攻防演练之蜜罐获取个人信息方式研究

前言 随着攻防演练的不断开展，为了更好的进行溯源，很多企业都使用了蜜罐技术。蜜罐是一种欺骗的技术，能够详细记录攻击者的攻击步骤，消耗攻击者的精力，并且可能获取到攻击者的个人信息。 一直都很奇怪蜜罐是如何获取到个人的敏感信息的，因此找了一些商业和开源的蜜罐，看他们是通过什么方式来收集个人信息的。 我们知道蜜罐可以模拟各种服务，如web服务，mysql服务，redis服务等等。在测试过程中发现，蜜罐主要是通过web蜜罐和mysql蜜罐来获取个人信息。 web站点蜜罐 web蜜罐收集个人信息使用的技术主要有两种，分别是JSONP劫持和XSS。 JSONP劫持获取敏感信息 JSONP是JSON with padding（填充式JSON或参数式JSON），是一种为了跨域获取资源而产生的一种技术手段。这是一种非官方的协议。 JSONP实现跨域的原理 同源策略限制了不同源的站点通过ajax获取信息，但是web页面调用js文件则不受跨域的影响并且凡是拥有src属性的标签都可以跨域请求，如script,img等标签。JSONP正是利用这种原理去实现了跨域请求。 JSONP劫持 从JSONP的原理中可以看出这种方式实现了数据的跨域访问，如果网站B对网站A的JSONP请求没有进行安全检查直接返回数据，则网站B 便存在JSONP 漏洞，网站A 利用JSONP漏洞能够获取用户在网站B上的数据。 这种漏洞与CSRF非常相似，只不过CSRF只是发送数据去达到一定的目的，而JSONP劫持是为了获取返回的敏感数据。 实际利用 访问蜜罐，会发现它发出了很多的数据包去请求不同的网站的接口，其中一个如下： 如果你处于登录的状态，那么看看你可以获取到的信息 上面就是通过JSONP的去获取个人信息的方式。首先找到一个网站中的JSONP接口返回了敏感信息，将该接口放到自己蜜罐网站中，等待攻击者点击，如果攻击者点击以后，并且其登录该网站，则可以获取到该网站的敏感信息。 XSS漏洞获取敏感信息 同样，如果目标网站存在XSS漏洞，也可以被利用获取敏感信息。将存在xss的url放入蜜罐web页面中，攻击者点击以后就会自动去请求存在xss漏洞的网址，从而触发xss漏洞，获取用户的敏感信息。这种方式与我们平常使用xss漏洞很相似，这里不在多说。 目前，很多企业外部都有waf进行防护，因此xss漏洞利用就会很困难，这种方式用的比较少。 mysql蜜罐 mysql有一个功能是可以读取本地的文件存储到数据库中，该函数是local data local infile。mysql蜜罐获取个人敏感信息也是通过这种特性完成的。 local data local infile函数用于高速地从一个文本中读取，并写入一个表中。文件名称必须为一个文字字符串。Local data infile是select…into outfile地相对语句。把表的数据备份到文件中使用select…into outfile，从备份文件回复表数据，使用load data infile。 这个功能默认关闭，查看是否开启： show global variables like 'local_infile';set global local_infile=1; #开启 原理 mysql客户端向Server发起查询后，Server会返回一个Response TABULAR的响应包。而如果在这个数据包中指定文件路径，就可以读取Client相应的文件。实际上Server可以在回复任何Client端的请求时返回Response TABULAR响应包，而不仅仅是在Client发起Load data local infile后。 根据mysql的这种机制，当攻击者访问mysql蜜罐时，我们可以发送一个包含文件路径的响应包去读取客户端的文件。 利用 读取微信号 win系统下，读取手机号和微信ID的方法（默认常见微信文件路径） 我们可以下面的步骤来获取用户的微信号 1）通过C:/Windows/PFRO.log获取windows用户名 2）通过C:/Users/用户名/Documents/WeChat Files/All Users/config/config.data获取wxid 3）通过C:/Users/用户名/Documents/WeChat Files/wx_id/config/AccInfo.dat获取微信号、手机号 读取chrome的登录数据 读取chrome的login data，虽然无法解密出密码，但是还是可以获取到对方的一些账号 C:/Users/' + username + '/AppData/Local/Google/Chrome/User Data/Default/Login Data chrome的历史记录 我们还可以读取chrome的历史记录 C:/Users/' + username + '/AppData/Local/Google/Chrome/User Data/Default/History 应用 开源蜜罐系统hfish中的mysql蜜罐就利用了这种方式来获取攻击者的文件，如下首先在蜜罐中设置要读取的文件。 然后，攻击者访问该蜜罐时，可以读取到配置的文件 总结 蜜罐获取个人信息使用的一般是上面两种方式，灵活的运用蜜罐可以帮助我们溯源到攻击者。 由于本人水平有限，文章中可能会出现一些错误，欢迎各位大佬指正，感激不尽。如果有什么好的想法也欢迎交流，谢谢大家了~~ 文章来源：freebuf 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END