找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2352|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

9 b! b+ m1 G' V 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 8 u$ ^/ Y+ `6 \3 \. s$ p

0 \6 O5 t$ J& \% | `

: L! z( `5 W9 k- g' m" ~ 众亦信安,中意你啊!
) O# }; j* O: b( D8 W: R0 H4 ?
* S. p/ _8 o$ [, u+ }' W" z ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
) c% r& T6 B$ @3 p: {

, Q$ V: [& _ k( C

: _* ^) z! u0 H, y @2 e) Z. [1 I ingFang SC,serif;"> & y$ A6 |4 _* h+ T$ n3 X" F( f2 l

8 u/ T: Y1 p& C }
) U6 V* x0 R/ d0 [3 {+ j

# ^' s9 b' d6 ]" d 众亦信安 ' s9 X: g' x7 V$ U

; R& F, l* T M& o8 P% q( J: ]: c

+ E6 B/ L2 Z B1 c5 o 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 5 k: p9 x+ x" d& w2 m' ?# M) B

0 V8 H$ o$ X8 i

* i9 ^% y1 @3 e+ p7 M5 k1 d ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 2 {3 Y4 j# i) k9 b/ }

/ F9 K2 X; ?: R! a6 e9 K

3 q+ u: O* A+ h0 Q; ?6 d7 H6 Z 公众号ingFang SC,serif;"> ! H- K" W L9 M: F1 K( o

5 N' _8 c' b, C& S8 w$ a

( |" ]4 N9 J) y
9 Y0 ]' t: }% k$ N. q7 O
w! ~4 X+ s9 C1 O
) _0 e2 g- ^! k( U, ~

8 _/ i y" \) V+ W7 Z3 r, E( w
点不了吃亏,点不了上当,设置星标,方能无恙! ; m; L6 ~4 t8 U- }

3 o" ]$ X, L4 S( H& E N! O, b ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  ) M, e$ y( I9 h7 N

! q' D' u) L3 L; w* V

+ Q2 W' V. O8 y" A0 d( @ 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 * k" O2 \7 \( T1 f2 F4 u& ?

$ S: `2 m( F* a; D: t7 r. u

4 b1 W' ~9 W9 f% z   , p) s& @% H% I3 Z3 @7 N) q

; M$ U# D/ G# v* r# `
6 J/ F0 z2 }5 f9 r; _ + ], v' u3 |* o" F( E& i* ?8 j

]+ G+ W% @8 a# k( o; e 无线or有线5 o/ y. s- L( }5 g7 S- F5 M

1 `+ W; U' K+ [5 Y; U4 s
( {! z( ]7 a# t1 Y U7 K" r
. h9 h! e5 }8 [) F$ y- G0 D 6 {0 K& K9 U; d( }

7 }: X4 q) Q2 ]- k# D7 U 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ( Z. p6 H) w O, i: U, B

9 a, G: K" E1 k& \: K& R0 j

$ H! z+ ~0 P/ b; S 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 ( O) s6 X; G8 \" k

! I8 f' ?" K! L. {+ J

1 K7 O+ |, \1 a- g1 W9 T% ]8 s vshapes= 1 {3 ]2 V/ i, `: {/ t. \

$ } y, F1 c0 S) w7 A/ D2 L8 Z

0 ^4 c$ E7 b" l9 b5 r7 l5 x8 Z7 W! n) O vshapes= 7 s% c& i6 q1 H+ D/ e5 I

* h1 e2 ?4 k& ~* [2 E' p! v

* ~8 ~) a3 Z, r: U) q 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 4 A! E4 Q/ \. Y$ ?$ N) r) z; N

( E* B- L" U i o0 [

2 E' R) e1 W9 k4 O! _4 T vshapes= ' [5 M- Q( m( Y0 k2 D

" q9 G+ k7 o/ S& @9 k% w, @( G0 O

3 n0 q- u& p2 h, N) h' u' ~ 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 ) s0 j) I4 S9 ^1 ~2 H; h: z+ ]

9 i5 u: u% p1 L6 \4 E7 O

& X J) p! o1 X& _: Y vshapes= 5 r8 V r" E9 P" z' H8 F, Y" Q

; e5 G! Z9 \) i* X. t

$ b. V. t" n" W 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 , y' f% J( I3 k2 l$ V' t4 P k

/ ^, ]6 b" j0 U$ J+ g9 l

% n9 Z4 T/ n) \ U9 P* D9 y 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= * B* K7 p! Q; Z# T8 L

: B" I( L5 B$ O) U: S3 i# m* G) ^( `

; A+ X; M" p! @ ]5 \ 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) 2 a) d1 N' ?/ W' h& ~

j) ~9 H4 y& t
% t. T# U a- {6 N( u 5 ~3 T! H# ^$ D. V

9 l! Q" {- x, o, @/ o8 d! J 内网渗透 1 C; M. ^ U( [, Q- X- v

$ e/ M$ g7 q/ k# x7 z, |
1 @; L2 ^5 ^/ a& K
, i) @+ H; a5 v8 x k ' I `8 F+ {# J! i" L0 ~

% D- Z* c' ]8 v1 G( @/ Y" r1 h2 t) ^4 f win下搭建cslinux类似。 ; ?0 Q5 _2 N! i

& C0 u' d/ L, S* s6 M
5 G. ]1 p& G0 y% S: G, S5 [6 P
teamserver.bat + ip + 密码
9 x" s$ H. d# V1 M9 t2 R" H
, y1 Y" T) y' _0 D) m5 y s0 M

& B$ A% o" \2 \! P7 E vshapes= 6 K5 c1 Q! t+ P5 X' F. D! L& ^

9 m+ ]* W1 F/ Z. |& Y0 `

+ Q$ a0 Y6 j9 W! G* R fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) - s' B! q* I: n- F& O: D$ w7 i% r

( n3 e# F/ O( T+ _

, [) _4 N* v2 X- g; |6 ?, ]- U vshapes= 0 T* U+ H2 r3 ?( f, u3 L8 y

0 L6 h# G& ^4 {7 `3 @4 k4 E

1 P8 L$ d; {7 M% D vshapes= , N/ V- [* @+ j

" F k7 u( _8 d/ H# p7 ]* P

$ c( ^1 k3 j( Q 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
; Q) ]& A5 Z% h% I2 F8 u
1 Z0 |5 H7 ~& o1 \6 U
8 U$ k, d/ ^( z

. ^/ ]& L) D5 w) k

. o* c4 P- l: \: x0 u4 w vshapes= 2 @4 n. b, R( P l ]

+ Y6 l2 A% K3 g- U% ~

& J. Z$ y" R$ Z1 l fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 3 _) a* x2 v& B( _& q$ j

7 V( `% L- c3 K( V7 `$ H4 P

+ F; U6 K9 F/ V" E2 P PACS系统 % G* k. g4 A# k; j1 Y+ ^7 I

2 f* A/ r8 d: T& h. ~

; B2 r" c6 B( j) v vshapes= : f6 x/ o( a0 O* Z9 g6 c/ n

3 n! d1 L3 a9 X1 Z+ J+ Y4 L( Y

# M. V- t( @( z; l vshapes=
# T, V* d) N% X9 q; P
|6 Z4 }+ A0 A! w
2 R! i$ s5 W$ p. a, d! |

/ e1 E7 Z# l+ h+ s1 Z$ |( ?$ J6 ?

& D1 u2 C, z( X9 ?& u- f HIS系统 3 N3 R O) N- ?9 C0 Z/ l) S! m

/ D) [7 u2 ~: x) D$ O' f( @0 V

$ z/ q C" E# _! ]! D vshapes= 4 g0 K: ] K5 `; K" L2 [

* a; m/ n1 h; Y- J3 V: `

" A8 U2 ^9 Y0 F   ' Y' Z" f7 x" A# s6 x4 M- ~! @6 e

8 i. B. v. V1 H! s# m/ t

) o. _3 a; h* `: y vshapes= 9 s1 s4 [3 {) d3 n; T

; z8 _5 P' Y% v

e8 E, |' p z. u, \: z) Y1 W 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 & I3 r. ?; O3 Q7 x1 }

" x! {& j7 ]1 N0 ^

2 h* W- M: `1 e d, w$ i
2 B. A" R( x( r0 o" E% ^
+ K6 K& _! g" M6 @
' n+ L6 {' ?1 k$ t5 p

* S+ o, d5 g" A5 L" g

5 N" f2 R. R/ y+ k) n; F& c 后话 4 Z# c1 ?5 q& m' T' _8 N2 t! G

3 y9 c% V$ t2 A; {$ Z

7 z! U5 \, K5 h& O 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 ( B1 Q, X! [ J+ @3 Y1 M& W

# X/ ?2 l$ M7 v
! p; P) O0 x' d5 i1 @2 C8 u: { 6 T, L! N# y( }; r2 ~. w
1 A: h2 ]- U, D8 P+ g: n, a9 R4 L
/ p( J3 j/ T1 r
+ a# b+ S% T# {( u1 ]9 S 4 J# {0 L9 ^; B" H

8 {" N6 T$ M5 E; ~1 N! {5 v% m 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 % F+ z% b* W# W. S7 d

! o# C- T1 [7 E! C

! n* S6 h0 n; h) j+ v   7 ]! Y C- C( Y1 C0 e

! g4 ~3 E" J! H1 O4 W5 A' M5 Q! l, z
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表