文章前言
本篇文章我们主要介绍如何通过搭建一个Fake Mysql来伪装Mysql服务器并诱导攻击者来连接,之后利用漏洞来读取攻击者电脑的文件以进行对攻击者进行刻画肖像
获取思路
下面我们介绍一下读取手机号和微信ID的正常方法,分为以下三个步骤:
- 通过C:/Windows/PFRO.log获取windows用户名
- 通过C:/Users/用户名/Documents/WeChat Files/All Users/config/config.data获取wxid
- 通过C:/Users/用户名/Documents/WeChat Files/wx_id/config/AccInfo.dat获取地址、微信号、手机号
获取用户名
我们这里在自己的电脑中进行测试,打开C:/Windows/PFRO.log,可以看到我的用户名是Al1ex
获取微信ID
然后访问C:/Users/Al1ex/Documents/WeChat Files/All Users/config/config.data获取用户微信ID
手机号/地址
可以查看到手机号
C:\Users\Al1ex\Documents\WeChat Files\wxid_xxxxxxxxxxxx\config\AccInfo.dat
还有地址、微信号都有
项目实践
项目地址:
https://github.com/Al1ex/MysqlHoneypot
Step 1: 攻击者外网扫描到资产,并进行暴力猜解
Step 2:攻击者本地PC安装微信的情况下首次直接读取PFRO.log和config.data文件
Step 3:攻击者再次尝试时获取AccInfo.dat信息
参考连接
https://github.com/qigpig/MysqlHoneypot