找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1860|回复: 0

记一次某医院渗透(近源)

[复制链接]
发表于 2024-3-1 20:15:03 | 显示全部楼层 |阅读模式

4 d. j" E+ _* t5 t7 O5 k; x) a 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 / E7 `( I# e8 j4 t

7 _, d7 A: e4 [

, a0 i/ J( {" i) c" @* ], n 众亦信安,中意你啊!
@* M% H5 P! ]0 r. I9 z: r: @
& L/ X1 a3 k5 q }ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
7 V0 r% R6 H8 H0 p+ Y% g

2 e0 \2 l5 l: d) e# F! Q

1 O0 {' L; h6 c1 h ingFang SC,serif;"> % R- P/ r5 v' S# \

4 S% l& C5 X* p( D( W9 f
" p) v! [0 M% f$ N, |2 i0 I

8 h" F5 c& L8 q1 j* N$ E; |/ _ c 众亦信安 & f+ w$ k4 P; f3 U: R/ f

- N9 p; v u5 A5 D; T

3 t2 C8 @' k W& L/ U 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 1 a" l; P. }" h9 w: C: X( Q% T

4 r2 G e* o% ]- p# A6 v, F

9 V& \2 d3 ~1 i1 a6 r3 c ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 9 d* L) y% ] \" N( _

9 `4 I Y$ w4 L5 i% S

3 p- Q# r4 M* S4 r4 x+ {! t- ? 公众号ingFang SC,serif;"> 8 @4 b' t) n7 }4 J

' T9 T/ f9 P7 S$ H- @/ O

6 x" ]9 n9 `) c% m7 X/ e# l) T
+ j. d9 F8 k* Z! {( B1 X# Q
# ~ X( Q# W8 Q3 l# m0 s
* b# i( ?6 C) T. n) W

- {! R& n4 u3 z% ~
点不了吃亏,点不了上当,设置星标,方能无恙! , b! [, \4 C% ~, }* z3 g

! ]! o; H5 v* ?6 C) i ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  ; P: @; R6 f* b C

; p, z/ H& D* G" U# ?' K

- I7 n: z9 z* U# W$ j( ? 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 - i4 k9 Q6 f, T/ m& `5 B

3 Z$ J, q8 `; X! @6 `' k& q

( r& m) ?* P2 d$ v) I8 T' `5 Y   ! m5 b% G$ S: P4 }' m' R

/ D x6 L4 i( e9 N4 W5 P: i! d
! p* k/ u S/ E+ t/ L3 O % y) I7 C" x6 c/ C: R' v4 @

- t' Y; \ j3 t) r$ Z% \; m& K 无线or有线. T" I# o: [! ~' W1 n

5 z% E3 {, C! y
& I& q4 S' Z) P" F h
! a4 z- I: t1 R7 Y / k ]0 C L5 t4 \, D4 m

8 E" z# W, F# {& \ 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 * P* i. D. l+ ?5 \+ A& N* H

, v$ o8 M) Y3 f

, u: H7 Z. ?: p" C5 T2 S# z+ O3 w 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 + H2 @$ m; h" G, |, I

% _3 o) d v9 Z! ^7 b1 @5 i6 g

. i7 w0 J0 o8 D2 o7 k6 ` vshapes= ' }" |, K! Q( C; `% m4 M6 Z

# a5 f, }( z# {

1 m( a- p5 t2 _- C3 q, d8 z vshapes= 1 u2 r {7 S8 e; [" @

3 m" X$ Q$ B! K/ ~9 O# l

! a0 i# G. Z1 d7 @: N- A2 x# p3 E$ L+ v 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 $ a a" W% G8 I2 w3 ~

9 q3 _/ c# B3 Z/ y' F

. b. F/ z' U- ^" k/ j vshapes= 4 e6 ~8 o2 o! f; w4 N+ ?1 i' Q/ l- J+ E

- B" w" W& O2 Q1 u4 @2 \/ J

D" o: `+ \$ z% U2 X 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 . [. ]5 G, L. j% h* b! `

# y+ ?& e+ @' m$ X0 T, v. w) }

, [0 X- a7 ^2 ~; i9 X9 I2 d6 p vshapes= - _" z; [* h4 V, O2 k) M

C; N) h2 i9 t# m0 D1 ]) N6 p

+ p9 Q* p) v, Z% f( C$ J 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 , E6 D- d- L6 ]% f

4 e+ d1 [: u8 K( Z3 g; `- d

2 q* H w5 D) u3 _; a j# K' z 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= * C8 X% K2 b# M/ B. D: o

2 {0 E, h" r7 ~3 ~& S7 `: t. Y

* z4 t, I! w) g' r# E5 `& f' I+ B" Y 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) 7 B& s. m* c v& @2 M

G5 s; ]$ x: L3 D/ N
& z: b R0 l( O. j7 Y1 H# d- w& P 3 J9 t# g- B9 K# M3 X3 L

9 }' k, T' p* l5 ]$ X" b _. n 内网渗透; b$ z5 B% n% {- s* ]

: Z$ X- c5 Q; A) Q" M+ S! b
3 k& Y8 ]( F" @0 m( }/ L8 Q
, e! l! y, X: j , d( }; \4 z" b: P Q; ?6 v* q

8 }' P+ b! w" V& B6 C win下搭建cslinux类似。 $ n2 i7 d% k2 z: e2 W; k% u

- t- m Z, r- n9 o8 a0 N5 W% K
. Y% B0 K0 s0 P8 F8 i. G
teamserver.bat + ip + 密码
' u4 v0 U9 e$ u$ S
6 z; n. ^3 {4 \6 n/ n [7 T

$ u. {! Q1 b" x. T5 K vshapes= h* Y& `5 }, m) R/ f

, H& ?0 ?6 `* d( H

; i2 D5 X/ v7 W1 L$ g fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) 2 n; _2 a5 H& M; D

# R* z- @* R8 \1 j8 u! M8 c- c% r

# u' S g; H g6 `1 p+ C$ ^ vshapes= $ |0 O7 d# L0 D) ?! H

8 c" {3 U4 F! \8 x) W. t d" l

g" D- O3 ~% s. } vshapes= & L' P( h5 H2 K7 p+ L

* S" Q8 n/ F( y8 d% h

) }4 g; J6 n6 i6 M0 M! o$ i 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
, V& O# e9 D5 `, B2 X# M$ x1 R
' q0 Y# `& P! z0 D2 k- m$ n
! k1 m4 x1 Q+ P% I- X

. v C6 I( e t5 J- [

5 O( Z% b2 _: m9 H0 P( J1 k, [ vshapes= 4 _- j: x$ v4 o8 p3 c

9 E$ N0 I! }0 H2 T7 f( E

9 B; A i- Y+ V$ c4 X fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 # Z" }1 ^8 O2 ]+ N7 r6 ?4 W

4 }. @/ P. Q: E$ s4 C4 W

2 R8 [6 o& k* s# E$ O6 n. b PACS系统 ) J" t( G# X: q ]/ F

) [9 {( T/ p3 K8 p/ Z

2 W8 B" o1 {/ b6 Q3 b+ o vshapes= 8 r4 e' D! p9 [* L, t9 x! g. l

& S# b, r4 F' X! x% J

0 @9 x5 @3 v! }3 {9 z vshapes=
4 X" ~* `9 X- \
' ^+ u3 f1 D% c( z/ e" n' E
/ Y$ M8 W7 ?' X* X

3 t6 L+ G" t, Y8 @4 {- [0 M" [# `0 I

( V, n1 s T% d2 a. H4 q; ] HIS系统 ( C/ N Y0 u9 X- e

7 n: z6 [5 p: _: O5 m

( b- o; ^+ g, F4 a4 T/ { vshapes= ; }# j5 s& C9 J

5 x P7 C+ c5 B S/ p5 _ @$ F5 X

6 F) R- H0 @! f4 [$ K9 R2 s   % _9 Z. T" t2 [; j

' ~1 T& A$ G* x/ ~

/ m {( d8 M4 r! g0 t vshapes= ' G- t( c, f. d' O% e( R. t n

* r: g) @. C6 ?! _5 L

7 a% b$ ?5 a9 F4 l3 p* G 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 0 y& M' r8 p. `0 O( o

, V' ?$ N4 v# T( U

* H: i7 j) ~2 u1 f, T; ]: m
$ A: U3 O& n4 Y) @" f4 K( x8 O
; V. R, i" ^: A
2 j, B) s( q) S+ c

& W8 ]; [9 U- N& S0 A: |; s9 k

& J/ ?: A2 v: n; O; J6 z. A 后话 ; V( D P6 M& u) q

5 M' u! I* L+ L0 |* d0 Q

0 ~- p; x. r) F) R8 \" A! w 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 2 g$ R3 h, C; N9 V9 h, n$ R

) \! d' r$ F: ], p
7 [8 n8 O+ v$ l( X' {3 ? . k0 r3 e b+ Z( ^6 t
: I- c% V- H7 X) t2 u" l
( c% q; b* A1 r. S
( f* Z' M. l S3 t, O% s $ a8 s' W% \$ g9 w# y

- d( C! C- T5 G+ i% K( V 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 # k% T# l- e4 x; d' P# J. k# y. \

9 Q# z! Z+ C$ V0 \2 ^5 j

# G$ B2 |3 D( _0 b0 d! Q   8 K$ G4 I' I0 k7 h

6 i. m; n2 |* W) ]- [, {9 d
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表