【HVV】制作扫描WeChat手机号的蜜罐诱饵

admin 2022年4月10日00:03:30HW&HVV评论29 views928字阅读3分5秒阅读模式

 



网安引领时代,弥天点亮未来   






 

【HVV】制作扫描WeChat手机号的蜜罐诱饵

0x00具体操作


1.接着前面三篇:
(1).HVVWIFI蜜罐反制红队(2).HVV之是蜜罐又不是蜜罐(3).HVV之利用Xdebug流量转发进行权限维持

2.一些蜜罐模板在搭建过程中,可能会在页面投放诱饵让人去下载,例如:
(1).深*服VPN蜜罐需要让攻击者去下载VPN客户端。
(2).一些政府网站,系统有那种u盘里面安装着uk什么,登录必须插u盘和下载控件,这种系统在一些政府内网特别多。

3.下面就是制作这些客户端和控件的一个小型demo


4.打开Cheat Engine(简称CE)。

【HVV】制作扫描WeChat手机号的蜜罐诱饵


5.然后点击打开进程,选择微信。

【HVV】制作扫描WeChat手机号的蜜罐诱饵

【HVV】制作扫描WeChat手机号的蜜罐诱饵


6.然后选择搜索字符串,填写自己的昵称首次新搜索,拉到最下面绿色部分,然后双击添加。

【HVV】制作扫描WeChat手机号的蜜罐诱饵


7.点击地址部分,可以发现WeChatWin.dll+1D2975C=奥村燐,说人话简单概况就是dll的基址+偏移量等于昵称所在的内存地址,按照我的理解应该就是指针所在的地址保存着微信昵称。

【HVV】制作扫描WeChat手机号的蜜罐诱饵


8.然后查看微信昵称地址相关的内存区域数据,可以发现当前登录微信的手机号码。

【HVV】制作扫描WeChat手机号的蜜罐诱饵


9.然后扫描类型搜索字符串,然后也是首次新扫描,内容就是这个手机号,找到绿色部分然后双击添加。

【HVV】制作扫描WeChat手机号的蜜罐诱饵


10.点击地址部分,可以发现WeChatWin.dll+1D29791=3456476***,也是dll的基址+偏移量等于手机号所在的内存地址。


【HVV】制作扫描WeChat手机号的蜜罐诱饵



11.以上内容总结概况一下:
(1).昵称地址:WeChatWin.dll+1D2975C。
(2).手机号地址:WeChatWin.dll+1D29791。


12.WeChatWin.dll的地址为5F070000。

【HVV】制作扫描WeChat手机号的蜜罐诱饵


13.然后用易语言实现demo就是根据dll基地址+偏移读取手机号和昵称。

【HVV】制作扫描WeChat手机号的蜜罐诱饵


14.这个dll基址虽然本机重启程序不会变,但是换电脑之后dll基地址就变了。


15.所以代码需要修改成通过dll名称定位到这个基址。

【HVV】制作扫描WeChat手机号的蜜罐诱饵


16.虽然获取的手机号只有10位,少了第一位,但是这并不影响结果,因为手机号第一位基本都是1,所以代码修改成这样就行了。

【HVV】制作扫描WeChat手机号的蜜罐诱饵


17.作者简介:前QAX摸鱼划水小能手。

18.文章中案例用到的工具:关注公众号,暗号:"蜜罐溯源"

原文始发于微信公众号(天禧信安):【HVV】制作扫描WeChat手机号的蜜罐诱饵

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月10日00:03:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【HVV】制作扫描WeChat手机号的蜜罐诱饵 http://cn-sec.com/archives/575521.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: