2023轻松打造自己的MySQL蜜罐

2023-06-14 本文已影响0人 book4yi

0x01 前言：

22年1月的时候，我去学习了Mysql蜜罐服务器的原理及流量分析的整个过程，并找了个开源项目简单进行二次开发以获取攻击者个人信息，详情请见：Mysql蜜罐：攻击者信息拿来吧你

今年5月份再度使用时，发现新版微信的配置文件不再包含用户的相关信息，然后想到自己今年也fw很久了，至今还没产出，于是有了本文……

0x02 MysqlHoneypot：

项目地址：https://github.com/qigpig/MysqlHoneypot

MysqlHoneypot是一个用于模拟MySQL服务器的蜜罐程序，至今已经有两年没有更新了。

漏洞利用原理：

MySQL中的load data local infile函数可以读取指定的本地文件内容，并将数据插入到数据库中。该函数通常用于快速、批量地将本地计算机上的数据文件存储到MySQL数据库中。这个函数默认是启用的，可以让客户端允许将本地文件加载到MySQL服务器中。

该项目客户端与服务端交互的过程：

1、模拟伪装成一个Mysql服务器，MySQL蜜罐接受连接请求，并向客户端发送握手信息，包括服务端的版本信息、认证方式等。

2、接着客户端将认证请求发送给服务端。

3、服务端忽略用户输入的用户名密码信息，直接返回认证成功的结果。

4、认证成功后，客户端向服务端发送 SET NAMES 命令，告知服务端使用的字符集类型，从从而在后续的交互过程中能够正确地进行字符编解码。

5、服务端回复Response TABULAR给客户端，指定要读取客户端的某个文件。

6、客户端返回读取文件的内容：

服务端可以在回复任何客户端的请求时返回Response TABULAR响应包，这样就可以在客户端登录成功后，发送Response TABULAR响应包，读取客户端的相关信息。

结合自己之前的使用经验，谈谈这个项目的不足之处：

只能获取微信id以及生成的二维码（早已无任何实际用处）

无论用户输入任意用户名密码都返回认证成功的结果，可信度低

前端Web页面缺少日志记录模块

0x03 二次开发：

之所以选择它是因为之前有读过它的代码，该有的模块基本都有，比如Basic认证、Web前端结果展示、docker等，基本能满足需求，最终实现了以下功能：

交互优化：模拟了错误口令的返回信息，当成功命中用户名密码时读取文件。

读取模块：由原来的微信配置文件改成Chrome的账号、历史记录文件。

捕获模块：对读取模块获取的文件使用正则匹配邮箱和电话，将所有结果展示在前端。

日志模块：记录连接IP、连接次数、连接时间等信息，结果展示在前端。

监控模块：实时更新今日24小时的连接次数及IP、历史连接次数、连接次数最多的10个IP。