本篇文章給大家分享的是有關(guān)中怎么通過蜜罐獲取攻擊者微信ID，小編覺得挺實用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

原理

成都創(chuàng)新互聯(lián)公司專注于企業(yè)全網(wǎng)營銷推廣、網(wǎng)站重做改版、禪城網(wǎng)站定制設(shè)計、自適應(yīng)品牌網(wǎng)站建設(shè)、H5頁面制作、商城建設(shè)、集團公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計等建站業(yè)務(wù)，價格優(yōu)惠性價比高，為禪城等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

利用

抓個包看看連MySQL時客戶端和服務(wù)端通信的兩個關(guān)鍵點：

服務(wù)端先返回了版本、salt等信息：

客戶端向服務(wù)端發(fā)送賬號密碼信息后，服務(wù)端返回了認證成功的包：

至此，我們只需等待客戶端再發(fā)一個包，我們就能發(fā)送讀取文件的payload了，再看看讀取文件這個包：

這里000001是指數(shù)據(jù)包的序號，fb是指包的類型，最后一個框是指要讀取的文件名，而最前面的14是指文件名的長度（從fb開始，16進制），所以payload則是chr(len(filename) + 1) + "\x00\x00\x01\xFB" + filename

在能夠?qū)崿F(xiàn)任意文件讀取的情況下，我們最希望的就是能讀到與攻擊者相關(guān)的信息。日常生活中，大家?guī)缀醵紩褂梦⑿?，而如果攻擊者沒有做到辦公—滲透環(huán)境分離的話，我們就有希望獲取到攻擊者的微信ID

Windows下，微信默認的配置文件放在C:\Users\username\Documents\WeChat Files\中，在里面翻翻能夠發(fā)現(xiàn) C:\Users\username\Documents\WeChat Files\All Users\config\config.data中含有微信ID：

偽裝

攻擊者進入內(nèi)網(wǎng)后常常會進行主機發(fā)現(xiàn)和端口掃描，如果掃到MySQL了，是有可能進行爆破的，如果蜜罐不能讓掃描器識別出是弱口令，那就沒啥用了，所以還需要抓下掃描器的包。

這里以超級弱口令檢查工具為例，首先在本地起一個正常的MySQL服務(wù)，wireshark抓包看看掃描器有哪些請求：

可以看到，這款工具在驗證完密碼后還發(fā)了5個查詢包，如果結(jié)果不對的話，是無法識別出弱口令的，那么我們將服務(wù)器的響應(yīng)數(shù)據(jù)提取出來，放進程序里，當收到這些請求后，就返回對應(yīng)的包：

效果

當攻擊者發(fā)現(xiàn)存在弱口令的時候，大概率會連上去看看，如果使用navicat的話，就能讀取到文件：

思考

除了獲取微信ID，我們還能獲取哪些有價值的東西呢？

chrome的login data，雖然無法解密出密碼，但是還是可以獲取到對方的一些賬號的

'C:/Users/' + username + '/AppData/Local/Google/Chrome/User Data/Default/Login Data'

chrome的歷史記錄

'C:/Users/' + username + '/AppData/Local/Google/Chrome/User Data/Default/History'

用戶的NTLM Hash（Bettercap + responder）

\\ip\test