MySQL蜜罐反制获取攻击者信息

647 篇文章 11 订阅
334 篇文章 38 订阅

1.蜜罐介绍

蜜罐是对攻击者的欺骗技术用以监视、检测、分析和溯源攻击行为其没有业务上的用途所有流入/流出蜜罐的流量都预示着扫描或者攻击行为;因此可以比较好的聚焦于攻击流量。

2.MySQL蜜罐介绍

MySQL蜜罐通过搭建一个简单的MySQ服务如果攻击者对目标进行3306端口爆破并且用navicat等工具连接MySQL蜜罐服务器就可能被防守方获取攻击IP、读取本地文件包括微信配置文件和谷歌历史记录等等

3,这个功能默认是关闭查看是否开启

show global variables like ‘local_infile’;

set global local_infile=1; #开启

4,尝试读取本地C盘Windows目录下的win.ini

load data local infile ‘C:/Windows/win.ini’ into table test fields terminated by ‘\n’;

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

5. MySQL读取文件过程流量分析

Wireshak抓包可以看到正常的执行流程如下

  • Client向Server发起Load data local infile请求

  • Server返回需要读取的文件路径

  • Client读取文件内容并发送给Server

PS在本机上启动服务端与客户端启动wireshark 抓包要选择回环接口:Adapter for lookback traffic capture如果选择本地连接会抓不到流量包。

1Greeting包返回了服务端的版本等信息

2使用navicat客户端连接服务端客户端发起登录请求

3然后看到一个Request Query包客户端发送请求set names utf8mb4

从MySQL5.5开始可以支持4个字节兼容;且支持更多的字符。

4客户端连接MySQL服务端后向服务端发起查询请求

服务端返回一个Response TABULAR指定读取的文件路径

5,客户端读取文件内容并发送给服务端

从上面交互过程可以看出在Client向Server发起查询后Server会返回一个Response TABULAR的响应包。而如果在这个数据包中指定文件路径就可以读取Client相应的文件。实际上Server可以在回复任何Client端的请求时返回Response TABULAR响应包而不仅仅是在Client发起Load data local infile后。

6.应用场景

攻击者在对目标网站进行攻击时通常会发现网站的一些漏洞;;攻击者在使用navicat连接我们的数据库时成功后我们可以执行代码利用MySQL读取文件获取到攻击者的手机号。

7.MySQL蜜罐反制利用

读取手机号和微信ID的方法默认常见微信文件路径

  • 通过C:/Windows/PFRO.log获取windows用户名

  • 通过C:/Users/用户名/Documents/WeChat Files/All Users/config/config.data获取wxid

  • 通过C:/Users/用户名/Documents/WeChat Files/wx_id/config/AccInfo.dat获取微信号、手机号

MySQL****蜜罐下载地址 https://github.com/ev0A/Mysqlist

启动MySQL蜜罐

dicc.txt文件路径列表测试机中文件路径

使用navicat工具连接MySQL

成功读取到PFRO.log和config.data文件内容

打开Mysqlist-master\log\192.168.1.50\C__Windows_PFRO.log文件读取用户名Administrator

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

打开Mysqlist-master\log\192.168.1.50\D__Documents_WeChat Files_All Users_config_config.data文件获取微信id号

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

根据上面得到的accinfo.dat文件路径重复上述步骤读取D:/Documents/WeChat Files/wxid_7xxxxxxx/config/AccInfo.dat进而获取到手机号、微信号

8.思考

除了获取微信ID还可以读取chrome的账号、历史记录等信息

1,chrome的login data虽然无法解密出密码但是还是可以获取到对方的一些账号的

‘C:/Users/’ + username + ‘/AppData/Local/Google/Chrome/User Data/Default/Login Data’

2chrome的历史记录

‘C:/Users/’ + username + '/AppData/Local/Google/Chrome/User Data/Default/Histo

为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值