声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系刘一手
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。仅供学习研究
蜜罐介绍
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
MySQL蜜罐介绍
MySQL蜜罐通过搭建一个简单的MySQ服务,如果攻击者对目标进行3306端口爆破,并且用navicat等工具连接MySQL蜜罐服务器,就可能被防守方获取攻击IP、读取本地文件,包括微信配置文件和谷歌历史记录等等,这样很容易被防守方溯源
思路
MySQL服务端可以利用 LOAD DATA LOCAL命令来读取MYSQL客户端的任意文件,然后伪造恶意服务器向连接到这个服务器的客户端发送读取文件的payload
mysql任意文件读取(local data local infile)
比如使用navicat远程连接mysql服务端
这个功能默认是关闭,查看是否开启:
show global variables like 'local_infile';
set global local_infile=1; #开启
这里是开启的
我们尝试读取本地C盘Windows目录下的win.ini
load data local infile 'C:/Windows/win.ini' into table test1 fields terminated by 'n';
读取到本地'C:/Windows/win.ini文件内容
SELECT * FROM test1;
MySQL蜜罐反制利用
读取手机号和微信ID的方法(默认常见微信文件路径):
通过C:/Windows/PFRO.log获取windows用户名
通过C:/Users/用户名/Documents/WeChat Files/All Users/config/config.data获取wxid
通过C:/Users/用户名/Documents/WeChat Files/wx_id/config/AccInfo.dat获取微信号、手机号
dic.txt文件路径列表(测试机中文件路径)
启动MySQL蜜罐
进行连接
返回了对方ip以及要读取的文件
得到用户名
获取到的微信id号
根据上面得到的AccInfo.dat文件路径,重复上述步骤读取C:/Documents/WeChat Files/wxid_4xxxxxxx/config/AccInfo.dat,来获取到手机号、微信号
再次进行开启蜜罐,对方连接即可获取
查看该文件,得到手机号和微信名
蜜罐下载链接
https://t.zsxq.com/2RnAIyB
推荐阅读
免杀 | mimikatz.exe bypass360全家桶
原文始发于微信公众号(鹏组安全):MySQL蜜罐获取攻击者微信号、手机号、IP、用户名
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论