Mysql蜜罐读取电脑配置文件
作者:互联网
cs的配置文件明文存储密码
只要是使用cs客户端连接过cs服务端的电脑,cs客户端都会在固定的文件夹下生成一个.aggressor.prop配置文件。如果是Windows系统,那么文件位置是:C:\Users\Administrator\.aggressor.prop,这个配置文件里面就包含了cs远控的ip地址、端口、用户名及密码,而且都是明文的!如下图所示:
每次打开cs都会显示出曾经登录后的ip地址、端口、用户名、密码等信息,这些信息都是存储在本地.aggressor.prop文件中的,大致内容如下图所示:
因此我们得到结论,搭建一个mysql蜜罐,一旦攻击者连接这个蜜罐,那么这个蜜罐利用msyql本地文件读取漏洞去自动读取C:\Users\Administrator\.aggressor.prop这个文件内容,蜜罐就可以成功得到攻击者的cs服务端ip地址、端口、用户名密码。
搭建环境实验成功
为了验证一下上述猜测,还是要实战测试一下的,从github上找到一个python写的mysql蜜罐脚本,本地简单修改一下,将文件读取的路径改为C:\Users\Administrator\.aggressor.prop,将脚本运行起来。如下图所示,一个监听本地端口3306的mysql蜜罐就搭建好了。
为了模拟红队人员连接mysql的行为,使用navicat远程连接一下这个蜜罐的ip地址。(再次强调一下,无需知道mysql的用户名密码即可,输入一个错误的用户名密码,mysql蜜罐同样可以读取本地文件)
如下图所示,mysql蜜罐在当前目录的日志文件中给出base64加密后的cs配置文件内容。
Base64解密之后结果如下:
·成功使用蜜罐获取到的ip地址、端口、用户名及密码连上cs服务端(以下图片来源于网络)
Windows下,微信默认的配置文件放在
C:\Users\username\Documents\WeChat Files\
中,在里面翻翻能够发现 C:\Users\username\Documents\WeChat Files\All Users\config\config.data
中含有微信IDC:\Users\backlion\Documents\WeChat Files\All Users\config\config.data标签:蜜罐,Users,配置文件,Mysql,mysql,cs,读取 来源: https://www.cnblogs.com/backlion/p/16622937.html