免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担! 如有侵权烦请告知,我们会立即删除并致歉。 谢谢!
某次省级攻防演练靶标有银行、Gov、医院,打了一天了银行实在是打不动了。 傍晚反正 没事 干想着去医院踩踩点看能不能近源顺便看看护士姐姐。 (其实医院还是好打的主要是想出去运动运动顺 便看看姐姐 ![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
)
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
到了医院那会还是没思路的,走到医院的一个角落电脑想连手机热点但是发现手机信号太差了5G变4G,所以萌生了连医院WIFI直接干他内网的想法。
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
看到了一个漂亮姐姐,上去搭讪了几句,“姐姐我手机信号不好,挂号交不了费能不能连一下这个WIFI啊”,结果人家说不知道这个WIFI-YMCM002的密码,说给我连接她的手机热点。 顿时很无奈,还好我机灵转手加了她的微信。 换了个楼层又看到一个漂亮姐姐,我又用同样的话术成功连接到医院的WIFI。 (主要是我长的像彭于晏哪个小姐姐看到了不心动 ![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
)
这会已经天高夜晚了,医院走廊李也没几个人。 特殊时期拿着电脑坐在医院楼道的板凳上也不太好,所以混进了医院的病房里面,这下可以安心的干他内网了。
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
i pconfig一看在10.177.128.1/24这个段
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
扫完结果出乎意料一堆东西真够复现一壶的。
部分扫描结果
[*] WebTitle:http://10.177.128.11:8161 code:200 len:6180 title:Apache ActiveMQ
[*] 10.177.128.29 WORKGROUPLADOSERVER Windows Server 2016 Standard 14393
[*] 10.177.128.8 MS17-010 Windows 7 Professional 7601 Service Pack 1
[*] 10.177.128.71 WORKGROUPWIN-LCIB03HB0H8 Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] 10.177.128.6 WORKGROUPWIN-QHR575PEHFV Windows Server 2012 R2 Standard 9600
[*] 10.177.128.31 WORKGROUPWIN-P0K7ILRMNER Windows Server 2012 R2 Standard 9600
[*] WebTitle:http://10.177.128.39:8088 code:200 len:837 title:HBOS登录
[*] WebTitle:http://10.177.128.6:8080 code:302 len:0 title:None 跳转url: http://10.177.128.6:8080/login.html
[*] WebTitle:http://10.177.128.74:9091 code:200 len:13312 title:护理数据监控中心
[*] 10.177.128.12 WORKGROUPWIN-DA2GI6LOAVM Windows Server 2012 R2 Standard 9600
[*] WebTitle:http://10.177.128.72:8088 code:200 len:837 title:HBOS登录
[*] 10.177.128.72 WORKGROUPWIN-N8NH00PAGPA Windows Server 2012 R2 Standard 9600
[*] WebTitle:https://10.177.128.32 code:200 len:5426 title:" + ID_EESX_Welcome + "
[*] WebTitle:https://10.177.128.36 code:200 len:5279 title:" + ID_EESX_Welcome + "
[+] Redis:10.177.128.6:6379 unauthorized file:D:Redis/dump.rdb
[*] 10.177.128.39 WORKGROUPWIN-ASS7VF9FKO4 Windows Server 2008 R2 Standard 7601 Service Pack 1
[*] WebTitle:http://10.177.128.8:8092 code:200 len:494 title:10.177.128.8 - /
[*] 10.177.128.10 WORKGROUPWIN-N70K7SMDSCN Windows Server 2008 R2 Standard 7601 Service Pack 1
[*] WebTitle:http://10.177.128.65:8888 code:404 len:0 title:None
[*] 10.177.128.37 WORKGROUPWIN-6P0GL1239SB
[*] WebTitle:http://10.177.128.36 code:301 len:56 title:None 跳转url: https://10.177.128.36/
[*] WebTitle:http://10.177.128.43 code:302 len:0 title:None 跳转url: http://10.177.128.43/loginPage;jsessionid=E6CAA326B6C9D747B2DBC1998F1DBD95
[*] WebTitle:http://10.177.128.41 code:200 len:9536 title:数字签名验证服务器
[*] 10.177.128.8 WORKGROUPWIN-CUIQ8PF8O9D Windows Server 2012 R2 Standard 9600
[*] 10.177.128.16 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] 10.177.128.40 (Windows Server 2008 R2 Standard 7601 Service Pack 1)
[*] 10.177.128.37 (Windows Server 2008 R2 Standard 7601 Service Pack 1)
[*] 10.177.128.10 (Windows Server 2008 R2 Standard 7601 Service Pack 1)
[*] 10.177.128.33 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] WebTitle:http://10.177.128.74:9094 code:200 len:11383 title:Apache Tomcat/8.5.45
[+] InfoScan:http://10.177.128.11:8161 [activemq]
[*] WebTitle:http://10.177.128.7:8089 code:302 len:135 title:Object moved 跳转url: http://10.177.128.7:8089/System/Auth/Login
[*] WebTitle:http://10.177.128.10 code:200 len:689 title:IIS7
[+] InfoScan:http://10.177.128.8 [红帆OA]
[*]WebTitle:https://10.177.128.32/ code:200 len:5426 title:" + ID_EESX_Welcome + "
[*] WebTitle:http://10.177.128.8:8090 code:200 len:198 title:iOffice.net
[*] WebTitle:http://10.177.128.71 code:200 len:689 title:IIS7
[+] 10.177.128.71 has DOUBLEPULSAR SMB IMPLANT
[+] InfoScan:http://10.177.128.8:8080 [红帆OA]
[*] WebTitle:http://10.177.128.43/loginPage;jsessionid=E6CAA326B6C9D747B2DBC1998F1DBD95 code:200 len:9180 title:证书管理服务器
[*] WebTitle:https://10.177.128.1 code:400 len:0 title:None
[*]WebTitle:https://10.177.128.36/ code:200 len:5279 title:" + ID_EESX_Welcome + "
[*] WebTitle:https://10.177.128.70:9801 code:200 len:3843 title:None
[*] WebTitle:http://10.177.128.6:8080/login.html code:200 len:5073 title:多媒体信息发布系统
[+] InfoScan:https://10.177.128.8 [红帆OA]
[+] InfoScan:http://10.177.128.8:8090 [红帆OA]
[*] WebTitle:http://10.177.128.30:9100 code:403 len:1157 title:403 - 禁止访问: 访问被拒绝。
[*] WebTitle:http://10.177.128.16:81 code:404 len:19 title:None
[*]WebTitle:http://10.177.128.7:8089/System/Auth/Login code:200 len:4279 title:分诊台管理系统v3.0-分诊排队管理系统-后台登录
[*] WebTitle:https://10.177.128.75 code:200 len:12165 title:None
[*]WebTitle:http://10.177.128.15:8001 code:200 len:1495 title:10.177.128.15 - /
[*] WebTitle:http://10.177.128.15 code:200 len:689 title:IIS7
[*] WebTitle:http://10.177.128.7:8088 code:302 len:135 title:Object moved 跳转url: http://10.177.128.7:8088/System/Auth/Login
[*] WebTitle:http://10.177.128.7:8090 code:302 len:128 title:Object moved 跳转url: http://10.177.128.7:8090/Home/Login
[*] WebTitle:https://10.177.128.1 code:400 len:0 title:None
[*] WebTitle:http://10.177.128.11:8010 code:200 len:645 title:None
[*] WebTitle:http://10.177.128.39 code:200 len:689 title:IIS7
[*]WebTitle:http://10.177.128.7:8088/System/Auth/Login code:200 len:3222 title:分诊台管理平台-登录页面
[*] WebTitle:https://10.177.128.30 code:200 len:701 title:IIS Windows Server
[*] WebTitle:http://10.177.128.30 code:200 len:701 title:IIS Windows Server
[*] WebTitle:http://10.177.128.7:8090/Home/Login code:200 len:5547 title:医院取药叫号系统-登录
[+] http://10.177.128.11:8161 poc-yaml-activemq-default-password
[*] WebTitle:http://10.177.128.40:8090 code:200 len:15271 title:首页
[*]WebTitle:http://10.177.128.70:8888 code:404 len:69 title:404: Not Found
[*] WebTitle:http://10.177.128.15:8080 code:200 len:16473 title:远程医疗影像诊断系统
[+]http://10.177.128.40:8090/services poc-yaml-apache-axis-webservice-detect [{path services}]
[+] http://10.177.128.40:8090 poc-yaml-struts2_045 poc1
[+] http://10.177.128.6:8080/swagger-ui.html poc-yaml-swagger-ui-unauth [{path swagger-ui.html}]
[+]http://10.177.128.11:8010/swagger/ui/index poc-yaml-swagger-ui-unauth [{path swagger/ui/index}]
[+] oracle:10.177.128.40:1521:system 123456
10.177.128.8
看到10.177.128.8 有MS17-010 ,MSF直接上去给他添加了一个用户qaxnb/qaxzhenniubi
从扫描结果中还可以看到http://10.177.128.8:8090 [红帆OA] ,判断这个主机可能是双网可部署在公网上面。
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
然后在这台主机上搭建了隧道FRP,并且上线到CS上面
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
翻东西看到了1500多条身份证信息,据我判断应该是医院医护人员的信息,这些数据足够有1500分了。
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
在主机上继续翻文件发现网站配置文件,里面有mssql数据库密码
部署网站的主机上网站的配置文件一定要翻
<add key="MobileOAServer" value="localhost:8080" />
<add key="udfCnStr" value="SameAsiOffice" />
<add key="udfType" value="hos" />
<add key="AttUpload" value="true" />
<add key="aspnet:MaxHttpCollectionKeys" value="50000" />
<add key="dbpwd" value="BpSu8yK5gxg=" />
<add key="cnstr" value="server=.sa;database=ioffice;uid=ioffice;pwd=asd123!@#" />
10.177.128.40(双网卡)
[http://10.177.128.40:8090] 浏览器访问发现有struts2
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
命令执行
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
添加用户
3389端口可远程桌面连接
账号: 360love$
密码: 360Love!@
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
疑似被黑
在C盘翻东西的时候看到一个Exp脚本
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
Administrator于2020年4月27日17点被黑。
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
oracle 弱口令
[+] oracle:10.177.128.40:1521:system 123456
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
10.177.128.1/24段的机器和数据太多了,到这里已经不想复现了。
40这台机器也是双网卡通往10.177.11.77/24段,搭建代理直接开干
Fscan: 10.177.11.77/24
[*] WebTitle:http://10.177.11.151:8088 code:302 len:151 title:302 Found 跳转url: http://10.177.11.151:8088/login
[*] WebTitle:http://10.177.11.239:2020 code:200 len:1192 title:CT 脑灌注智能分析系统
[*] WebTitle:http://10.177.11.151:8085 code:405 len:18 title:None
[*]WebTitle:http://10.177.11.22/index.html code:200 len:1515 title:Magmon3 Proprietary Web Interface
[*] WebTitle:http://10.177.11.151:9000 code:200 len:2265 title:omni-deploy 控制台
[*] WebTitle:http://10.177.11.152:10002 code:200 len:497 title:生命周期可视化
[*] WebTitle:http://10.177.11.152:10001 code:200 len:497 title:生命周期可视化
[*] WebTitle:http://10.177.11.151:10001 code:200 len:497 title:生命周期可视化
[*] WebTitle:https://10.177.11.1 code:400 len:0 title:None
[*] WebTitle:https://10.177.11.1 code:400 len:0 title:None
[*] WebTitle:http://10.177.11.151:8088/login code:200 len:873 title:云端管理系统
[*] WebTitle:http://10.177.11.151:8009 code:200 len:66279 title:Index of /
[*] WebTitle:http://10.177.11.151:10002 code:200 len:497 title:生命周期可视化
[*]WebTitle:http://10.177.11.223/Login.aspx?ReturnUrl=%2fFRMInOutPatient%2fInOutPatientReport code:200 len:12492 title:全院自助管理系统
![护士姐姐才是医院的口子]( "护士姐姐才是医院的口子")
扫出来的也是一些重要的 系统。 什么脑灌浆系统啊,杂七杂八一堆。 有的系统里面进去直接能控制他那个做手术的机器,真他妈可怕啊。
第三层里面也是一些重要系统,挂号、分诊、打印机等等。
[*] WebTitle:http://10.177.131.28/System/Auth/Login code:200 len:3231 title:分诊台管理平台-登录页面
[*] WebTitle:http://10.177.131.125/Home/Login code:200 len:5556 title:医院取药叫号系统-登录
[*] WebTitle:http://10.177.131.51/System/Auth/Login code:200 len:3231 title:分诊台管理平台-登录页面
[*]WebTitle:https://10.177.131.4:8448/initlogin code:200 len:22624 title:FusionAccess
[*]WebTitle:https://10.177.131.4:8448/initlogin code:200 len:22624 title:FusionAccess
[*]WebTitle:http://10.177.131.105:8000 code:200 len:6967 title:Welcome to C-Lodop
[*]WebTitle:http://10.177.131.105:18000 code:200 len:6977 title:Welcome to C-Lodop
[+] InfoScan:http://10.177.131.105:8000 [打印机 C-Lodop打印服务系统]
[+] InfoScan:http://10.177.131.105:18000 [打印机 C-Lodop打印服务系统]
到此医院三层内网基本上都已经被全部打穿,内网里面也有DC。 打起来麻烦还费时间,主要给的分数也不是很高,所以直接放弃了。 主要主要是找数据,数据给的分数高。
这个医院是市三甲医院,省上的核心医院数据比较多。
成果: 10个数据库(Oracle、Redis、Mssql、mysql)数据加起来有10W条差不多
主机权限: system的十几台
关键系统权限: 12个
这个报告怎么说也得有小1W吧
1、小姐姐才是弱点,救了我的命 hhhh
2、从22年开始HW讲究的是拿数据而不是拿权限
3、裁判方AH太过于傻逼,这份报告只给了4000多分,离了个大谱
文章来源: 网络安全情报攻防
原文链接: https://t.zsxq.com/04NZbUZvR
2022-10-07 有新的CVE仓库送达!
内网渗透之密码喷洒
HW结束了,在北京,我的青春一小时412.5
2022-6-02 有新的CVE仓库送达!
原文始发于微信公众号(夜组安全):护士姐姐才是医院的口子
) 
) 
评论