记一次某医院渗透（近源）

admin · 发表于 2024-3-1 20:15:03

9 b! b+ m1 G' V 声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。 8 u$ ^/ Y+ `6 \3 \. s$ p

: L! z( `5 W9 k- g' m" ~ 众亦信安，中意你啊！
) O# }; j* O: b( D8 W: R0 H4 ?
* S. p/ _8 o$ [, u+ }' W" z ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ) c% r& T6 B$ @3 p: {

: _* ^) z! u0 H, y @2 e) Z. [1 I ingFang SC,serif;"> & y$ A6 |4 _* h+ T$ n3 X" F( f2 l

) U6 V* x0 R/ d0 [3 {+ j
# ^' s9 b' d6 ]" d 众亦信安 ' s9 X: g' x7 V$ U
; R& F, l* T M& o8 P% q( J: ]: c
+ E6 B/ L2 Z B1 c5 o 红蓝对抗、内网渗透、ingFang SC,serif;">web安全、ingFang SC,serif;">src挖掘ingFang SC,serif;"> 5 k: p9 x+ x" d& w2 m' ?# M) B
0 V8 H$ o$ X8 i
* i9 ^% y1 @3 e+ p7 M5 k1 d ingFang SC,serif;">26篇原创内容ingFang SC,serif;"> 2 {3 Y4 j# i) k9 b/ }
/ F9 K2 X; ?: R! a6 e9 K
3 q+ u: O* A+ h0 Q; ?6 d7 H6 Z 公众号ingFang SC,serif;"> ! H- K" W L9 M: F1 K( o
5 N' _8 c' b, C& S8 w$ a
( |" ]4 N9 J) y
9 Y0 ]' t: }% k$ N. q7 O
w! ~4 X+ s9 C1 O ) _0 e2 g- ^! k( U, ~
8 _/ i y" \) V+ W7 Z3 r, E( w
点不了吃亏，点不了上当，设置星标，方能无恙！ ; m; L6 ~4 t8 U- }
3 o" ]$ X, L4 S( H& E N! O, b ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;">ingFang SC,serif;font-size:13.0pt;letter-spacing:.4pt;"> ) M, e$ y( I9 h7 N
! q' D' u) L3 L; w* V
+ Q2 W' V. O8 y" A0 d( @ 背景：在某次地市攻防，外网给的资产基本上都打了，恰巧此时裁判说可以近源，我和伙伴直接就背上书包打车往医院跑。 * k" O2 \7 \( T1 f2 F4 u& ?
$ S: `2 m( F* a; D: t7 r. u
4 b1 W' ~9 W9 f% z , p) s& @% H% I3 Z3 @7 N) q
; M$ U# D/ G# v* r# `
6 J/ F0 z2 }5 f9 r; _ + ], v' u3 |* o" F( E& i* ?8 j
]+ G+ W% @8 a# k( o; e 无线or有线5 o/ y. s- L( }5 g7 S- F5 M
1 `+ W; U' K+ [5 Y; U4 s ( {! z( ]7 a# t1 Y U7 K" r
. h9 h! e5 }8 [) F$ y- G0 D 6 {0 K& K9 U; d( }
7 }: X4 q) Q2 ]- k# D7 U 大致思路：近源攻击——>突破逻辑隔离进入内网核心业务网段——> 获取大量敏感数据、服务器系统和数据库权限等。 ( Z. p6 H) w O, i: U, B
9 a, G: K" E1 k& \: K& R0 j
$ H! z+ ~0 P/ b; S 一开始我们想的是找无线网络，左手wifi万能钥匙，右手fscan一把搓，摸了半天就一个TP-LINK路由器收场，显然和我尊贵的身份不符。 ( O) s6 X; G8 \" k
! I8 f' ?" K! L. {+ J
1 K7 O+ |, \1 a- g1 W9 T% ]8 s 1 {3 ]2 V/ i, `: {/ t. \
$ } y, F1 c0 S) w7 A/ D2 L8 Z
0 ^4 c$ E7 b" l9 b5 r7 l5 x8 Z7 W! n) O 7 s% c& i6 q1 H+ D/ e5 I
* h1 e2 ?4 k& ~* [2 E' p! v
* ~8 ~) a3 Z, r: U) q 这时候都到了主楼，不进去看一圈也不合适，在里边溜达了会，我的同伙注意到，地上有很多网线口。 4 A! E4 Q/ \. Y$ ?$ N) r) z; N
( E* B- L" U i o0 [
2 E' R) e1 W9 k4 O! _4 T ' [5 M- Q( m( Y0 k2 D
" q9 G+ k7 o/ S& @9 k% w, @( G0 O
3 n0 q- u& p2 h, N) h' u' ~ 很快啊，美团下个单，没得网线啥也不能干啊。（血亏21） ) s0 j) I4 S9 ^1 ~2 H; h: z+ ]
9 i5 u: u% p1 L6 \4 E7 O
& X J) p! o1 X& _: Y 5 r8 V r" E9 P" z' H8 F, Y" Q
; e5 G! Z9 \) i* X. t
$ b. V. t" n" W 插上网线后等了好一会都没有自动获取到ip，想了想这种网线接口基本上不会自动分配ip都得设置静态的。 , y' f% J( I3 k2 l$ V' t4 P k
/ ^, ]6 b" j0 U$ J+ g9 l
% n9 Z4 T/ n) \ U9 P* D9 y 这时候同伙又来点子了，医院现在都有这种自助机器，他操作系统一般是windows，在有些机器在下边会写这个设备的ip。在该设备上获取到ip之后，直接在自己电脑上配置一个同网段不冲突的ip地址就可以了。 * B* K7 p! Q; Z# T8 L
: B" I( L5 B$ O) U: S3 i# m* G) ^( `
; A+ X; M" p! @ ]5 \ 一顿操作后，电脑也是可以和自助机器通信了，fscan启动！(因为是地市hw，所以直接干)。 2 a) d1 N' ?/ W' h& ~
j) ~9 H4 y& t
% t. T# U a- {6 N( u 5 ~3 T! H# ^$ D. V
9 l! Q" {- x, o, @/ o8 d! J 内网渗透 1 C; M. ^ U( [, Q- X- v
$ e/ M$ g7 q/ k# x7 z, | 1 @; L2 ^5 ^/ a& K
, i) @+ H; a5 v8 x k ' I `8 F+ {# J! i" L0 ~
% D- Z* c' ]8 v1 G( @/ Y" r1 h2 t) ^4 f win下搭建cs和linux类似。 ; ?0 Q5 _2 N! i
& C0 u' d/ L, S* s6 M
5 G. ]1 p& G0 y% S: G, S5 [6 P
teamserver.bat + ip + 密码
9 x" s$ H. d# V1 M9 t2 R" H
, y1 Y" T) y' _0 D) m5 y s0 M
& B$ A% o" \2 \! P7 E 6 K5 c1 Q! t+ P5 X' F. D! L& ^
9 m+ ]* W1 F/ Z. |& Y0 `
+ Q$ a0 Y6 j9 W! G* R fscan扫出来一个mssql弱口令，翻了下目录像是pacs服务器（关于pacs，百度上是这样解释的） - s' B! q* I: n- F& O: D$ w7 i% r
( n3 e# F/ O( T+ _
, [) _4 N* v2 X- g; |6 ?, ]- U 0 T* U+ H2 r3 ?( f, u3 L8 y
0 L6 h# G& ^4 {7 `3 @4 k4 E
1 P8 L$ d; {7 M% D , N/ V- [* @+ j
" F k7 u( _8 d/ H# p7 ]* P
$ c( ^1 k3 j( Q 通过mdut工具链接后，执行系统命令上线cs，然后提权抓系统密码远程链接。登陆系统发现可以管理所有的病患数据，该主机是172段的，但是看到很多和10段的连接。
; Q) ]& A5 Z% h% I2 F8 u
1 Z0 |5 H7 ~& o1 \6 U 8 U$ k, d/ ^( z
. ^/ ]& L) D5 w) k
. o* c4 P- l: \: x0 u4 w 2 @4 n. b, R( P l ]
+ Y6 l2 A% K3 g- U% ~
& J. Z$ y" R$ Z1 l fscan再来一遍，直接拿到pacs，his，互联互通系统的权限，但后边听移动的师傅说，互联互通没有建设完毕，不然还能通其他的医院。 3 _) a* x2 v& B( _& q$ j
7 V( `% L- c3 K( V7 `$ H4 P
+ F; U6 K9 F/ V" E2 P PACS系统 % G* k. g4 A# k; j1 Y+ ^7 I
2 f* A/ r8 d: T& h. ~
; B2 r" c6 B( j) v : f6 x/ o( a0 O* Z9 g6 c/ n
3 n! d1 L3 a9 X1 Z+ J+ Y4 L( Y
# M. V- t( @( z; l
# T, V* d) N% X9 q; P
|6 Z4 }+ A0 A! w 2 R! i$ s5 W$ p. a, d! |
/ e1 E7 Z# l+ h+ s1 Z$ |( ?$ J6 ?
& D1 u2 C, z( X9 ?& u- f HIS系统 3 N3 R O) N- ?9 C0 Z/ l) S! m
/ D) [7 u2 ~: x) D$ O' f( @0 V
$ z/ q C" E# _! ]! D 4 g0 K: ] K5 `; K" L2 [
* a; m/ n1 h; Y- J3 V: `
" A8 U2 ^9 Y0 F ' Y' Z" f7 x" A# s6 x4 M- ~! @6 e
8 i. B. v. V1 H! s# m/ t
) o. _3 a; h* `: y 9 s1 s4 [3 {) d3 n; T
; z8 _5 P' Y% v
e8 E, |' p z. u, \: z) Y1 W 还有几个重要系统的数据库，摸到了几十万的敏感数据，对一个地市的医院也差不多了，这里就不放图了。 & I3 r. ?; O3 Q7 x1 }
" x! {& j7 ]1 N0 ^
2 h* W- M: `1 e d, w$ i
2 B. A" R( x( r0 o" E% ^
+ K6 K& _! g" M6 @' n+ L6 {' ?1 k$ t5 p
* S+ o, d5 g" A5 L" g
5 N" f2 R. R/ y+ k) n; F& c 后话 4 Z# c1 ?5 q& m' T' _8 N2 t! G
3 y9 c% V$ t2 A; {$ Z
7 z! U5 \, K5 h& O 算是趣事，后边还和同伙去了另外一家医院，开始不知道这家医院是治疗精神的医院，在住院部门口和保安叔叔对线了很久说我是上去看朋友的，能感觉到大叔看我的眼神中有疑惑、困惑到理解，用亲身经历提醒各位师傅，干活前先调查清楚情况，不然会被当成奇怪的人，怎么进去的都不知道。 ( B1 Q, X! [ J+ @3 Y1 M& W
# X/ ?2 l$ M7 v
! p; P) O0 x' d5 i1 @2 C8 u: { 6 T, L! N# y( }; r2 ~. w
1 A: h2 ]- U, D8 P+ g: n, a9 R4 L / p( J3 j/ T1 r
+ a# b+ S% T# {( u1 ]9 S 4 J# {0 L9 ^; B" H
8 {" N6 T$ M5 E; ~1 N! {5 v% m 点点关注不迷路，每周不定时持续分享各种干货。可关注公众号回复"进群"，也可添加管理微信拉你入群。 % F+ z% b* W# W. S7 d
! o# C- T1 [7 E! C
! n* S6 h0 n; h) j+ v 7 ]! Y C- C( Y1 C0 e
! g4 ~3 E" J! H1 O4 W5 A' M5 Q! l, z

		自动登录	找回密码
密码			立即注册

记一次某医院渗透（近源）

]+ G+ W% @8 a# k( o; e 无线or有线5 o/ y. s- L( }5 g7 S- F5 M

9 l! Q" {- x, o, @/ o8 d! J 内网渗透 1 C; M. ^ U( [, Q- X- v