|
# _% o V" O6 P9 m. }
声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。
+ _# C8 Z2 I7 Z! h% X1 i0 t
5 T2 f' R* S1 `) c, b0 w# c4 W; o6 d0 K% Y5 n/ B+ b5 U
众亦信安,中意你啊! ' A$ M- H, k! x. i
. c5 W; R% `5 U
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> . x* \2 B* b/ A: M- n
$ p. w- M) b: q- [5 M; U" j, E
$ }* U r9 O6 T" z7 L! m
ingFang SC,serif;">
- a6 k( x! C$ [" U' ^; B5 g7 U# j . @/ X5 G, J. l; C
3 d( \9 V; D* K+ Q. O5 i7 ^
( p; ^( w/ [% J& I/ P5 R 众亦信安 ) c# D( r2 Q2 Z+ t
0 u# o2 G# ?4 S0 W- U7 L! i) A v/ ?, c4 ^
红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 5 R! I$ R( ?- e9 u% \
: i* @) ^5 @ |$ C# U$ _0 [% P
$ G& t% O' `4 D1 _, V0 x ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 4 {( ^! s; Y# x# f8 F
/ f) P& v. }3 f/ P+ n5 @' o" K* r4 L; T" p+ A
公众号ingFang SC,serif;">
( d* q2 M, M2 h$ T5 L& d$ j 8 d! ]$ m4 X: ^) e. M
$ [0 I* J$ K( o" |' |
! Q- }1 A& J' ]' T9 r
8 @4 }- |( [9 l$ u1 Q _$ ~' @' h
8 s/ P. }8 w* S , f6 B8 O& ?% c- d
点不了吃亏,点不了上当,设置星标,方能无恙!
3 r0 W a. j) l, g4 [! b9 p+ P4 h/ O1 b" Q
ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">
5 o3 I1 v( w* a) X( O( w/ c" I& ~1 X p2 J% u) I6 n% ~- }8 k
. ~7 J0 B, J4 m5 Q 背景:在某次地市攻防,外网给的资产基本上都打了,恰巧此时裁判说可以近源,我和伙伴直接就背上书包打车往医院跑。
" Q4 t( f- E: g+ L
; w% M, a6 j' s& S' y: c" Y7 K0 _# Z0 W" A
5 g6 ?( Z. g' I! n5 e+ C 5 L% j% J; z. t$ m
* ^; u9 ^: ~3 `" `1 q
- b$ e( ?' C; V7 F' V# B0 ^
( d2 R5 e$ V0 P3 ` 无线or有线
! E: O+ D1 F6 n) r2 u. f' K
8 T; h( Z X4 q4 ^
- a+ r9 E% k9 u7 l% \
/ o: r7 \2 B; [& L
1 B& `0 @- n0 U9 x$ r' p
, b0 I7 N/ J9 e) x* ?2 T! A( e 大致思路:近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 2 s; X. K4 y" [9 w& C- q' \
8 R: u" v& c' E9 L5 `6 W! ^4 W& `' m
! r3 i% R' u7 H+ y
一开始我们想的是找无线网络,左手wifi万能钥匙,右手fscan一把搓,摸了半天就一个TP-LINK路由器收场,显然和我尊贵的身份不符。
0 F$ e& t; y" j& Y8 {0 Z
, ]; Z' Y1 l5 w1 P. i/ s r8 Y
|. w/ V+ g8 r2 |5 b3 k. o) v! l ; [6 j6 B8 x* o6 T# |; n8 c ~
/ J/ X9 T) C$ p: _! ?9 e( }* y8 A
, ]1 W4 f: ?4 q
/ ^ j. ?1 R |5 X+ M% t" V
, D% H( ~( ?6 L" B
( L) _, o. }7 P0 I( \: J3 J: V 这时候都到了主楼,不进去看一圈也不合适,在里边溜达了会,我的同伙注意到,地上有很多网线口。
g2 P1 ]6 M4 v0 r# J& @8 Y 2 [& l W. ]" o* W W9 V$ L- D ^
+ x; U* g% `0 A r8 Y9 R) z
, ]; f" W' L Y, c& j6 } * s6 S1 p, f) G4 l5 {
) u& c: I) t+ A3 D" j& z5 h 很快啊,美团下个单,没得网线啥也不能干啊。(血亏21)
6 Q" T1 d$ P. G" Z U
0 ], s4 Y: M! C
& p* m e2 T4 z- G4 c& t; Z / }1 v" R, k/ y: F8 Y2 C @9 N
0 I7 `4 F1 C' b( J, E0 @0 ^* F
& ^5 B4 \9 P1 B5 X 插上网线后等了好一会都没有自动获取到ip,想了想这种网线接口基本上不会自动分配ip都得设置静态的。
4 P1 D6 D* ?% O, n$ w) b * [6 j" M+ t' h2 k/ A: _0 A1 U2 S
7 ? g9 \4 I9 ?
这时候同伙又来点子了,医院现在都有这种自助机器,他操作系统一般是windows,在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后,直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。
R2 r4 v/ l: |! S7 d! K) a! @ - c$ Z# c/ `& H. d2 N/ x, a5 s
: {$ P3 N& @# u0 _! Q 一顿操作后,电脑也是可以和自助机器通信了,fscan启动!(因为是地市hw,所以直接干)。
8 B" d, z p+ `2 r( `+ L) a% o, l5 r N 1 d! E; O5 h8 j; J, }( h+ P0 \
' C8 d. w5 i* V G2 D7 H, }& O) E Y' G' L
. r3 n8 O; m0 J% j8 J3 K
内网渗透
, j o' Q2 I. z) _1 a* h0 g 9 P# t: Q- L) c W( j1 \
) S; l7 s. `$ G
6 q9 G. h) Y" m0 K% A9 T+ z
, |1 a8 N2 F( T7 D3 F# a; S( U0 N+ G" N7 b5 o S
win下搭建cs和linux类似。
1 ]1 n6 o4 X0 d9 Y% f Y3 D + r6 k6 ~2 K# w5 C9 q5 ] m
; x3 u" U1 e! W: J: v0 U7 u% {teamserver.bat + ip + 密码
$ W) o# T: G. y- L
! {; P) Z3 m4 H9 C! |& X
; n6 V/ f0 D e' o I
" O9 Z7 B$ V# Z; k- n7 @
0 @1 [1 l1 j0 F5 ^. _9 l" J/ R" a# G
7 |; A, u" A2 |& q. L fscan扫出来一个mssql弱口令,翻了下目录像是pacs服务器(关于pacs,百度上是这样解释的)
) C M* M+ S" g5 F6 q" l2 b% ` ! f+ T' z6 }4 x+ L( ~
! P$ g$ e2 ~; S% S6 G
5 _7 b3 L- n; G # f; G, j# l, k* o& |% L( }- [1 B
2 l! `4 t" E5 @5 u- P, W! z
/ g; j' y/ M `2 F+ Q" b 5 F+ W( `$ `% F) ?( E
`, y/ v7 z2 ? n+ g" T1 x! s* z( {
通过mdut工具链接后,执行系统命令上线cs,然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据,该主机是172段的,但是看到很多和10段的连接。 : \3 E$ V9 P U' d9 i; V
* }. n* ^4 j9 t3 z- W0 l3 J8 e' R, [' z3 V
! }- E- u. k9 N/ N$ M4 u
9 k9 j; L k i, c 0 R) N# a" o8 ^$ r( k+ }4 R
- d d+ ^( c, m* M
4 i9 U2 ^5 W& P# w4 I W0 U m
fscan再来一遍,直接拿到pacs,his,互联互通系统的权限,但后边听移动的师傅说,互联互通没有建设完毕,不然还能通其他的医院。
, s3 I- J. H+ o) \" J- | ' z3 \1 X/ m( w! ?, @% j) U3 T4 |
- o$ ^5 B5 b& J, V4 P
PACS系统
6 U1 r6 F' z" [( j0 ]6 H ' F/ A: k) B2 T5 m
7 z4 V6 t" ^* B* B8 x8 |
3 s8 e" Y) E" b4 D7 g ( o( o$ T L2 d+ }2 m- |& v
# S$ P k3 ]" J( q% }8 k 
3 z9 t" x" i4 ^: N7 | w
( u5 R6 S( H) z/ c
2 x5 y' c8 p! u. N# x3 z
! F& P# b' r/ r6 {+ B' N1 x
' R2 q1 }% Y) g3 h- p HIS系统 + ^0 o5 r, F6 k0 r1 W) {
) \, W/ Z s, k4 i9 F6 ?& p6 D5 |8 {) P' a3 [
% `* X q# v7 _ \3 D / ~8 h5 V) Q$ x7 j
1 ~3 C* l. h( q1 Y, t: t % X# q# e& K7 F/ u/ N
4 b. Q' ?1 K* m& v# d) w4 ^' a
, o5 W# l6 ^1 Y$ j+ \
) b# |7 [ ?2 q; |9 g! g
" x4 T+ U; o" `: }
! ?! {" u! w* j5 a8 i) ~ 还有几个重要系统的数据库,摸到了几十万的敏感数据,对一个地市的医院也差不多了,这里就不放图了。
: k; I& |8 ^! P) ?3 s % E3 s R& F3 F5 i" ]4 @1 y
0 _8 u! a- B; t& i7 Y
9 {$ g9 d2 M8 ^ - U# { O. L n* Z* L8 ?9 b
! \6 s; p4 U$ B. U7 K: q; P/ ^
) A6 X$ L3 {- m9 a; J: a
0 j$ q$ Z( A, U, I' I6 @) o 后话
* l8 u' F$ e9 s2 H* T
x4 \% K, s$ |! n; u8 O4 U9 x3 w# W
算是趣事,后边还和同伙去了另外一家医院,开始不知道这家医院是治疗精神的医院,在住院部门口和保安叔叔对线了很久说我是上去看朋友的,能感觉到大叔看我的眼神中有疑惑、困惑到理解,用亲身经历提醒各位师傅,干活前先调查清楚情况,不然会被当成奇怪的人,怎么进去的都不知道。 2 X3 M$ c- i( X" ?/ l
0 _4 H! q) k- \6 p+ f
5 c3 E7 ^$ ?: s2 R/ C- Q
! n( M4 u8 p: `! O
% D4 l Q6 M) p* W2 a5 N' o" ?$ Y
' C+ Z1 W7 Z) e1 J1 ~+ r6 P0 W" e2 W / d" O9 ]* U- L6 v' \% K
- Y. H1 ~& p9 `4 f8 A; |9 k+ t9 H2 z5 M# C& d6 m
点点关注不迷路,每周不定时持续分享各种干货。可关注公众号回复"进群",也可添加管理微信拉你入群。 / b9 X# [+ w q q
1 T0 J0 ~* @+ M) W/ h
d/ O1 A: |/ z8 R - {3 L& t( c6 ~: X6 O! e
. v2 P, L( S" K7 x |