号ingFang SC,serif;"> ! n0 R4 p& x( z; r) _
/ S1 V2 n n3 Z3 {- Y, H5 r
# E0 T: x; i2 F; Z M/ J% r
z! l9 A; q, X' s
. e& B7 X3 f3 j9 m + z6 ~% a2 |3 o. P- Z' m) u
* J' \7 P8 X, y& _9 z4 G
点不了吃亏，点不了上当，设置星标，方能无恙！ 3 B4 L8 N. ?: Y9 X( w7 W
8 a' w( k6 k9 H5 @$ Y ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> $ w$ M, D; a! ^: z9 G4 X; M# s5 U
, z6 I2 W5 }7 B8 W, G
! g1 X" I' ]8 R2 j' r 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 7 X* c' s# {$ b1 Q( ]
: M5 T1 m0 D" s8 q4 S
4 w- U' | L; s% t, Y) S6 g % _3 O! H5 w# w N% R2 v! T; ], h
/ |; u8 p. l) N
# i( Y8 j: ~2 y% m2 g( J 2 j8 F. D. T3 J" C9 u5 v9 C
4 U" S4 p. l# G 无线or有线8 U* k" O* K3 r, b
# Q* k1 [1 D' R( j/ j0 D$ X- b 3 ]7 ^0 [8 W# ^. k/ E- u; P
1 G# u% g- H4 g , f4 `$ x% I! _. k
/ J6 d X8 W1 I+ x 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ; E2 r, n \ w" u/ d; }3 ?
/ _: Z! w4 U- W" l& a% P1 X
t8 l8 m7 C9 _/ j$ l 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 2 Z* N$ O" n! T, M9 D5 K7 n" a" P
1 {1 ]% _+ S5 D4 N) J. t9 o
+ ?9 ~# [! G ?6 y1 n7 z $ B& S& s6 g6 M, J8 w3 w
6 P8 }2 v7 t0 Q+ H7 V
7 e: v x( a- j/ R8 c/ I. P. G ; E( Y* u# ?3 K, ^
" U5 N. O& _6 e) k
# W4 X& x! N, D- N6 I1 e) }6 x 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 - u* U8 k# U1 X2 R, R+ \: G) |" G0 x
% s# R" A* W; _* a5 f
* i& W0 Q9 ^" ~! d6 R " D) J- t8 y! T, o6 w
) ^$ K, b0 L; w; v+ Y; G
+ g! o' q- t+ _# J% ?( U 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 1 i6 y# {: E" o3 r. X
9 i. n( I7 p8 ~6 c% M
6 x h! r" S- ^% M; j( y2 @ 8 U5 `) ]8 m G& V9 Z
1 y: ~, ~+ U) K1 m7 W5 z; f
6 G! m& c* H& ~# ~8 f6 q 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 : U- v8 j7 o- C% U% F
( i- i: T \! \- X. | E
4 I: z ~! ]) [( V7 d( U- }4 q/ p 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 9 |' {. _7 Y% C! k* t
/ y- }& Y' v a' s
& Z3 |: i' Z" x7 v7 T6 ? 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 8 x: ^; W9 ?! k6 y) I" C) U
$ g7 Y* u; H% {# E* R; D
$ K: A. r8 M$ U: i) }, ? ; g0 M5 C$ `$ n r4 H0 a! ]+ W
+ r/ Y6 A+ w6 O( L. ? 内网渗透 v1 m( C7 m+ A8 q
* C6 I: g0 |; y8 `3 A7 i& X. T - L* f) C! j' z+ T
' E) b/ U0 v' x( W. ^! A3 p- l6 z; M 7 w, e! C5 g% B' b; d6 I: s- w' @
3 Z0 F2 C5 x8 W4 a- U win下搭建cs和linux类似。 ; p) s, h1 r F/ L# z6 V3 A, G4 P
$ A c. x0 A( k3 V9 J. w
7 @+ ^" B2 j; V# s2 X
teamserver.bat + ip + 密码
$ v3 \$ Y( ]8 b, s
9 p( W5 m- x8 T6 R% D# y9 K
: k0 N( r. n+ L G ! P; h& Z0 j* y/ T% u" n
! ]# Q+ U# a4 U% ?- q5 k
9 D* L9 T% ~. w( W- `1 U( X' P fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） . p- A0 G/ l2 Q1 K0 A
: u# g" A! ~) i
1 O6 B7 o1 R$ K/ ^9 T0 S 9 l: ]9 Q$ D% L$ m: `+ S3 K1 S
3 u4 _5 K% U$ `9 P: D6 l
( b0 B' f$ j$ |3 c) N2 E8 _ 7 J- N: N8 N2 U
/ l1 o! p/ c& k: x* d! b
# I) N: m, R4 P; h 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
& D. l9 M4 g- ~; w
) P! ]- n# H& ? - `0 l1 V2 ]8 r* ^! u% u
- z( M4 n7 J4 T6 _* a0 p
& [* c, g/ v9 ?3 b- o4 f( T) ~8 e 3 m* {- S" C# O& ~) f4 w
- X- P6 X3 s6 s( I3 H- w! r8 u
4 {. A9 L2 m0 Y. K$ J0 N fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 ' u5 M) \$ _8 M0 T: v
1 b$ G. ], x# Q: ^& W( h: @
( G9 f; O; z, S0 c3 R x( g" H PACS系统 - [" j$ n' e/ _1 }( e! e
T! Z6 Z* T4 l
: @9 d: t: E6 d5 ? % v9 k9 G: z: m; B1 a
S: n; e0 Q! d! D
2 f; I5 U, ?' f1 `
1 X& h8 K8 I9 ^9 N3 @/ a# ?4 C! z1 a
+ l8 {1 b5 @" U' a7 W ( E) U0 ` }0 L& u& B: C' |
( {/ Z" a4 o9 y! n
e% e0 ~$ X1 |! V) X HIS系统 4 O8 x( k) s3 t3 r
; O; @. h$ P4 k0 j& ?0 q! V
* l5 Q1 q, Y& j& v4 s $ Y5 {+ |1 C4 y2 z* Q, |
" r$ v. _8 B2 h% t% D
2 ?4 Q" j2 A, y7 T, O9 |4 A1 {; T ! G5 Q* M( z$ L9 W8 S3 {( Z
* Y/ l3 z! ^5 D6 E
. F" D; k& B/ d5 | * ~. f' w1 y# H- X. O0 a9 s3 l `
# v# g$ ?4 M. v9 s! F/ f+ M
9 x4 D: x* k% [0 x0 t }$ d$ n 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 # M6 V" w, C/ G: y n- w1 y& m2 A& R: ?
. P; J5 A$ O& X' y4 Z
: [/ \" R- X9 W3 N) H2 ~9 M6 A
: t, _' q7 I8 ~7 S$ J& }, S
" a" `. ~6 l" X6 T) F 2 E c; G/ |" V* l ~4 ?
8 { q1 S3 r2 V! i" N
" S7 F& [$ j; y" O( L9 F& } 后话 / _! d( |' T4 Y9 D/ ?. ^8 [
8 h/ v' w2 d+ N5 m3 f1 y
" s4 f. w" `3 R" N: N1 I' R 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ) E0 B: E) |, L
( P8 h2 ~. ^8 L+ V; ^3 h* Z
* ]: h4 g4 ^/ e+ b+ W 0 H9 ], y# G2 o6 D, k- b
" z8 u! Q; @& U `- M8 z ]( z {. W5 J" ?7 T5 W7 m% M8 _
1 ? u9 H1 w5 H& N k( R- g$ y 1 d4 f& P* G( z5 N
; ^% i! g D% S2 @$ K# Q7 `) k" X 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 / g' G8 { J+ k) I
( W$ z+ t* H. v7 s: y
1 z6 {# g, z7 D8 d6 B/ q 2 k( @2 `; i# c
* k( f' u3 w3 M3 g

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

4 U" S4 p. l# G 无线or有线8 U* k" O* K3 r, b

+ r/ Y6 A+ w6 O( L. ? 内网渗透 v1 m( C7 m+ A8 q