Mysql蜜罐使用

admin 2023年5月19日18:39:14评论132 views字数 827阅读2分45秒阅读模式

文章前言

本篇文章我们主要介绍如何通过搭建一个Fake Mysql来伪装Mysql服务器并诱导攻击者来连接,之后利用漏洞来读取攻击者电脑的文件以进行对攻击者进行刻画肖像

获取思路

下面我们介绍一下读取手机号和微信ID的正常方法,分为以下三个步骤:

  • 通过C:/Windows/PFRO.log获取windows用户名 

  • 通过C:/Users/用户名/Documents/WeChat Files/All Users/config/config.data获取wxid 

  • 通过C:/Users/用户名/Documents/WeChat Files/wx_id/config/AccInfo.dat获取地址、微信号、手机号

获取用户名  

我们这里在自己的电脑中进行测试,打开C:/Windows/PFRO.log,可以看到我的用户名是Al1ex

Mysql蜜罐使用

获取微信ID  

然后访问C:/Users/Al1ex/Documents/WeChat Files/All Users/config/config.data获取用户微信ID

Mysql蜜罐使用

手机号/地址  

可以查看到手机号  C:UsersAl1exDocumentsWeChat Fileswxid_xxxxxxxxxxxxconfigAccInfo.dat

Mysql蜜罐使用


还有地址、微信号都有

Mysql蜜罐使用


项目实践

项目地址:  

https://github.com/Al1ex/MysqlHoneypot

Mysql蜜罐使用

Step 1:攻击者外网扫描到资产,并进行暴力猜解

Mysql蜜罐使用

Step 2:攻击者本地PC安装微信的情况下首次直接读取PFRO.log和config.data文件

Mysql蜜罐使用


Step 3:攻击者再次尝试时获取AccInfo.dat信息

Mysql蜜罐使用


参考连接

https://github.com/qigpig/MysqlHoneypot

https://github.com/heikanet/MysqlHoneypot

溯源反制之MySQL蜜罐研究

MySQL蜜罐获取攻击者微信ID

原文始发于微信公众号(七芒星实验室):Mysql蜜罐使用

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月19日18:39:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Mysql蜜罐使用http://cn-sec.com/archives/1747662.html

发表评论

匿名网友 填写信息