标签：蜜罐 Users 配置文件 Mysql mysql cs 读取

关于Mysql蜜罐的具体技术细节，网上文章介绍的太多了，大家可以自己从网上搜索文章，我写一个简介吧：mysql中有一个load data local infile函数能够读取本地文件到mysql数据库中。当攻击者用爆破mysql密码的扫描器扫描到我们的mysql并连接上的时候（注，这里我纠正一下，只要连接一下蜜罐mysql，就可以被蜜罐读取到本地配置文件，不需要提供正确的用户名密码），客户端（攻击者）会自动发起一个查询，我们（服务端）会给与一个回应，我们在回应的数据包中加入load data local infile读取攻击者的本地文件到我们数据库中，达到反制的目的。（以下图片来源于网络搜索）

cs的配置文件明文存储密码

只要是使用cs客户端连接过cs服务端的电脑，cs客户端都会在固定的文件夹下生成一个.aggressor.prop配置文件。如果是Windows系统，那么文件位置是：C:\Users\Administrator\.aggressor.prop，这个配置文件里面就包含了cs远控的ip地址、端口、用户名及密码，而且都是明文的！如下图所示：

每次打开cs都会显示出曾经登录后的ip地址、端口、用户名、密码等信息，这些信息都是存储在本地.aggressor.prop文件中的，大致内容如下图所示：

因此我们得到结论，搭建一个mysql蜜罐，一旦攻击者连接这个蜜罐，那么这个蜜罐利用msyql本地文件读取漏洞去自动读取C:\Users\Administrator\.aggressor.prop这个文件内容，蜜罐就可以成功得到攻击者的cs服务端ip地址、端口、用户名密码。

搭建环境实验成功

为了验证一下上述猜测，还是要实战测试一下的，从github上找到一个python写的mysql蜜罐脚本，本地简单修改一下，将文件读取的路径改为C:\Users\Administrator\.aggressor.prop，将脚本运行起来。如下图所示，一个监听本地端口3306的mysql蜜罐就搭建好了。

为了模拟红队人员连接mysql的行为，使用navicat远程连接一下这个蜜罐的ip地址。（再次强调一下，无需知道mysql的用户名密码即可，输入一个错误的用户名密码，mysql蜜罐同样可以读取本地文件）

如下图所示，mysql蜜罐在当前目录的日志文件中给出base64加密后的cs配置文件内容。

Base64解密之后结果如下：

·

成功使用蜜罐获取到的ip地址、端口、用户名及密码连上cs服务端（以下图片来源于网络）

Windows下，微信默认的配置文件放在C:\Users\username\Documents\WeChat Files\中，在里面翻翻能够发现 C:\Users\username\Documents\WeChat Files\All Users\config\config.data 中含有微信IDC:\Users\backlion\Documents\WeChat Files\All Users\config\config.data

标签：蜜罐,Users,配置文件,Mysql,mysql,cs,读取
来源： https://www.cnblogs.com/backlion/p/16622937.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。