找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2347|回复: 0
打印 上一主题 下一主题

记一次某医院渗透(近源)

[复制链接]
跳转到指定楼层
楼主
发表于 2024-3-1 20:15:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

N) b8 v2 P8 @9 P0 Y 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 X" R F; n2 P( H: Y: u$ n

# [( k1 J/ _9 X- E

- A7 c# u- t0 k# I. J% a 众亦信安,中意你啊!
' c g0 G7 N: \( x k/ z! g
- n- ^+ d$ R; LingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
, _' _- W8 h' V p/ F

! H: {" s8 @5 Z- O7 L$ ^

/ a1 N1 r, k w! O* r0 K ingFang SC,serif;">, N# G( D/ M; D1 u- ?0 R2 D

& `5 \$ `" Z. d |/ U, @
5 F. z; P* @1 P6 ?! I' \# E

, O, X2 E2 U' M. d, v! h3 R 众亦信安 " S; Z# [' L m/ ~2 |7 u+ M& O

+ o0 i3 L" Q w# y7 W, R

% \: C. d& M9 a2 j5 K: \ 红蓝对抗、内网渗透ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 6 ], C+ d- ]+ t' e4 [3 a

% G& w$ Q# O$ @) G8 H0 J0 h) X

# K. A& o4 b3 j+ q* [+ A ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 0 G- ?# H( z3 ~, v

, i5 B' M/ r/ R0 b ?

. `. E' u* n5 D% y- h* ] 公众号ingFang SC,serif;"> * _9 ]$ w0 {6 l% H

7 S- O e; [( \- i/ @" W3 C

% c% v$ X( U# u- W& n
! v& I. P, A. W
9 E" j6 k3 R; K# s
0 E8 p2 u4 V/ `0 a1 T- S

. y5 _5 l) H2 O) l
点不了吃亏,点不了上当,设置星标,方能无恙! . ^2 X0 R! M4 @, y$ X4 d

& D& Z9 k) G5 E) Y ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">vshapes=ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">  : \9 _: Z5 P$ I6 `5 \: O

4 j0 P; s, b& k! ]5 [

& b9 b0 Z* ~0 j; `, u( f 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。 $ g0 D# l# S5 B' ~& K2 R

X$ R" ?$ x8 i5 Y- g1 x: Z, ^

. }; L: w+ w+ u. j   ; x+ E6 l H/ L

! D3 `4 h% ~# M" G, v
9 y" n! X9 q' l% O * Y7 W0 v: Q4 {$ ?7 h3 x$ j& f% M1 x

2 l: D+ c5 L* \' R 无线or有线1 @$ B! M) v2 |# q9 E4 n/ C7 I0 Z

: {% t7 T! A2 C. M u
5 R: E$ ]' {: ~ n$ j
4 [# U: V) R7 p) R! Y 7 b7 V3 F& E0 U$ }7 t- p# @2 `- P

5 r( S; W& ~: p U X! i: R/ X 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 * n |0 h" S( y8 A0 X2 n$ i, K

+ J8 w- @0 H7 g/ d( F

7 n- q7 U- Y0 Z& \: B. K 一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。 - X" k2 l6 h; A/ y

* q- @" T0 C5 V" r2 c

& j, Y# L; h: y) E vshapes= ( U; \( [0 M- c; V; F2 z. b

0 t& r9 M8 m2 W5 o+ N- K* S

$ D. q ]& L4 D; f8 a vshapes= ) z" i) f2 Z/ O2 `. \5 d! j' x

1 O: t8 f5 z# d0 w: B7 G

( A& C2 P; s+ ~/ ~, r) f5 l4 L" N 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。 , p/ d9 z$ S5 n6 k: P, l

. _0 e4 M& e( [, n

. w! l9 J! w6 `% j) c( I vshapes= 7 l1 N _- g: x: Q. a

+ Z/ C5 _ D* S) F9 j

6 w) M$ o4 X1 G" t& Y 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21 }; w8 W% d( D6 T% S+ Q

+ x& i: f; g5 ]& l

& P& [4 ^' `' N$ z8 E# d* [5 ^ vshapes= # j( s% v1 a, \( F6 @

- W' `' z4 @9 D( p& ^6 x! \

$ m4 a0 k, ^/ K6 A 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。 0 F; E+ S; ]0 C; o' \' Y

( r; \0 K( x' O, m% b) Y3 ^, V

: V# a1 I" ^+ p9 R! Q 这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。vshapes= ' ^5 J- W7 {" e7 @+ P s

T/ J' o: d9 e& N* d

* @; i% j( U# g* \ 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干) ) M$ s; i3 e& Y- n) o3 ?' } K

# F- M0 m( Y6 L$ Y: Z" y. O. s
6 p( x7 A# T9 _7 z7 S. Z- d 5 ]6 a; a1 J! o" f J

) C$ T; C; x* Q0 s/ t 内网渗透% T" @' Y+ n7 f$ O

+ y* I# k8 F/ H
' L; a, J- t: ]( ]0 ?% z+ n9 S u
( T* n4 V7 x7 m9 D. O- x & `) ]" j, w( X f- E; }3 t

8 C0 @* H* v/ O" Q win下搭建cslinux类似。 ! a7 q. j8 K0 L$ T3 p0 M! G

" U8 U+ F1 Z, M& r
+ Z$ [' M- C. I. u$ a+ A
teamserver.bat + ip + 密码
! H- `7 c3 `8 C3 ~4 k
' @/ T( a F7 l4 J1 N3 ?

! Z0 g& ]$ g# r, f% S8 O vshapes= ! w- F% ]4 L K; R4 Q2 W; U9 T

( ?. _; w# G% @$ t2 }8 A

& w/ m7 O# ?+ W1 T' O: Q5 @; N fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的) # u# @3 t H) E) j- A

7 i+ x4 l) Z$ ?

( M. b3 b' C' R* I, @' A. X f vshapes= 3 r- H" m* S$ C% R/ P

1 R1 ?# S. F1 @7 }, {2 N7 U* e

9 S w; L+ D- d. D6 O! ] vshapes= / }1 K% W5 J4 o3 \+ W

, `! j. O6 O+ [7 `- F: h s

3 f; c, g) q' G" @' J. | 通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。
& a9 e- ~. |" y( U
* z4 R4 o8 f9 F3 l: m" A- O
+ v# g. v4 f9 `; r; ~- \! e3 W4 ~

, s- [# t1 ]4 x

) q" \# ]/ K. ?: D vshapes= / R' M# k! R6 b, H8 \

4 [* V B. a' `1 N( h

: C# A9 K8 n+ X fscan再来一遍,直接拿到pacshis,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。 4 U0 x1 t7 H& ~; D5 F ]

' v, y" X3 M; ~; T* v/ G! g, |

6 z9 |9 H( e9 O6 } PACS系统 + z H1 y9 n6 \* [3 U; f; ~5 E$ X

# f6 P% ]% b) e3 a' ]% p& N

8 \9 ?( O+ s, O I A vshapes= 4 \6 y0 N; L6 n2 x2 F; I

" {. D3 T9 A, t. ~5 {$ K* f

# W# ]' e3 U$ p/ n5 H$ W" O vshapes=
1 J! D+ V% i1 p3 n! v Q" r
4 }* K% J7 n. Q, s2 s0 c2 O' l' Q6 i
) ^# j5 N; s, J& }

- g" K+ w7 b& [% T+ w

& v1 a9 E1 `1 D HIS系统 " e; K% g3 @1 t) Z, C* |

0 z- C2 \( t' z$ {% ^0 ^

! F7 ]" a4 P* y! l" M/ ~ vshapes= - z6 `$ |6 b# n1 P

5 t" u+ q6 }6 v. l8 r5 @/ }# D% w

5 `3 B( A @) W' _   ! X& O" ~+ @) k5 g

- F" ?+ l0 _# ^ U0 {3 M

1 x/ o" @: p( X3 H9 u vshapes= $ T! ^% H9 Q5 U9 i" k ]5 W# v& O

, r, S0 J, K- x" d! i

, U" f/ s, N% u; @ T6 s+ U# a 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。 ; f$ R6 @, l# p3 Q% l: N% y8 w

: I! |6 ~$ O0 q* q2 C7 H% D

# L# d$ w& S, q& L" V- \0 A3 o
, i! P: D8 l: X8 V
% R! ` b9 q+ y
) L1 K8 Z& Q5 B" t+ u& y

% y- d9 f, r7 l; i

9 ^: A( I7 g; Q% o 后话 E7 M- M4 k5 a' W+ y2 ]' F

1 q# T+ s) @* V4 x% Q/ x, U

. Y0 X9 b, Z. R0 {1 R 算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 9 R# x1 H, E5 c \4 R

2 c. z6 O4 y X* N. p
& ?% Y, I0 T; _* ]: w2 h8 n8 p $ K4 D5 c2 t* G& m
- z( [8 B1 m& p D& m$ W) h! T3 i% e
2 n7 b' V, {5 w9 T( L( I
5 a# {7 l1 e% ]- x1 i% e ! |( i' W( D' o8 B9 V X2 U7 _

9 x9 L) {- [% E: J$ |/ a3 n 点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 # u6 o5 u' n6 r0 m* T* g( g* S5 B

, k0 y9 L2 z( B- u9 ?2 G

2 T+ z% d: |* V$ W2 n   . d* k3 E& T3 c3 f. I

0 F4 j/ c3 b; @) ~9 a/ t/ I1 z4 @; z9 i
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表