记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

- u- N0 i5 g& {1 L7 z! ]6 l9 } 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 / y$ m2 ?5 E# u/ }/ T( H# @

# B: h+ g" k" l& G, Z 众亦信安，中意你啊！
$ T0 r% h' t0 O8 O7 v9 `# H! {! b. o Q
/ m. k" _* {! h# i4 Z( ningFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> " o3 X$ ~: Z: B$ f

0 e3 U# j5 P' \/ r9 Q" X ingFang SC,serif;">& X6 o4 F% M \2 g

0 y9 d* o2 i0 c+ F2 X
- q) W/ l% [# d3 F 众亦信安 , U) `' @% \) E) K/ H" Q
! m2 j# y# V# @6 }) B2 q. X% |4 Y+ \
% ~; \; `% m) }- l0 |- l" @ 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> ) ?% T( V" I" Z" H
- l3 {* ]3 [3 ~6 |9 `( Y& d
# } W# V9 D+ c. n8 _: F ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> p; S% W% |/ U% F; h; x( i
$ i. A( q& `- v: f" Y
, I9 A( _/ v- r$ P' S/ U' u" S( L 公众号ingFang SC,serif;"> / I# G/ l Z4 O0 z, S9 {
* m# y; D- o0 s, U3 Z3 ]: ]; e6 @6 E
. s2 }4 C% o L
6 P8 e0 h5 `/ A8 U0 N- t6 i( `
: s0 a, a/ b2 S" n! I! H8 G p; m. k m+ p8 Y+ X8 j2 z/ c; ]
. { `6 o. d7 g
点不了吃亏，点不了上当，设置星标，方能无恙！ # ?; \/ Z& }0 r% ~, C
5 p2 U2 K% d1 Y$ w- z( D$ A& j ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> . r# r# g) |3 u
: O& u2 X: _3 J! j" j. A* M& _
# B7 |1 l% ]/ J: h$ t6 D 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 " G. H. Q. {5 x% ^+ _. a2 R; S
% M3 O" c c5 g# l. {
( a, Q6 m+ y3 B" R6 b7 f ~ & `* G& z% N' _1 w5 [8 R9 F" i
E. v. z, i& J, N
. M* ?: r4 D/ B2 H! }/ y$ c3 x " a2 k7 S/ R F& Q8 p; J7 x
. T+ U! L. X& \* C% x2 d 无线or有线* }2 w, g, Y! w: m0 E1 h g Z
6 x9 a( B: O& n+ I: W2 f # e7 p0 b$ ]' h' }3 z0 O* N
9 f% ]+ ?; X' ~" Y; X# o 7 Y4 w$ i1 l' e W7 O K/ K
X+ N- U7 X. \) T _ 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ?( S/ e" K% n8 n
6 o7 E" s8 X: W: |! W, T
+ b- L( L. f8 G 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 " q D* g+ h: i' A) S A& _
. m/ ^( i2 D3 ^& P4 U( |
. k; [# M( d$ f5 J8 S) w, X! g, e: R 5 Y) w% w( H) B+ y: F
$ {0 s) H# E& V$ z) y+ Q' S
" J) U4 r1 N6 B- | % n% R# w8 v6 i/ i3 J" R
% L2 w$ w$ R! G! W3 D8 K; K: a
9 a5 J1 C. j) m! o* ] 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 0 S8 o- G, i4 i/ W2 v
, o1 ] S9 V) `' y
- ?0 T$ t* i% o$ L 2 `) m4 j. I* e0 b$ k9 |
5 A* h3 K6 U" A( x; S
" Q, T6 n, q# ~ 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） 9 w' t; n: R3 l7 }* A
% x% f) ?. M. P7 N" j: D3 r
& A7 k/ W }9 E# S) c* i ) |, {8 \) m7 u% M
4 q% P) |% B8 t( s
6 i0 Y* G+ }+ d: ?5 V 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 3 O s+ ^; J, Z# P+ ^, x& S
) x: z8 N+ b% }
1 G o# I! ^9 w6 F, \+ r 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 6 D9 x' a7 K( M( L
" T: l) u6 X' R5 n- S- w' X# g( J
9 v$ e9 W2 N! l 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 7 q9 n: ]; M6 w" Y) F% Y1 n$ d& J
4 F1 S) i7 J- H4 y9 G' W/ i* U7 D
* @* }( T) p/ V# s' [0 { 4 g5 n; Y* y9 d2 p! t- x
9 S y2 }) ]0 I5 M Z9 k 内网渗透 6 }* Z& e+ |! a# O2 B& n
6 ]; N# P" R" J* `" R ; A# E* R, u, g2 c# z! d" p, C
9 q( z/ Z) Y a5 V( u6 L 7 t8 X6 o9 d! m* f( U* h/ n X
" A% x7 H: M# o7 @; Z# J5 z) p win下搭建cs和linux类似。 ' k, L# R; I7 p! _6 E
% G. Q4 P* h/ A- o6 I
1 |5 n/ m, n$ n$ P; R+ B
teamserver.bat + ip + 密码
8 s' B, E9 F* l8 H4 Z% H2 d. C! R2 ~
- g& I9 Z4 O; ~* k
3 g( `$ l6 d$ j8 O& l' r 8 Q+ U F4 \7 a& F) w* P/ c8 j$ G
1 D2 w" f- i, E
4 ~* F4 [( f$ w( E, w) { fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） ' h+ X/ b' q7 H4 P* o0 A
% Z- ]* ^. j$ _
: |6 z& `, M+ u7 g) ] + ]/ O* m, }" l. a& l6 k3 Q6 s% g
9 A, v8 E4 v0 u( P; b
. O F [/ U# S: {! C ( L* G, h7 f- P) q3 N8 u* F2 ~
( W8 H8 F% K( C P/ d
% [ b: D7 ~* d ^ 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
0 N0 D1 J& {, W; ^6 N' Y+ M# m( T
6 r( ]3 y- Y- W4 M( E - J" W! E" U6 |* ]; ?
) Z3 q+ u( a$ v' y1 w m
% L. B6 ^8 X# T 6 [& ~$ |0 j6 @+ R7 \
5 ]/ n# g0 ?0 L: Z% J0 l
0 ?1 h1 N* X" ?0 f, R fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 1 q6 D- \. L" F1 b7 v
7 m6 g% q `7 y6 z" u0 B* o; _
! q1 b" p; F: p3 \% _. | PACS系统 / {! d" R/ N4 E$ k o+ [* F
& Y7 y$ W' o0 y" q2 c3 c% `
' H$ c& A, U) G% j 4 {6 j- |; R2 z5 ?
3 [1 ?1 L; k. \7 N& ?8 J
2 J/ P! b3 }7 }0 W/ b- V$ r9 v
/ G3 Q% B1 ~+ b, X
& U) o3 r5 ~0 x, ]; M4 W / G' T' i% W8 N0 b+ Z) X/ X1 j
- h0 v9 F: z/ g5 |" r
8 `- B2 L) M& D# c* d3 |0 z+ Q HIS系统 7 ?/ @" Z% W, z$ a% X& J3 f( a
; Z" V4 X0 w4 b
1 E/ a+ G& s# ~9 ]% G3 @9 l7 Z/ e + b& J0 A$ e3 y) y# W& g! a% ]
. h6 R) s; j( S; ?# O
9 |& z5 h' {) A4 n4 D; e- B9 J$ g , ~4 W! w& ~ f/ E: I- U/ S: Z6 W, r& H
# {4 a+ ?. V: d9 V, d
- l' F# s# E: L $ M1 ?% z( \, O1 c O1 _
/ R9 Q. I. P' B/ m
$ ~( k) \0 S9 \& A2 R2 C# v5 O 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 T% }8 W* z6 C# c" P9 \- R
8 P' C( O2 q, l
7 q- O4 A: k* m4 ^' @' S. R$ f* [
* c2 Z$ s# g/ q$ Q
' D4 e ?$ B& ~8 B9 ` 0 f# @$ W( W" ]% p, e( @' f
5 C, v5 t! f. T
* B8 \+ k" d( b: h$ e 后话 / X7 X; [4 B8 W' E: y' H
( e0 d6 g- N: [7 j2 F
4 e. _7 Y8 |& r 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 " [4 ^7 p1 h; b8 @6 d, O
. |4 ~( W a2 S q
9 s8 j$ w# |. V8 L * t, i3 G+ h- O( p7 \" _6 ~
* @3 s2 V. N- p; J9 H: I 9 F) r7 j0 L9 r9 o; N
+ J* F' c1 @3 m p( T- g. p. o6 T% H
/ d4 J" G& ?- d 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 % ~- y! x! z V: F
; J( t8 R" C- b+ [3 k9 r" T
3 L' s3 k% U. H; c w {" [1 n& W6 W8 d# \* [# ]5 J) P
" h6 P# D) \: K) g3 p S

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

. T+ U! L. X& \* C% x2 d 无线or有线* }2 w, g, Y! w: m0 E1 h g Z

9 S y2 }) ]0 I5 M Z9 k 内网渗透 6 }* Z& e+ |! a# O2 B& n