记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

& O) Q# E" R, H- H6 M! c: r W 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 , q0 j0 ` g9 ^6 C9 ]

9 v5 S7 f- M3 ~, W) u 众亦信安，中意你啊！
4 h$ }, _1 ] W: r4 V2 a
7 ?* l3 L1 n- ?2 u1 f q ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 8 [5 q/ `" ~1 S' R

0 q2 [+ D1 s+ E+ o; f1 g4 @ ingFang SC,serif;">% g5 t& U, e1 L0 ~( c

5 e: y9 p8 ^' @6 p
4 v$ c- R) e- S' s% C: k3 n 众亦信安 , p1 z2 M! K5 N* ]5 p$ m
, b' a9 k- q9 S9 U- J
) m9 h( {6 ^% W# V% B( w, d 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> - v7 M1 S; j% l* e; G0 o; s2 P( A7 B
: s& O0 w4 y: d3 Z6 E: [' q9 j" L
, M2 C* w$ S" h1 W4 y; m9 m% p' _ ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ) {4 c) s* [0 ~$ L; Q2 j& @3 m! q1 J
$ g" H/ b# e2 E; w2 a7 d1 n* U
9 C! h8 X& v, ~' j5 g4 p( _ 公众号ingFang SC,serif;"> / e# p( O5 C/ {" v8 B/ y4 M7 U
3 o5 G7 V# Y! A' D0 G" F
5 b6 z5 E% c9 ?3 |! P* C8 X
. a |8 {6 _9 O" ~, J9 m5 A: V
; k9 z5 B! d$ F! L- m; j5 v) f p7 T7 X$ c! k* d6 i8 e7 G4 Y
0 |; J$ g, V) F0 O! ]) F6 X# Z
点不了吃亏，点不了上当，设置星标，方能无恙！ # u4 }6 h' w/ r4 F0 M1 w
2 g K/ f% N% _ ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ) t1 t+ L/ I7 Q1 M5 p+ D {2 K6 j
3 P! o; S7 h/ C E
* R) e- G4 N/ Y( Y( L+ F 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 " Z+ ]* f" \$ @1 f: p1 B
: F& b0 v& E2 Z: g4 c
- o* T+ ?$ J! s* ?' {" N ! V2 U5 |4 G* i; {! |5 g4 J
4 q. N6 @2 E1 V& F7 |6 ~+ J
6 B+ _& [) q$ F& T * S+ `8 `4 ]2 A6 ` X( D8 q( W
+ e7 @2 E6 @! i& C' z0 k* R0 u 无线or有线 + A, H- \+ O. d4 G! h. Y* z+ G
6 ^1 @5 m8 g' W& W7 |: Y $ h/ F8 i/ k: V
* F) i0 L- L, g1 h; j; K : m0 ~8 P" c5 E8 k: ?3 w" e' i: g9 d
- i$ [1 S% I+ K+ E4 j% e1 G 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ( Q2 \+ H; y/ o1 ~9 A2 w
3 c" `" Z/ }* E
4 Q6 ^$ A- x! y1 b8 s( O 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 9 u& J8 `8 r3 V% v" B6 _. {
( ?. R# g# T1 _
! W2 Y- o$ g w$ L7 o2 ] 9 c" L4 N( j( Z& W4 |4 X+ j
3 O( J4 _7 Z# r/ h
, I5 k) E* H9 J" q6 ` 0 Q- {+ U% ?" G6 g
% x- g. Q2 R/ K* D$ f3 B5 F
8 R [9 y+ D% D0 _1 w8 o 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 ( }3 [' H. G( }
- Y4 y' Q6 w! |3 v) f; u
. i7 u; G8 M `/ X7 A - s5 q+ ?( O) ~- N
: q A2 r! j7 K8 q+ t1 L4 k5 }7 g
3 {1 }8 ]) O; P 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ! \' Y: b* v" e$ W, o( d& G3 O; u, I
9 X% [: _" B6 N0 z6 F
# R' ~( K P6 c: e8 R9 H 1 \5 o( h9 ^/ D& V/ L5 M
: @* o3 e/ j8 e2 ?/ ]
; f( L( J! \3 g2 y/ V8 z4 R$ N9 k+ u 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 $ D' H( Q# E/ _7 N1 E
' V8 R$ P- F0 h" T' p
7 @! y: [5 r9 F, A 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 9 `4 {4 u- R1 t8 [& r4 i3 ~
1 P w$ B& X* P+ X% }
7 I$ \; ]7 N: v ~ 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 . d2 f# Y& I: S
* M/ N- e7 h6 | u4 Y7 D. G
% e, t& n+ W( d0 v 8 x" c1 e1 t7 \
* V) M$ N y! P( y; A7 V# R) b) Z 内网渗透 * Y" u2 O9 e$ C/ v9 Z
9 N" F; c, b& ^* Z7 E7 X 6 o! W7 S1 r6 h( W* E: q6 a, ^
9 h* [0 O: L% ^0 b) L 7 O6 P: i& A7 } w: j- ?
$ m1 A/ B4 \0 D( e; {7 V2 p win下搭建cs和linux类似。 + F. A7 T. g5 k5 i6 ?, ]4 H
; i6 P- \( P% S# F" z V8 q
6 c% |0 V! W8 G" Q9 n# ]4 ^
teamserver.bat + ip + 密码
8 ^0 i( X u3 D8 |, h# u
* d" z1 e+ N& C( _. z0 y! [! U9 p
! X$ A$ V" A. ?3 k# A; | 3 e' T$ U3 U: N4 S1 ?0 ^5 j
% A# i. V" L5 v- f' O
* H; M7 f/ l: P/ x fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ' q: H! J5 k4 z1 w8 X9 R( R
, ]" B- I$ H6 a8 L5 n7 J) U' _3 ~: e
, {0 H! |+ K* u 7 b, r9 x& P- h1 B' _& B) H% g
' t, \8 ?0 b/ J
4 d9 ?1 y' s: d9 m) j5 Y5 ~ . ~( w1 f4 n/ n" D5 q1 y
) A/ p1 m8 p% P, Y% g! F5 G
- I: p/ W8 T' I3 V* I0 z 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
' u( l2 Z# d3 ~1 @% `. U9 v) ]
6 ]7 v) A. g, g; F4 F : x; v/ ]. h6 f, K) ~
" V. Y) U. p0 X7 f$ y
5 b% j4 r' H4 W$ R4 O$ ^' G& o3 k ; m5 w% {7 N2 {+ C2 D& E
1 {% u2 N4 c7 x0 o& G5 _( I
' i& f! `- K V, P fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 8 |* K5 c$ m7 N4 u: @/ `6 q6 o
8 ~$ r9 \* B! o+ _+ E3 f# F
5 J* }' f! H9 m$ v3 f, @ PACS系统 9 \" S% T/ l! v. G
, m* \- W H. U1 q
4 V# E: o5 [7 M 6 p9 w- g. w* _. p! j& T
8 @( l8 [7 ?0 ?7 W9 H7 q
0 l8 Q: e5 c2 |" b2 y# H
& h+ ~. }- o1 B
! S) A6 v# @1 Q6 I, k 5 S3 T/ N+ c. _, E' M( b6 x
! a# n" x" ?" n* \. l6 T: P
* z. K' |+ u) `9 N+ c/ ~. K) B HIS系统 + [3 U3 W- ?8 c& v; j
; v5 S0 c' o" F b. U4 S/ r# O
8 w, @! B9 Y" }2 B" Y 6 i# o1 F* @0 `9 f9 c: }9 L
0 v& Y% S) n2 j" I% l6 V
& G0 r# E. E1 d: u1 V ) ]1 ]/ B8 Z' m
! K1 F. A# A! F$ ]% f2 x
% H/ Z2 z$ x1 ?% w8 B4 D 4 }1 \/ e5 h& Q' X$ c+ J* L$ L! k: j
" L& N" ?8 `& G% y' R* F! Y# R0 r
( D, q: _7 O* Q/ n* \6 U 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 4 o" r' N2 T7 {4 r8 l6 Y9 y
- v1 G0 O$ i4 j- s
8 v, J' G# e: k# o
5 d2 n& @- t; ?* w! c
5 U x) L4 v- G 5 G ~) ^0 r, O( b; t' m
+ q/ ~- Z5 T( r5 K1 k
% c6 R+ G1 F- @8 o* C 后话 . X& `6 }% H5 A: G
, q1 D9 E& \" u4 X) i) ~+ j
* ]/ E7 s7 c; R- e6 f' u9 _ 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ; `/ Z+ b3 V c0 @ }- s
0 k% \% i/ E7 v2 s* X$ I
) w, H6 J5 Y8 N/ | : @* s! {5 j/ P/ h4 o
- }7 X6 t6 B3 |3 a" ~9 i9 B) B 5 `" p% p [1 E) Y
0 c3 V. @7 |; E. t6 ^' S6 D7 _ ! i! a, O9 d/ `2 c2 X# ]( ~' Z
$ D, j2 u& l& E B4 y 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 9 {- f6 c& N. o2 ?' r1 E9 R* B7 b- u4 R
! R4 R: s% k8 P0 A) @" p
( t8 Z+ o0 x5 m; ? 2 |* H( J/ f2 A7 {" z: Q Q/ ~
- g$ ~, I- v: H/ X( ]

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

+ e7 @2 E6 @! i& C' z0 k* R0 u 无线or有线 + A, H- \+ O. d4 G! h. Y* z+ G

* V) M$ N y! P( y; A7 V# R) b) Z 内网渗透 * Y" u2 O9 e$ C/ v9 Z