文章总结： 作者借攻防演练渗透某人民医院：先以admin123弱口令拿下微信管理后台，再借逻辑漏洞绕过医院信息管理平台登录，挖出SQL注入、任意文件读取与上传getshell；翻配置文件连入核心库，拖走1.3亿电子病历、4万身份证、200万住院记录、5000万医保数据，获2台SQLServersa权限及远程桌面，因生产系统卡顿影响业务未再横向，点到为止收手并附免责声明。 综合评分： 78 文章分类： 红队,内网渗透,漏洞分析,WEB安全,数据泄露

【攻防实战9】记一次某人民医院的点到为止

原创

十二

十二主神

2026年1月7日 21:20 江西

前言

点击下方 “十二主神“公众号关注, 设为星标。有用的话请点赞、收藏备查。

01-前言

本次攻防实战是针对某个地市的医院开展的，通过互联网打点获取微信管理平台权限，通过这个管理后台，并未能成功getshell，随机继续打点发现一个信息管理平台，通过逻辑漏洞绕过登录进入后台，通过后台摸索出注入，任意文件读取，最后通过任意文件上传拿到shell，翻配置文件找到数据库连接配置得到密码，获取数据库权限，登录数据库发现HIS、LIS、PACS、OA、电子病历数据库都在一个服务器中，获取1亿3千万电子病历信、4w条身份证敏感数据、200w条患者住院记录、5000w条医保用药数据；2个sqlserver数据库sa权限，一个远程桌面权限，由于这台服务器上面运行了医院多个核心数据库，属于生产系统；并且系统非常卡，不敢直接挂代理进行扫描，怕影响医院业务，所以点到为止。

02-入口打点

开局一个登录框，这个是微信平台的管理平台，掏出弱口令字典直接试

一个admin123直接进，发现还是弱口令好用，永远的神。

登录进去之后发现可以接管医院的门户网站，可造成网站篡改风险

开始对整个后台的功能点进行测试，测试了一上午加一下午硬是没有发现可以利用的漏洞点。

确实没有发现有可以利用的点，立即开始换了个平台打点，这次瞄准的是医院信息管理平台

抓取登录的返回包，修改返回的数据包，绕过验证，即可登录后台

成功登录后台，那就继续测试功能点，挖掘可以利用的漏洞

后台参数存在一个注入漏洞，直接拿出神器开搞

把含有用户密码的USers表弄出来

文件下载处存在任意文件读取漏洞，通过filename参数去读取某个.aspx文件，通过burp抓包能够读取到这个文件的内容

最后在我的文件柜中找到可以上传文件的地方，进行了getshell操作

03-内网成果

ok上了马子，直接开连，这个时候我以为又能在内网愉快的漫游，想法很美好，现实很骨感。

系统也拿到了最高权限

简单看了下进程，有360杀毒和主动防御，以及住院收费管理系统的进程

翻阅配置文件，获取数据库连接信息

把内网代理出来，直接连数据库

想不到这次走了大运，直接连到了医院的核心数据库，HIS、LIS、PACS、电子病历全都在

那么直接上大货，一亿3千万条电子病历数据

4w条身份证敏感信息

200w条住院记录

通过密码复用登录192.168.0.229的数据库服务器

这个数据库服务器多了一个医保结算的数据库，5000w条住院结算明细。

上面刷了蛮多的数据分，可以准备搞点权限分，上线CS搞内网权限

通过提取到的登录凭证，直接远程上服务器

成功登录远程桌面，由于运行了很多应用程序，服务器非常卡慢，为了不影响医院业务的正常运行，没有进行横向渗透，至此攻击已经结束，点到为止。

免责声明：本文章仅做网络安全技术研究使用！严禁用于非法犯罪行为，请严格遵守国家法律法规；请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。使用本文所提供的信息或工具即视为同意本免责声明，并承诺遵守相关法律法规和道德规范。公众号发表的一切文章如有侵权烦请私信联系告知，我们会立即删除并对您表达最诚挚的歉意！感谢您的理解！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：十二主神 十二《【攻防实战9】记一次某人民医院的点到为止》