我的位置 威胁预警  >  恶意代码公告

利用MYSQL任意文件读取制作蜜罐

来源:第59号 时间:2021-06-11 阅读次数:

 

环境搭建

受害机:Windows 10 x64

攻击机:Kali 2020.4

Python2.7/3.5+

 

利用介绍

如果phpmyadmin开启了如下选项:

$cfg['AllowArbitraryServer'] = true;

则登录时就可以访问远程的服务器。当登陆一个恶意构造的Mysql服务器时,即可利用load data infile读取该服务器上的任意文件。当然前提条件是secure_file_priv参数允许的目录下,且phpmyadmin的用户对该文件有读的权限。

 

利用操作

下载可以伪造mysql服务的python脚本

https://github.com/allyshka/Rogue-MySql-Server

由于受害机为Windows,所以修改相应读取的文件,修改完成后运行脚本,启动伪造mysql服务。

受害机使用nmap扫描可以扫描出mysql服务

受害机使用超级弱口令工具进行爆破

受害者尝试使用navicat连接数据库

此时在攻击机的基本目录下已经生成了mysql.log文件,读取到的受害者的文件内容就保存在其中。

 

其它利用思路

MySQL蜜罐获取攻击者微信ID

https://github.com/qigpig/MysqlHoneypot

将利用代码克隆到本地

使用docker-compose up -d命令运行

运行成功后浏览器访问http://ip:5000/,使用默认密码admin/gu+gugu登录,此时无任何数据。

使用navicat连接该ip的3306端口后刷新,即可获取攻击者的wxid和二维码。

 

 

原文来源:第59号

8条评论