记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

8 z& ~: F7 W2 W- ~ 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 2 Z+ C. v# b/ r- d. A

! j# ^3 T Z! f% o* h! m& D- h 众亦信安，中意你啊！
: A' F" v! p- C$ r+ {
: f! @! q* R4 i) w ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> + n7 I/ p* L* _) W' k% C" L( c

) L) M: G* ` k; R* O; n; F a9 B' L ingFang SC,serif;">9 h* J+ \3 P, q; W4 B% P( k

3 L' I" o1 C* k/ l Q K
i& \/ e O# q& \8 T 众亦信安 $ K/ w$ a0 e3 r& m
8 y( }0 [5 t' q+ O8 ~5 G3 l
3 m, n; j/ i/ U1 A" r9 ?4 k 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> / @7 _1 A/ N/ @0 {: j6 ?6 N
, |$ i: o! f* I. f3 {
1 |, L+ x5 u. G5 v ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> ( F9 L6 _: `/ y& q
, g& u& j, _& u1 O5 D+ L
3 X* N. Y9 @( o 公众号ingFang SC,serif;"> & y7 c' c3 ~* Q# R/ x& w [$ O
/ H+ s/ _7 o) Q5 f! _$ ]' R2 M/ e0 S
, K) N$ p' }% @, O
# t, }+ C: J! ^9 r7 f" z' Q( M
& L! c( G5 b r; z' M ( ^+ c4 h: s z
4 N/ T @, K- W# w7 j: I
点不了吃亏，点不了上当，设置星标，方能无恙！ 7 M) V5 J1 E2 l
( a, }4 {% c. s2 o/ x ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> 5 a+ [) b# l4 J7 v3 J) y
2 K3 a4 r. x4 A- i1 F
' S# r2 K) t3 V! U* w% z: G' m( X 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 ; N5 g, B: C4 ~) H8 E
p; l% @" U; V' w# b, v- p8 l
3 q$ ?. K7 }9 W8 d4 Z' j + D& M6 w# s* [$ g% l
2 W7 P0 F3 p6 I' Z2 e! u
3 j6 E/ E/ o' C* [. W2 s* ]7 g8 D 8 K7 a3 R7 m; H# _8 ?4 ?
. i4 Z6 r% ? G1 @6 x9 p2 ` 无线or有线 $ L& _7 E+ a7 C5 V/ s" I
: `4 F( J& n0 g: i/ R * m, `; F$ R, i& ^! {
/ ]1 p2 M9 t7 A4 K$ \# [ , F9 W# |% G3 c) x3 ~+ W- M
/ B" w& V5 x. ~. \9 `4 [6 Y 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ( N& q [5 M4 D4 i
) B7 S' T) N5 p$ P! \7 o ]3 F
- u4 S9 n8 C* }) {0 z# |9 x* s 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 , \; k3 T9 s- s# `2 M0 ~7 _* D4 b% N
4 \9 B9 i% P# }( t" p
; { R6 h2 @/ [1 i) Y$ C 3 c# D$ b$ I4 S- J+ E+ y
4 d% A; F1 L/ N1 w; P- g
4 e6 X+ w4 @& e; F* S, w, O+ u $ b- a! J& u) n6 R% @/ {
% z; d; O6 C9 d5 N6 ^) i
) i7 i# Y8 a0 h$ E* w$ V v5 a3 W 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 2 y* M6 ^3 V) y
6 O$ [( T: w8 v2 \. F
( Z8 g! M* M1 h' s ( O. f* Z. C! F) V; ~ f/ S
) I; W6 q+ F/ }* S0 q6 e" E
" z6 `4 }: G: \# n% v* Y 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ( x3 L8 K8 _( i
* F( P' U3 M- y4 k$ _
1 d0 @$ O- n- W8 c& z9 [ ; ?/ a- y+ v T8 W5 R' d1 b
& o7 T$ t9 _/ Y$ X/ [8 G
; E) c) V+ ]7 T 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 ! A! F. L& b, N. K5 `; ]7 b- s7 U3 k
/ ?- r M! P1 L% a0 q
3 U9 D& m. Q6 ~+ Z. j6 C( p 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 / X3 j3 r3 Z3 w" \
1 S: l; r1 p. F) v" M: Q! A
% ^# e* n: t0 u4 h2 q 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 1 U9 V8 \' V- W4 S! W* \( a' @
1 _4 ^# h* N3 e4 J+ A
5 g* Y( M' f O6 W9 E / }. B2 g( t$ n; J& b
$ Q( t# V+ Q% r% ^" T- F' z 内网渗透/ ?* W, ~' L( }/ g" I7 S" j6 E
" I4 j6 e: j' u2 W/ J8 D : ? x& ]% f Y0 p% N: e
9 r& V: v$ {5 ~. ] - V! v- x% m- A. u8 {
. ]) {9 G2 C- q# e$ W win下搭建cs和linux类似。 4 @5 u/ l' K- e% ?
; t4 C, [) I' I) {5 H0 H
) E; C% }. \, n5 ^9 I( F5 L
teamserver.bat + ip + 密码
% d; f v, G) b! u
6 B h. x+ c' J- E2 t6 t& {
7 x% n7 @: d8 s% B$ M# U; \1 a 5 D& S" E+ G4 s! E' F
+ P7 k7 _+ a8 o4 u9 T( t
% \. A/ A, l* n) z- G8 A! \/ Q4 j fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） 8 [6 I1 a1 V' s$ W) X- {
}+ E7 [* D j8 c; l* c5 F
" T: B+ A) v: q# q6 p 2 s9 j$ Y$ V0 E/ h
6 Y3 A& ]- E8 r2 o$ N* ^7 T. |: I! N
j9 c# Y; A4 f: } , Q$ A& T# q {% U* @8 [# ^) D) |9 k& i
) \9 k5 X. T- j5 D+ l9 W0 P
0 H" \0 G, n1 G* \ 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
& n+ P2 K0 s' x* R7 ?
4 d6 G9 S- z& E+ k / d7 Z: b/ o3 s1 D: ~6 b
( D2 A* l! N) u# X
- v! z" v3 B) d3 Q, S) A0 F 1 h( ^( i4 I% J$ r! ^5 m; o2 P3 H
" E! _2 q4 S/ @3 C4 x! k
* [+ a: D, M! i2 J* }- p" j fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 - G4 j* r) o$ b$ X/ n% A/ J7 H
# G) W5 v9 u1 G' C
- k7 q" E+ ?3 c8 @4 J) f" a PACS系统 : N. i5 H# ^& ]" X/ }4 n! l H! D
+ t+ {7 }$ u$ V- a/ b6 ?/ @
+ P9 k5 [; @8 P & n$ \9 j* I, ]9 M$ i0 L+ T8 ]# {# Y
6 C: W7 U5 k6 H2 V) ?8 O
1 D- b9 T* p. G; S+ W2 W* l
+ u8 r) a7 z& Q) l5 K: D
. M2 X4 l. C0 D; y% I8 [# w$ T( \ 2 B% U2 d2 p: w" Y, [8 J- b
' ~7 B! ]8 e1 W! ]% T) S
# f; d. [2 p6 ?1 a( Y- W1 o0 }% F HIS系统 ; u" L, K) I% U- j" @
1 T0 _& L x/ i' K8 j7 t7 B
! e1 B' i# g% G 5 c8 J5 R# e4 s- y% b
- u3 e$ C* Z3 e8 |
F. S# _# O, _$ w0 P7 t - a& t! S! x, Z0 [4 y( Q2 P$ M
h6 |; k6 p7 E# h8 d2 _! S% u
- P! y# U( @& H# v2 d! | : |/ v7 ~7 A S A7 y" m
! D3 F$ a% t. \" @, Y2 _& ]
) ?, K8 K- h4 E9 I- ^: f 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 " G. X% j1 C1 ^$ g! C" c
1 z4 M' u! A( |' ?# s5 e
( F6 w# X! o+ i5 H8 Y$ @& l3 j
/ {, F, }' A4 K$ x- ~" z: n
$ \% w6 X# v8 p7 b 8 o2 O( u' s2 U+ A" T1 }3 [
& _* i' g% D7 X. Q8 O, C, _, T1 r
% \+ {. k# Y' H3 v& N& T 后话 . ^( k8 x9 v& l6 D
) j' U/ v3 R/ @' S5 Z0 R
$ W) D9 z6 C$ Y! K 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ( c6 J4 U! `) v7 H: r! ~, ^% G' ?5 E
# l. V N q1 u8 K' s2 @7 f) G
4 E1 ^4 Y. I0 g. M4 t1 E0 U) v9 \ 5 u/ l: J/ H0 _) G. _$ b
# {) ~& ^% }& Y6 T k: d" r% N 5 P$ v" S2 \8 c/ G' q/ r' b! j6 _
5 ]$ U" p3 ?- V' ?$ ]0 m C. r 8 T8 E3 B" A7 q3 E0 _1 q
7 j6 x- ?+ M2 U 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 0 n' b; R$ r" h8 F$ R
, _( w0 t1 U1 g# N
7 f$ q& J9 ]6 r' y' V8 R# r $ r5 \. x# Q* z: b! h5 Z5 b
$ O" l3 F1 o H) L/ u5 K- Q

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

. i4 Z6 r% ? G1 @6 x9 p2 ` 无线or有线 $ L& _7 E+ a7 C5 V/ s" I

$ Q( t# V+ Q% r% ^" T- F' z 内网渗透/ ?* W, ~' L( }/ g" I7 S" j6 E