MySQL蜜罐获取攻击者微信号、手机号、IP、用户名

admin 2022年4月1日22:09:51安全文章评论67 views1728字阅读5分45秒阅读模式

声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系刘一手
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。仅供学习研究

蜜罐介绍

蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。

MySQL蜜罐介绍

MySQL蜜罐通过搭建一个简单的MySQ服务,如果攻击者对目标进行3306端口爆破,并且用navicat等工具连接MySQL蜜罐服务器,就可能被防守方获取攻击IP、读取本地文件,包括微信配置文件和谷歌历史记录等等,这样很容易被防守方溯源

思路

MySQL服务端可以利用 LOAD DATA LOCAL命令来读取MYSQL客户端的任意文件,然后伪造恶意服务器向连接到这个服务器的客户端发送读取文件的payload

mysql任意文件读取(local data local infile)

比如使用navicat远程连接mysql服务端

这个功能默认是关闭,查看是否开启:

show global variables like 'local_infile';

set global local_infile=1; #开启
MySQL蜜罐获取攻击者微信号、手机号、IP、用户名
image-20220401181420683

这里是开启的

我们尝试读取本地C盘Windows目录下的win.ini

load data local infile 'C:/Windows/win.ini' into table test1 fields terminated by 'n';
MySQL蜜罐获取攻击者微信号、手机号、IP、用户名
image-20220401181347874

读取到本地'C:/Windows/win.ini文件内容

SELECT * FROM test1;
MySQL蜜罐获取攻击者微信号、手机号、IP、用户名
image-20220401181221804

MySQL蜜罐反制利用

读取手机号和微信ID的方法(默认常见微信文件路径):

通过C:/Windows/PFRO.log获取windows用户名
通过C:/Users/用户名/Documents/WeChat Files/All Users/config/config.data获取wxid
通过C:/Users/用户名/Documents/WeChat Files/wx_id/config/AccInfo.dat获取微信号、手机号

dic.txt文件路径列表(测试机中文件路径)

MySQL蜜罐获取攻击者微信号、手机号、IP、用户名

启动MySQL蜜罐

MySQL蜜罐获取攻击者微信号、手机号、IP、用户名
image-20220401181801032

进行连接

MySQL蜜罐获取攻击者微信号、手机号、IP、用户名
image-20220401181939995
MySQL蜜罐获取攻击者微信号、手机号、IP、用户名
image-20220401181957492

返回了对方ip以及要读取的文件

MySQL蜜罐获取攻击者微信号、手机号、IP、用户名
image-20220401182049904

得到用户名

MySQL蜜罐获取攻击者微信号、手机号、IP、用户名
image-20220401182132466

获取到的微信id号

MySQL蜜罐获取攻击者微信号、手机号、IP、用户名
image-20220401182211101

根据上面得到的AccInfo.dat文件路径,重复上述步骤读取C:/Documents/WeChat Files/wxid_4xxxxxxx/config/AccInfo.dat,来获取到手机号、微信号

MySQL蜜罐获取攻击者微信号、手机号、IP、用户名
image-20220401182605197

再次进行开启蜜罐,对方连接即可获取

MySQL蜜罐获取攻击者微信号、手机号、IP、用户名

查看该文件,得到手机号微信名

MySQL蜜罐获取攻击者微信号、手机号、IP、用户名
image-20220401182755224
MySQL蜜罐获取攻击者微信号、手机号、IP、用户名
image-20220401182845559


蜜罐下载链接

https://t.zsxq.com/2RnAIyB


MySQL蜜罐获取攻击者微信号、手机号、IP、用户名


MySQL蜜罐获取攻击者微信号、手机号、IP、用户名


推荐阅读



干货 | 渗透知识库(鹏组安全)


实战 | 记一次渗透测试(绕过某塔)


免杀 | mimikatz.exe bypass360全家桶




好文分享收藏赞一下最美点在看哦

原文始发于微信公众号(鹏组安全):MySQL蜜罐获取攻击者微信号、手机号、IP、用户名

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月1日22:09:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  MySQL蜜罐获取攻击者微信号、手机号、IP、用户名 http://cn-sec.com/archives/862973.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: