原理

MySQL服务端可以利用LOAD DATA LOCAL命令来读取MYSQL客户端的任意文件，然后伪造恶意服务器向连接到这个服务器的客户端发送读取文件的payload。 Load data infile是MySQL的一个高效导入数据的方法，它的速度非常快。是MySQL里一款强大的数据导入工具。网上有很多文章分析，mysql蜜罐反制是可以读取到本地的任意文件的，比如：微信id、Chrome历史记录等。

1 蓝队蜜罐搭建

使用mysql蜜罐端快速搭建mysql蜜罐

下载解压上传kali

项目地址后台回复“蜜罐”获得

mysql蜜罐用法

同目录下dicc.txt文件内容为要读取的文件名，可以随意设置你想要读取对方的文件名。

C:/windows/win.ini
C:/windows/system.ini
C:UsersAdministratorDocumentsWeChat FilesAll Usersconfigconfig.data

启动蜜罐

┌──(root㉿rsec)-[~/Mysql]
└─# python2 exp_dicc.py 3306

此时会进入监听，结合具体场景

2 红队爆破攻击mysql服务

输入mysql服务ip，开始扫描。

3 蓝队成功获取微信号

蓝队mysql蜜罐同时读取到远程服务器的文件内容。

将读取的文件内容下载到本地打开

C__Users_Administrator_Documents_WeChat Files_All Users_config_config.data文件内容包含攻击者微信ID

获取攻击者id和手机号后可以进行报警或者社工。

4 泄露信息文件集合

查询微信ID手机号文件路径

 C:UsersAdministratorDocumentsWeChat FilesAll Usersconfigconfig.data
 C:UsersAdministratorDocumentsWeChat Files微信idconfigAccInfo.dat

cs连接的账号、密码、端口、插件地址

cobalt strike在启动时，用户端会默认生成一个隐藏的文件：.aggressor.prop，这个文件会在当前用户目录下：

比如当前的用户是Administrator，那目录就是：

.aggressor.prop文件里面详细记录了cs连接的账号、密码、端口、插件地址等。

 C:/Users/Administrator/.aggressor.prop

原文始发于微信公众号（揽月安全团队）：溯源反制-获取恶意攻击者 微信、手机号、CS上线地址密码等任意敏感信息