记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

3 i9 \4 c1 D# b' ^5 n 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 ) p% ^$ w" J7 u4 n

7 v6 U* N$ m G; M9 z2 z 众亦信安，中意你啊！
% z5 }# K# d, A$ j
/ v d5 G8 u0 k ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 6 |4 v0 X/ N$ P& U. u& U, M8 M( Y

4 p( A0 P, Q4 Z6 s S ingFang SC,serif;"> # [7 N! w' n- Z4 U8 Z5 R

$ N* i2 G7 f! Z. B) q, c3 x& _4 n
2 s( P0 M4 p! N H 众亦信安 * L! k n7 l4 M) d6 G- d
# Y4 a2 _ v4 }% d
v L- S0 ^1 C# K8 N 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ; j% l2 n5 G- Y) o
7 X0 r5 H) }( l+ [9 F; a
1 q8 X9 {% r$ [( ]. t. u ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 1 C, R; t8 d( r/ T5 L) R
, O" D2 ?3 {. i. s+ m3 o \8 ^
9 {+ I& d6 v$ i" a6 t; b 公众号ingFang SC,serif;"> 9 L' r( G. \& ?/ e. B8 ?/ O+ @
8 n! w* o. o9 }+ g9 b
c k6 l/ z0 J. N$ u6 Q7 @
% q4 n9 v: r! g
3 V- @1 o- T0 f3 E# c . B2 }* k& F+ L) w/ R/ `
. B2 M, [4 x- l2 ?" V
点不了吃亏，点不了上当，设置星标，方能无恙！ # F$ A; O W- C# j6 L
2 d9 \2 L/ W( |* R/ j5 e" \ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> & F& y' w" v( m; R5 Z+ W
6 s8 y" l" C+ C; h& L; ]4 C
; B8 x: r5 w! q4 U7 K: ]7 \ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 $ u7 R& ~1 I0 ^1 L1 _/ u2 d
, k& ~" b% f" y) h7 A
0 y" }4 ]7 G x( c& T% g : {, I! M% ~* y3 A
7 A7 w$ T+ f s
$ `& v% |" b/ f( `: W $ ~* v7 w' l5 a3 v! t
% U1 [# p- z" F% f3 `) b7 E 无线or有线 1 |5 C; u" S2 h
3 C- T8 s% v7 z" J 0 [% Y- C/ Z( b
% }0 a2 t# T$ K$ P# ]- Z" q + O# w/ e9 z5 k0 d* C* n
" f/ `4 i7 l; a% t3 u" _ 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 9 P1 } f4 w" M4 S4 K2 e0 I
+ f1 p( b; l; B" {1 w/ [
7 G' e1 i, {) D3 S1 L0 I/ a 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 8 {/ A! d+ F3 l
, d& K9 v( E1 I
: U9 `' c' b' S ( D4 K7 j5 t# j# j
& P) R1 R2 J6 E- s2 v. q& h
|- T j9 d e) h; R6 A * J" g; N# k% Y$ w- o; B
+ h9 r. q/ g) f; E* {9 ?6 w$ @ m
1 \# F2 x: m9 Y+ u1 t 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ; h- }( y0 @5 P4 i4 j+ U: j; R& x" S' m
4 N- ?4 ^9 R' B$ K& h* w# M; X2 e9 {
1 g3 O( H0 n5 R/ O3 y 0 H, j. Y7 d/ l
0 A+ t; z: y% J* H! h; S2 V4 w
) Q3 o" H6 m. h6 m$ K 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 2 W, \$ U, \& o4 u9 ?( r* Z( g- c( h
5 s/ D. Q8 D2 k4 L% }
7 }% x# ~4 e7 C 3 i. d6 y. G* y2 {
% {8 |" Q! _+ D
" e, C0 c- O* [* C2 \7 J. ?( u 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 0 F1 v2 E1 K e6 Z' Q
' b' R2 G( K& i$ G( o" h
' s: h' g* l7 ^4 A u! P 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 3 `1 m8 f$ v1 _! X2 O
) W+ A* T- y" r- ~$ @2 T
7 u1 O1 h/ ?5 w- Z+ n0 t2 I 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 * L. l q q* N: a& W. Z3 Y( `" Z+ r1 C
f+ J' O, k/ r7 | z
% }' h$ _+ l) l, a 1 O3 r! d$ _; W1 T1 U
: t$ J, b; [+ Y- `% ^% H 内网渗透 Y: N- c4 a; |7 \# s
- p$ j" W1 _: X6 J 1 Z3 M9 g" q# j) s/ A
6 G) Z9 m8 o. \( T( m7 m$ o R& C: M6 O/ C
n4 f1 g: q. I win下搭建cs和linux类似。 3 y0 q8 _, r: g p/ j& W
& [ D& n5 T+ H- @! s7 @
8 t0 I/ ?3 p" z5 A3 O1 C- `0 ]
teamserver.bat + ip + 密码
$ x7 |7 f6 }; w
' b: I$ T4 L7 g% M* B' c" y
7 y, i5 W5 W& u& o. P 7 n( n i' i% V, J
; o3 L7 D7 o: d, Z4 d6 v
0 q) g1 ^+ ^! C5 _ fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） / M9 t0 } ]. H, y& G
# Q/ }* p% {2 G$ I
' _! W9 A2 p2 I4 b1 U 4 e j9 S% |. _) u
% I3 Z8 s/ k& X9 ?: g' P3 _: ]
( ]4 g. g+ F; V9 A/ V# I% k8 l : J# T5 s2 J3 n
# J0 \4 a$ q. b
! i- N" M' w/ Q: D9 l+ Y 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
7 l u( F, r% I0 \! U
: e4 F+ S) W4 ~2 u( j9 R; Y7 {7 c) X 9 G T1 F5 u0 f; ?" `+ g
6 _7 J I; g$ N2 H7 d* ?8 ~, `
0 f6 y' o+ C- ? * Z0 j1 I/ @9 e1 {. d
3 b6 E5 Y! \* v
1 O- z9 r3 e, f' I3 m9 [+ q fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 0 v$ q$ h2 z; Q9 S7 X) `. T0 z# d6 L
9 e3 B: w: U r; C( t% Z
' C) s* H" d# U$ k PACS系统 9 C; K$ @& G5 `: H3 x1 ^- q* s
; w# g" g3 p5 d' i
: ^! R. u$ T: U5 j) k, t 5 h, k) n3 C1 o- G: F4 Y& y$ u
5 k1 i+ ?9 @) y: P: e* j3 u. h5 n
/ |) ~# F, ^: Z7 J
" o" R. ?; b2 i* I/ o. @# G& E
) i' e# b9 y+ t% b4 I- X- u ( O2 I/ n7 y2 G
4 j7 r- w, X* ~# {$ j
8 D2 x; g$ t0 N7 @ HIS系统 8 Z, |* e' J) F P5 T$ z- ? A
0 D* p5 K* i F/ H* F
n1 h3 ~$ P3 L- ? 0 y( v$ O4 d2 [+ Y4 F2 J
& t) |# L! p9 l3 O" W
9 C3 L. }6 L: \- E' Z* g & `& _! T/ o2 O, z e2 T
: V- i! C; l3 Q, |% s& X
4 T O9 Q% E2 m: b. m/ n* f+ V . C+ l' L9 C) j6 k* e2 x0 X( L
5 {, Y, N7 K$ ?" o9 O
* A3 ?9 U7 w( e* g+ F' X# Y 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 . E' [. [9 s6 |$ i
, Z2 |3 ^5 C5 x$ e& R
9 S) p1 l: n# p, X
& ^4 G3 l" b3 c/ a; C& ^2 d
0 M- x# a# M" z1 W ) G% g4 n6 b! A& z! M
g$ n! m1 ^5 O* o; U
9 L. W. b! b# K [/ O1 Z9 { 后话 4 u2 ^4 G* ?& {$ L( n6 U
7 g, I% h% P; r u! w
0 D! ~8 ]9 O+ v3 ]9 Z& G% F. ^ 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 , ^& M% ?* \* i! [
$ T) x) D( E$ W. x0 N8 f
/ f$ p, m3 M; t* X 2 S# g V1 W) p- e9 A1 J! X! I0 ]
. M" b I8 P2 F9 i. C; h $ K7 G- F! n6 j$ g+ l/ e% o- m3 E
- j# O! s* P- G; w % W8 z# ^3 l% y+ x" Q
& t1 G# U: e# E, ^/ d 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 5 g. @: Y" {/ D1 D. D' I
8 E, H0 R* V. i) M2 L( f6 |
1 ^* r1 [; v: N+ { " `; n8 N5 i; C/ E+ g- e ^
( [8 g# l7 {% S9 x k8 l

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

% U1 [# p- z" F% f3 `) b7 E 无线or有线 1 |5 C; u" S2 h

: t$ J, b; [+ Y- `% ^% H 内网渗透 Y: N- c4 a; |7 \# s