(1).HVV之WIFI蜜罐反制红队(2).HVV之是蜜罐又不是蜜罐(3).HVV之利用Xdebug流量转发进行权限维持
2.一些蜜罐模板在搭建过程中,可能会在页面投放诱饵让人去下载,例如:
(1).深*服VPN蜜罐需要让攻击者去下载VPN客户端。
(2).一些政府网站,系统有那种u盘里面安装着uk什么,登录必须插u盘和下载控件,这种系统在一些政府内网特别多。
3.下面就是制作这些客户端和控件的一个小型demo
![【HVV】制作扫描WeChat手机号的蜜罐诱饵]( "【HVV】制作扫描WeChat手机号的蜜罐诱饵")
![【HVV】制作扫描WeChat手机号的蜜罐诱饵]( "【HVV】制作扫描WeChat手机号的蜜罐诱饵")
![【HVV】制作扫描WeChat手机号的蜜罐诱饵]( "【HVV】制作扫描WeChat手机号的蜜罐诱饵")
6.然后选择搜索字符串,填写自己的昵称首次新搜索,拉到最下面绿色部分,然后双击添加。
![【HVV】制作扫描WeChat手机号的蜜罐诱饵]( "【HVV】制作扫描WeChat手机号的蜜罐诱饵")
7.点击地址部分,可以发现WeChatWin.dll+1D2975C=奥村燐,说人话简单概况就是dll的基址+偏移量等于昵称所在的内存地址,按照我的理解应该就是指针所在的地址保存着微信昵称。
![【HVV】制作扫描WeChat手机号的蜜罐诱饵]( "【HVV】制作扫描WeChat手机号的蜜罐诱饵")
8.然后查看微信昵称地址相关的内存区域数据,可以发现当前登录微信的手机号码。
![【HVV】制作扫描WeChat手机号的蜜罐诱饵]( "【HVV】制作扫描WeChat手机号的蜜罐诱饵")
9.然后扫描类型搜索字符串,然后也是首次新扫描,内容就是这个手机号,找到绿色部分然后双击添加。
![【HVV】制作扫描WeChat手机号的蜜罐诱饵]( "【HVV】制作扫描WeChat手机号的蜜罐诱饵")
10.点击地址部分,可以发现WeChatWin.dll+1D29791=3456476***,也是dll的基址+偏移量等于手机号所在的内存地址。
![【HVV】制作扫描WeChat手机号的蜜罐诱饵]( "【HVV】制作扫描WeChat手机号的蜜罐诱饵")
(1).昵称地址:WeChatWin.dll+1D2975C。
(2).手机号地址:WeChatWin.dll+1D29791。
12.WeChatWin.dll的地址为5F070000。
![【HVV】制作扫描WeChat手机号的蜜罐诱饵]( "【HVV】制作扫描WeChat手机号的蜜罐诱饵")
13.然后用易语言实现demo就是根据dll基地址+偏移读取手机号和昵称。
![【HVV】制作扫描WeChat手机号的蜜罐诱饵]( "【HVV】制作扫描WeChat手机号的蜜罐诱饵")
14.这个dll基址虽然本机重启程序不会变,但是换电脑之后dll基地址就变了。
15.所以代码需要修改成通过dll名称定位到这个基址。
![【HVV】制作扫描WeChat手机号的蜜罐诱饵]( "【HVV】制作扫描WeChat手机号的蜜罐诱饵")
16.虽然获取的手机号只有10位,少了第一位,但是这并不影响结果,因为手机号第一位基本都是1,所以代码修改成这样就行了。
![【HVV】制作扫描WeChat手机号的蜜罐诱饵]( "【HVV】制作扫描WeChat手机号的蜜罐诱饵")
18.文章中案例用到的工具:关注公众号,暗号:"蜜罐溯源"
原文始发于微信公众号(天禧信安):【HVV】制作扫描WeChat手机号的蜜罐诱饵
评论