本文介绍了MySQL蜜罐的概念、工作原理,以及如何利用它检测和反击攻击。同时,提供了网络安全学习资源,包括路线图、视频教程、技术文档和工具包等内容。
1.蜜罐介绍
蜜罐是对攻击者的欺骗技术用以监视、检测、分析和溯源攻击行为其没有业务上的用途所有流入/流出蜜罐的流量都预示着扫描或者攻击行为;因此可以比较好的聚焦于攻击流量。
2.MySQL蜜罐介绍
MySQL蜜罐通过搭建一个简单的MySQ服务如果攻击者对目标进行3306端口爆破并且用navicat等工具连接MySQL蜜罐服务器就可能被防守方获取攻击IP、读取本地文件包括微信配置文件和谷歌历史记录等等
3,这个功能默认是关闭查看是否开启
show global variables like ‘local_infile’;
set global local_infile=1; #开启
4,尝试读取本地C盘Windows目录下的win.ini
load data local infile ‘C:/Windows/win.ini’ into table test fields terminated by ‘\n’;
5. MySQL读取文件过程流量分析
Wireshak抓包可以看到正常的执行流程如下
-
Client向Server发起Load data local infile请求
-
Server返回需要读取的文件路径
-
Client读取文件内容并发送给Server
PS在本机上启动服务端与客户端启动wireshark 抓包要选择回环接口:Adapter for lookback traffic capture如果选择本地连接会抓不到流量包。
1Greeting包返回了服务端的版本等信息
2使用navicat客户端连接服务端客户端发起登录请求
3然后看到一个Request Query包客户端发送请求set names utf8mb4
从MySQL5.5开始可以支持4个字节兼容;且支持更多的字符。
4客户端连接MySQL服务端后向服务端发起查询请求
服务端返回一个Response TABULAR指定读取的文件路径
5,客户端读取文件内容并发送给服务端
从上面交互过程可以看出在Client向Server发起查询后Server会返回一个Response TABULAR的响应包。而如果在这个数据包中指定文件路径就可以读取Client相应的文件。实际上Server可以在回复任何Client端的请求时返回Response TABULAR响应包而不仅仅是在Client发起Load data local infile后。
6.应用场景
攻击者在对目标网站进行攻击时通常会发现网站的一些漏洞;;攻击者在使用navicat连接我们的数据库时成功后我们可以执行代码利用MySQL读取文件获取到攻击者的手机号。
7.MySQL蜜罐反制利用
读取手机号和微信ID的方法默认常见微信文件路径
-
通过C:/Windows/PFRO.log获取windows用户名
-
通过C:/Users/用户名/Documents/WeChat Files/All Users/config/config.data获取wxid
-
通过C:/Users/用户名/Documents/WeChat Files/wx_id/config/AccInfo.dat获取微信号、手机号
MySQL****蜜罐下载地址 https://github.com/ev0A/Mysqlist
启动MySQL蜜罐
dicc.txt文件路径列表测试机中文件路径
使用navicat工具连接MySQL
成功读取到PFRO.log和config.data文件内容
打开Mysqlist-master\log\192.168.1.50\C__Windows_PFRO.log文件读取用户名Administrator
打开Mysqlist-master\log\192.168.1.50\D__Documents_WeChat Files_All Users_config_config.data文件获取微信id号
根据上面得到的accinfo.dat文件路径重复上述步骤读取D:/Documents/WeChat Files/wxid_7xxxxxxx/config/AccInfo.dat进而获取到手机号、微信号
题外话
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
473
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
