蜜罐介绍
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
MySQL蜜罐通过搭建一个简单的MySQ服务,如果攻击者对目标进行3306端口爆破,并且用navicat等工具连接MySQL蜜罐服务器,就可能被防守方获取攻击IP、读取本地文件,包括微信配置文件和谷歌历史记录等等,这样很容易被防守方溯源
MySQL服务端可以利用 LOAD DATA LOCAL命令来读取MYSQL客户端的任意文件,然后伪造恶意服务器向连接到这个服务器的客户端发送读取文件的payload
比如使用navicat远程连接mysql服务端
这个功能默认是关闭,查看是否开启:
show global variables like 'local_infile';
set global local_infile=1; #开启
这里是开启的
我们尝试读取本地C盘Windows目录下的win.ini
load data local infile 'C:/Windows/win.ini' into table test1 fields terminated by '\n';
读取到本地'C:/Windows/win.ini文件内容
SELECT * FROM test1;
读取手机号和微信ID的方法(默认常见微信文件路径):
通过C:/Windows/PFRO.log获取windows用户名
通过C:/Users/用户名/Documents/WeChat Files/All Users/config/config.data获取wxid
通过C:/Users/用户名/Documents/WeChat Files/wx_id/config/AccInfo.dat获取微信号、手机号
dic.txt文件路径列表(测试机中文件路径)
启动MySQL蜜罐
进行连接
返回了对方ip以及要读取的文件
得到用户名
获取到的微信id号
根据上面得到的AccInfo.dat文件路径,重复上述步骤读取C:/Documents/WeChat Files/wxid_4xxxxxxx/config/AccInfo.dat,来获取到手机号、微信号
再次进行开启蜜罐,对方连接即可获取
查看该文件,得到手机号和微信名
正式运营星球:
1.src真实漏洞挖掘案例分享(永久不定时更新),过程详细一看就会哦。
2.自研/二开等工具/平台的分享。
3.漏洞分析/资料共享等。
关于文章/Tools获取方式:请关注交流群或者知识星球。
关于交流群:因为某些原因,更改一下交流群的获取方式:
1.请点击联系我们->联系官方->客服小助手添加二维码拉群 。
关于知识星球的获取方式:
1.后台回复发送 "知识星球",即可获取知识星球二维码。
2如若上述方式不行,请点击联系我们->联系官方->客服小助手添加二维码进入星球 。
3.为了提高质量,推出"免费名人堂"名额,后台回复发送 "知识星球"了解详情。
本公众号文章以技术分享学习为目的。
由于传播、利用本公众号发布文章而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任。
一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
文章引用微信公众号"极梦C",如有侵权,请联系管理员删除!