MySQL中怎么通過(guò)蜜罐獲取攻擊者微信ID

本篇文章給大家分享的是有關(guān)MySQL中怎么通過(guò)蜜罐獲取攻擊者微信ID，小編覺(jué)得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說(shuō)，跟著小編一起來(lái)看看吧。

原理

MySQL中 load data local infile '/etc/passwd' into table test fields terminated by '\n';語(yǔ)句可以讀取客戶端本地文件并插進(jìn)表中，那么我們可以偽造一個(gè)惡意的服務(wù)器，向連接服務(wù)器的客戶端發(fā)送讀取文件的payload。這個(gè)技術(shù)并不新鮮，但是合理利用就能起到一些不錯(cuò)的成果。

利用

抓個(gè)包看看連MySQL時(shí)客戶端和服務(wù)端通信的兩個(gè)關(guān)鍵點(diǎn)：

服務(wù)端先返回了版本、salt等信息：

客戶端向服務(wù)端發(fā)送賬號(hào)密碼信息后，服務(wù)端返回了認(rèn)證成功的包：

至此，我們只需等待客戶端再發(fā)一個(gè)包，我們就能發(fā)送讀取文件的payload了，再看看讀取文件這個(gè)包：

這里000001是指數(shù)據(jù)包的序號(hào)，fb是指包的類(lèi)型，最后一個(gè)框是指要讀取的文件名，而最前面的14是指文件名的長(zhǎng)度（從fb開(kāi)始，16進(jìn)制），所以payload則是chr(len(filename) + 1) + "\x00\x00\x01\xFB" + filename

在能夠?qū)崿F(xiàn)任意文件讀取的情況下，我們最希望的就是能讀到與攻擊者相關(guān)的信息。日常生活中，大家?guī)缀醵紩?huì)使用微信，而如果攻擊者沒(méi)有做到辦公—滲透環(huán)境分離的話，我們就有希望獲取到攻擊者的微信ID

Windows下，微信默認(rèn)的配置文件放在C:\Users\username\Documents\WeChat Files\中，在里面翻翻能夠發(fā)現(xiàn) C:\Users\username\Documents\WeChat Files\All Users\config\config.data中含有微信ID：

而獲取這個(gè)文件還需要一個(gè)條件，那就是要知道攻擊者的電腦用戶名，用戶名一般有可能出現(xiàn)在一些日志文件里，我們需要尋找一些比較通用、文件名固定的文件。經(jīng)過(guò)測(cè)試，發(fā)現(xiàn)一般用過(guò)一段時(shí)間的電腦在C:\Windows\PFRO.log中較大幾率能找到用戶名。

偽裝

攻擊者進(jìn)入內(nèi)網(wǎng)后常常會(huì)進(jìn)行主機(jī)發(fā)現(xiàn)和端口掃描，如果掃到MySQL了，是有可能進(jìn)行爆破的，如果蜜罐不能讓掃描器識(shí)別出是弱口令，那就沒(méi)啥用了，所以還需要抓下掃描器的包。

這里以超級(jí)弱口令檢查工具為例，首先在本地起一個(gè)正常的MySQL服務(wù)，wireshark抓包看看掃描器有哪些請(qǐng)求：

可以看到，這款工具在驗(yàn)證完密碼后還發(fā)了5個(gè)查詢包，如果結(jié)果不對(duì)的話，是無(wú)法識(shí)別出弱口令的，那么我們將服務(wù)器的響應(yīng)數(shù)據(jù)提取出來(lái)，放進(jìn)程序里，當(dāng)收到這些請(qǐng)求后，就返回對(duì)應(yīng)的包：

這樣就能讓掃描器也可以正常識(shí)別：

效果

當(dāng)攻擊者發(fā)現(xiàn)存在弱口令的時(shí)候，大概率會(huì)連上去看看，如果使用navicat的話，就能讀取到文件：

寫(xiě)了個(gè)簡(jiǎn)單的web來(lái)顯示攻擊者的微信ID，掃一掃就能加上TA

思考

除了獲取微信ID，我們還能獲取哪些有價(jià)值的東西呢？

• chrome的login data，雖然無(wú)法解密出密碼，但是還是可以獲取到對(duì)方的一些賬號(hào)的

  'C:/Users/' + username + '/AppData/Local/Google/Chrome/User Data/Default/Login Data'

• chrome的歷史記錄

  'C:/Users/' + username + '/AppData/Local/Google/Chrome/User Data/Default/History'

• 用戶的NTLM Hash（Bettercap + responder）

  \\ip\test

以上就是MySQL中怎么通過(guò)蜜罐獲取攻擊者微信ID，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見(jiàn)到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。