MySQL反制技术

最新推荐文章于 2025-04-08 17:48:45 发布
最新推荐文章于 2025-04-08 17:48:45 发布
阅读量484 收藏 1
点赞数
分类专栏: 红蓝对抗 文章标签: 网络 安全 网络安全 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Liuzixuan0207/article/details/131426354
版权
文章介绍了如何通过MySQL的LOADDATALOCAL命令构建蜜罐系统,以读取客户端的文件,如CobaltStrike的.aggressor.prop文件和微信配置文件,强调了这一功能在安全防护和攻击检测中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

MySQL服务端可以利用LOAD DATA LOCAL命令来读取MYSQL客户端的任意文件,然后伪造恶意服务器向连接到这个服务器的客户端发送读取文件的payload。 Load data infile是MySQL的一个高效导入数据的方法,它的速度非常快。是MySQL里一款强大的数据导入工具。网上有很多文章分析,mysql蜜罐反制是可以读取到本地的任意文件的,比如:微信id、Chrome历史记录等。

测试使用的版本为12

使用GitHub - ev0A/Mysqlist: Mysql Server端伪造-任意文件读取-CTF快速利用脚本 快速搭建mysql蜜罐

红队人员使用navicat进行连接时会读取攻击机上的指定文件

第一次连接 访问的是 C:/Windows/PFRO.log

反制CS

第二次连接 访问到的是 C:/Users/Administrator/.aggressor.prop

cobalt strike在启动时,用户端会默认生成一个隐藏的文件:.aggressor.prop,这个文件会在当前用户目录下:

比如当前的用户是Administrator,那目录就是:

C:\Users\Administrator\.aggressor.prop

.aggressor.prop文件里面详细记录了cs连接的账号、密码、端口、插件地址等。

查询微信ID
C:/Users/S/Documents/WeChat Files/All Users/config/config.data
C:/Users/S/Documents/WeChat Files/wxid_qjdthxjopyam22/config/AccInfo.dat

mysql直连也可以


 

Mysql蜜罐读取电脑配置文件
渗透测试研究中心
08-25 641
关于Mysql蜜罐的具体技术细节,网上文章介绍的太多了,大家可以自己从网上搜索文章,我写一个简介吧:mysql中有一个load data local infile函数能够读取本地文件到mysql数据库中。当攻击者用爆破mysql密码的扫描器扫描到我们的mysql并连接上的时候(注,这里我纠正一下,只要连接一下蜜罐mysql,就可以被蜜罐读取到本地配置文件,不需要提供正确的用户名密码),客户端(攻......
142-溯源反制MySQL蜜罐研究.pdf
09-20
142-溯源反制MySQL蜜罐研究.pdf
溯源反制MySQL蜜罐研究
Java0258的博客
01-07 2248
前言 前不久,零队发了一篇《MySQL蜜罐获取攻击者微信ID》的文章,文章讲述了如何通过load data local infile进行攻击者微信ID的抓取,学习的过程中发现虽然问题是一个比较老的问题,但是扩展出来的很多知识都比较有意思,记录一下。 分析过程 LOAD DATA INFILE 在MySQL中LOAD DATA INFILE语句以非常高的速度从文本文件中读取行到表中,基本语法如下: load data [low_priority] [local] infile 'file_na.
MySQL蜜罐反制获取攻击者信息
最新发布
A1_3_9_7的博客
04-08 819
蜜罐是对攻击者的欺骗技术用以监视、检测、分析和溯源攻击行为其没有业务上的用途所有流入/流出蜜罐的流量都预示着扫描或者攻击行为;因此可以比较好的聚焦于攻击流量。MySQL蜜罐通过搭建一个简单的MySQ服务如果攻击者对目标进行3306端口爆破并且用navicat等工具连接MySQL蜜罐服务器就可能被防守方获取攻击IP、读取本地文件包括微信配置文件和谷歌历史记录等等3,这个功能默认是关闭查看是否开启#开启4,尝试读取本地C盘Windows目录下的win.ini。
MYSQL蜜罐反制 已测试
qq_42430287的博客
12-04 994
MYSQL蜜罐反制 已测试
你不会还不知道?MySQL蜜罐反制获取攻击者信息
logic1001的博客
04-11 1764
蜜罐是对攻击者的欺骗技术用以监视、检测、分析和溯源攻击行为其没有业务上的用途所有流入/流出蜜罐的流量都预示着扫描或者攻击行为;因此可以比较好的聚焦于攻击流量。MySQL蜜罐通过搭建一个简单的MySQ服务如果攻击者对目标进行3306端口爆破并且用navicat等工具连接MySQL蜜罐服务器就可能被防守方获取攻击IP、读取本地文件包括微信配置文件和谷歌历史记录等等3,这个功能默认是关闭查看是否开启#开启4,尝试读取本地C盘Windows目录下的win.ini。
初探Mysql反向读取文件
Jinmindong
02-18 807
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
mysql反制学习,会伪造正常数据库连接返回.zip
02-22
MySQL反制技术是一种网络安全策略,主要用于防御SQL注入攻击和其他恶意数据库操作。在“mysql反制学习,会伪造正常数据库连接返回”的主题中,我们将深入探讨如何利用这种技术来保护数据库系统,以及它如何影响正常...
【毕业设计】基于Python的反爬虫技术的研究系统源码(完整前后端+mysql+说明文档+LW+PPT).zip
02-26
然而,随着爬虫技术的滥用,被爬网站面临着数据泄露、服务器过载等风险,反爬虫技术应运而生,成为保护网站数据安全的重要手段。本研究项目以Python语言为基础,深入分析和设计了一套反爬虫系统,并提供了完整的前后...
MySQL反激活秘籍】:揭秘反激活的幕后黑手,一招制敌,彻底解决
MySQL反激活是一种技术,允许用户绕过MySQL软件的激活机制,从而在未经授权的情况下使用该软件。反激活通常涉及破解激活码生成算法或修改激活状态的存储值。 反激活MySQL软件的主要目的是为了避免支付软件许可费用...
MysqlT:伪造Myslq服务端,并利用Mysql逻辑漏洞来获取客户端的任意文件反击攻击者
05-04
MysqlT 404StarLink 2.0 - Galaxy MysqlT 是 404Team 中的一环,如果对MysqlT有任何疑问又或是想要找小伙伴交流,可以参考星链计划的加群方式。 伪造Myslq服务端,并利用Mysql逻辑漏洞来获取客户端的任意文件反击攻击者 当你需要将本地文件上传到服务器时,没有合适的上传器时,也可以使用本软件,小巧玲珑 该程序利用了Mysql客户端LoadData的逻辑漏洞 与其它软件不同,本软件支持大文件无损传输 支持用户验证 支持自定义Mysql版本 随机的Salt加密,加上用户验证,让攻击者毫无察觉 Net文件夹是.NET程序只能运行在Windows NetCore文件夹是.NET CORE程序可以运行在 Windows,Linux,MAC 使用教程: 首次使用请在程序中输入Mysql Help,来查看帮助命令 你可以在程序根目录中的User.data文
Mysql蜜罐使用
Fly_鹏程万里
05-04 2014
文章前言 本篇文章我们主要介绍如何通过搭建一个Fake Mysql来伪装Mysql服务器并诱导攻击者来连接,之后利用漏洞来读取攻击者电脑的文件以进行对攻击者进行刻画肖像 获取思路 下面我们介绍一下读取手机号和微信ID的正常方法,分为以下三个步骤: 通过C:/Windows/PFRO.log获取windows用户名 通过C:/Users/用户名/Documents/WeChat Files/All Users/config/config.data获取wxid 通过C:/Users/用户名/Do..
MySQL蜜罐获取攻击者微信ID
Java0258的博客
01-06 618
前言 前些日子有人问到我溯源反制方面的问题,我就想到了MySQL任意文件读取这个洞,假设你在内网发现或扫到了一些MySQL的弱口令,你会去连吗? 原理 MySQL中 load data local infile '/etc/passwd' into table test fields terminated by '\n'; 语句可以读取客户端本地文件并插进表中,那么我们可以伪造一个恶意的服务器,向连接服务器的客户端发送读取文件的payload。这个技术并不新鲜,但是合理利用就能起到一些不错的成果。
内网渗透神器CobaltStrike之CNA脚本编写(十二)
xf555er的博客
08-21 1494
你可以使用sub关键字来定义函数,如下代码所示, 在command定义中,$1表示第一个参数;command关键字用于定义一个新的命令,当你aggressor命令行输入MyAdd加参数,命令的代码就会被执行sub add {$x = $1;$ y = $2;
【问题】cs相关问题
x1a0he1的博客
03-28 281
1、cs打开速度慢——挂代理 2、cs中文乱码: 修改 用户文件夹/.aggressor.prop,在最后一行加入client.font.font=Microsoft-YaHei-UI 10
cobalt strike 连接后缓存文件删除
qq_58463518的博客
01-19 5406
搜索该文件 .aggressor.prop 删除即可
关于一些普通反制方式的分析与补充
Shanfenglan's blog
03-31 1123
1. RDPInception反制远程桌面攻击(可尝试) 这个利用的大概流程是这样的: A机器:未控制,目标机器。 B机器:已控制,开放3389连接。 目标:希望通过A连接B的3389端口对其实施控制。 步骤: 1.A客户端RDP连接B时共享本地资源C盘给B。 2.B将恶意脚本复制到A的开机启动项文件夹下 3.A重启后即可上线 一般情况下没有人会共享自己的C盘,所以此种反制方法没有配置必要,实现条件太过苛刻。 参考脚本:https://github.com/mdsecactivebreach/RDPInce
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值