【藍(lán)隊(duì)利器】溯源反制之Mysql蜜罐

前言

很快又是各種攻防演練了，每到這個(gè)時(shí)候，本公眾號(hào)都會(huì)給紅藍(lán)雙方的小伙伴們放送一點(diǎn)福利。雖然本號(hào)內(nèi)容更新比較佛系，但是還是感謝諸位一直的關(guān)注。

關(guān)于功能

該蜜罐為mysql蜜罐，即在你的服務(wù)器上模擬一個(gè)mysql服務(wù)出來(lái)。

當(dāng)攻擊者對(duì)你的服務(wù)器進(jìn)行3306端口的弱口令掃描的時(shí)候，是一定會(huì)掃出一個(gè)“弱口令”的。大部分的攻擊者會(huì)想著進(jìn)一步獲取敏感信息而去使用navicat等客戶端去連接掃出來(lái)的“弱口令”。

當(dāng)攻擊者使用navicat嘗試連接“數(shù)據(jù)庫(kù)”時(shí)候，攻擊者的微信就有可能被蜜罐捕獲到。

這里有個(gè)前提，攻擊者的操作系統(tǒng)為windows，且系統(tǒng)上裝有電腦版微信（以前登過(guò)就行，不一定當(dāng)時(shí)要登著）。這兩個(gè)條件還是很容易滿足的，之前做了個(gè)小調(diào)查，使用windows的還是主流，且能夠做到滲透環(huán)境與辦公環(huán)境分離的更是很少。

關(guān)于部署

該蜜罐有Windows和Linux兩個(gè)版本，均為開箱即用版。

windows版的只需要放到服務(wù)器上，雙擊打開即可。

Linux版的只需要放到服務(wù)器上，給主程序一個(gè)執(zhí)行權(quán)限然后運(yùn)行即可。

注意：要先確保服務(wù)器的3306端口未被占用，且該端口能被外部訪問(wèn)到。

演示視頻

工具下載

方式一：公眾號(hào)后臺(tái)回復(fù)“mysql蜜罐”，獲取下載鏈接。

方式二：掃碼加入知識(shí)星球，干貨更多且搶先拿。

關(guān)于技術(shù)原理

利用mysql反制的手段在之前就有人分析并發(fā)過(guò)文章了，本文主要發(fā)布一款工具，不展開講了，可參考：

溯源反制之MySQL蜜罐研究

MySQL蜜罐獲取攻擊者微信ID