蓝队利器溯源反制之Mysql蜜罐

Posted 2021-04-23 黑白之道

文章来源：台下言书

前言

关于功能

该蜜罐为mysql蜜罐，即在你的服务器上模拟一个mysql服务出来。

当攻击者对你的服务器进行3306端口的弱口令扫描的时候，是一定会扫出一个“弱口令”的。大部分的攻击者会想着进一步获取敏感信息而去使用navicat等客户端去连接扫出来的“弱口令”。

当攻击者使用navicat尝试连接“数据库”时候，攻击者的微信就有可能被蜜罐捕获到。

这里有个前提，攻击者的操作系统为windows，且系统上装有电脑版微信（以前登过就行，不一定当时要登着）。这两个条件还是很容易满足的，之前做了个小调查，使用windows的还是主流，且能够做到渗透环境与办公环境分离的更是很少。

关于部署

该蜜罐有Windows和Linux两个版本，均为开箱即用版。

windows版的只需要放到服务器上，双击打开即可。

Linux版的只需要放到服务器上，给主程序一个执行权限然后运行即可。

注意：要先确保服务器的3306端口未被占用，且该端口能被外部访问到。

演示视频

Play

工具下载

关于技术原理

利用mysql反制的手段在之前就有人分析并发过文章了，本文主要发布一款工具，不展开讲了，可参考：

推荐文章++++

*

*

*