【蓝队利器】溯源反制之Mysql蜜罐

文章来源：台下言书

很快又是各种攻防演练了，每到这个时候，本公众号都会给红蓝双方的小伙伴们放送一点福利。虽然本号内容更新比较佛系，但是还是感谢诸位一直的关注。

该蜜罐为mysql蜜罐，即在你的服务器上模拟一个mysql服务出来。

当攻击者对你的服务器进行3306端口的弱口令扫描的时候，是一定会扫出一个“弱口令”的。大部分的攻击者会想着进一步获取敏感信息而去使用navicat等客户端去连接扫出来的“弱口令”。

当攻击者使用navicat尝试连接“数据库”时候，攻击者的微信就有可能被蜜罐捕获到。

这里有个前提，攻击者的操作系统为windows，且系统上装有电脑版微信（以前登过就行，不一定当时要登着）。这两个条件还是很容易满足的，之前做了个小调查，使用windows的还是主流，且能够做到渗透环境与办公环境分离的更是很少。

该蜜罐有Windows和Linux两个版本，均为开箱即用版。

windows版的只需要放到服务器上，双击打开即可。

Linux版的只需要放到服务器上，给主程序一个执行权限然后运行即可。

注意：要先确保服务器的3306端口未被占用，且该端口能被外部访问到。

作者公众号后台回复“mysql蜜罐”，获取下载链接。

利用mysql反制的手段在之前就有人分析并发过文章了，本文主要发布一款工具，不展开讲了，可参考：

溯源反制之MySQL蜜罐研究

MySQL蜜罐获取攻击者微信ID