MySQL中怎么通過(guò)蜜罐獲取攻擊者微信ID

本篇文章給大家分享的是有關(guān)中怎么通過(guò)蜜罐獲取攻擊者微信ID，小編覺(jué)得挺實(shí)用的，因此分享給大家學(xué)習，希望大家閱讀完這篇文章后可以有所收獲，話(huà)不多說(shuō)，跟著(zhù)小編一起來(lái)看看吧。

原理

MySQL中 load data local infile '/etc/passwd' into table test fields terminated by '\n';語(yǔ)句可以讀取客戶(hù)端本地文件并插進(jìn)表中，那么我們可以偽造一個(gè)惡意的，向連接服務(wù)器的客戶(hù)端發(fā)送讀取文件的payload。這個(gè)技術(shù)并不新鮮，但是合理利用就能起到一些不錯的成果。

利用

抓個(gè)包看看連MySQL時(shí)客戶(hù)端和服務(wù)端通信的兩個(gè)關(guān)鍵點(diǎn)：

服務(wù)端先返回了版本、salt等信息：

客戶(hù)端向服務(wù)端發(fā)送賬號密碼信息后，服務(wù)端返回了認證成功的包：

至此，我們只需等待客戶(hù)端再發(fā)一個(gè)包，我們就能發(fā)送讀取文件的payload了，再看看讀取文件這個(gè)包：

這里000001是指數據包的序號，fb是指包的類(lèi)型，最后一個(gè)框是指要讀取的文件名，而最前面的14是指文件名的長(cháng)度（從fb開(kāi)始，16進(jìn)制），所以payload則是chr(len(filename) + 1) + "\x00\x00\x01\xFB" + filename

在能夠實(shí)現任意文件讀取的情況下，我們最希望的就是能讀到與攻擊者相關(guān)的信息。日常生活中，大家幾乎都會(huì )使用微信，而如果攻擊者沒(méi)有做到辦公—滲透環(huán)境分離的話(huà)，我們就有希望獲取到攻擊者的微信ID

Windows下，微信默認的配置文件放在C:\Users\username\Documents\WeChat Files\中，在里面翻翻能夠發(fā)現 C:\Users\username\Documents\WeChat Files\All Users\config\config.data中含有微信ID：

而獲取這個(gè)文件還需要一個(gè)條件，那就是要知道攻擊者的電腦用戶(hù)名，用戶(hù)名一般有可能出現在一些日志文件里，我們需要尋找一些比較通用、文件名固定的文件。經(jīng)過(guò)測試，發(fā)現一般用過(guò)一段時(shí)間的電腦在C:\Windows\PFRO.log中較大幾率能找到用戶(hù)名。

偽裝

攻擊者進(jìn)入內網(wǎng)后常常會(huì )進(jìn)行主機發(fā)現和端口掃描，如果掃到MySQL了，是有可能進(jìn)行爆破的，如果蜜罐不能讓掃描器識別出是弱口令，那就沒(méi)啥用了，所以還需要抓下掃描器的包。

這里以超級弱口令檢查工具為例，首先在本地起一個(gè)正常的MySQL服務(wù)，wireshark抓包看看掃描器有哪些請求：

可以看到，這款工具在驗證完密碼后還發(fā)了5個(gè)查詢(xún)包，如果結果不對的話(huà)，是無(wú)法識別出弱口令的，那么我們將服務(wù)器的響應數據提取出來(lái)，放進(jìn)程序里，當收到這些請求后，就返回對應的包：

這樣就能讓掃描器也可以正常識別：

效果

當攻擊者發(fā)現存在弱口令的時(shí)候，大概率會(huì )連上去看看，如果使用navicat的話(huà)，就能讀取到文件：

寫(xiě)了個(gè)簡(jiǎn)單的web來(lái)顯示攻擊者的微信ID，掃一掃就能加上TA

思考

除了獲取微信ID，我們還能獲取哪些有價(jià)值的東西呢？

• chrome的login data，雖然無(wú)法解密出密碼，但是還是可以獲取到對方的一些賬號的

  'C:/Users/' + username + '/AppData/Local/Google/Chrome/User Data/Default/Login Data'

• chrome的歷史記錄

  'C:/Users/' + username + '/AppData/Local/Google/Chrome/User Data/Default/History'

• 用戶(hù)的NTLM Hash（Bettercap + responder）

  \\ip\test