CTF导航 CTF导航

HVV之制作扫描微信手机号的蜜罐诱饵

渗透技巧 3年前 (2021) admin
912 0 0

 



网安引领时代,弥天点亮未来   






 

HVV之制作扫描微信手机号的蜜罐诱饵

0x00具体操作


1.接着前面三篇:
(1).HVV之WIFI蜜罐反制红队
(2).HVV之是蜜罐又不是蜜罐
(3).HVV之利用Xdebug流量转发进行权限维持

2.一些蜜罐模板在搭建过程中,可能会在页面投放诱饵让人去下载,例如:
(1).深*服VPN蜜罐需要让攻击者去下载VPN客户端。
(2).一些政府网站,系统有那种u盘里面安装着uk什么,登录必须插u盘和下载控件,这种系统在一些政府内网特别多。

3.下面就是制作这些客户端和控件的一个小型demo。


4.打开Cheat Engine(简称CE)。

HVV之制作扫描微信手机号的蜜罐诱饵


5.然后点击打开进程,选择微信。

HVV之制作扫描微信手机号的蜜罐诱饵

HVV之制作扫描微信手机号的蜜罐诱饵


6.然后选择搜索字符串,填写自己的昵称首次新搜索,拉到最下面绿色部分,然后双击添加。

HVV之制作扫描微信手机号的蜜罐诱饵


7.点击地址部分,可以发现WeChatWin.dll+1D2975C=奥村燐,说人话简单概况就是dll的基址+偏移量等于昵称所在的内存地址,按照我的理解应该就是指针所在的地址保存着微信昵称。

HVV之制作扫描微信手机号的蜜罐诱饵


8.然后查看微信昵称地址相关的内存区域数据,可以发现当前登录微信的手机号码。

HVV之制作扫描微信手机号的蜜罐诱饵


9.然后扫描类型搜索字符串,然后也是首次新扫描,内容就是这个手机号,找到绿色部分然后双击添加。

HVV之制作扫描微信手机号的蜜罐诱饵


10.点击地址部分,可以发现WeChatWin.dll+1D29791=3456476***,也是dll的基址+偏移量等于手机号所在的内存地址。

HVV之制作扫描微信手机号的蜜罐诱饵


11.以上内容总结概况一下:
(1).昵称地址:WeChatWin.dll+1D2975C。
(2).手机号地址:WeChatWin.dll+1D29791。


12.WeChatWin.dll的地址为5F070000。

HVV之制作扫描微信手机号的蜜罐诱饵


13.然后用易语言实现demo就是根据dll基地址+偏移读取手机号和昵称。

HVV之制作扫描微信手机号的蜜罐诱饵


14.这个dll基址虽然本机重启程序不会变,但是换电脑之后dll基地址就变了。


15.所以代码需要修改成通过dll名称定位到这个基址。

HVV之制作扫描微信手机号的蜜罐诱饵


16.虽然获取的手机号只有10位,少了第一位,但是这并不影响结果,因为手机号第一位基本都是1,所以代码修改成这样就行了。

HVV之制作扫描微信手机号的蜜罐诱饵


17.作者简介:前QAX摸鱼划水小能手。

18.文章中案例用到的工具:关注公众号,暗号:”蜜罐溯源”





HVV之制作扫描微信手机号的蜜罐诱饵 

知识分享完了

喜欢别忘了关注我们哦~



学海浩茫,

予以风动,
必降弥天之润!


   弥  天

安全实验室

HVV之制作扫描微信手机号的蜜罐诱饵


原文始发于微信公众号(弥天安全实验室):HVV之制作扫描微信手机号的蜜罐诱饵

版权声明:admin 发表于 2021年10月9日 上午7:00。
转载请注明:HVV之制作扫描微信手机号的蜜罐诱饵 | CTF导航

相关文章

新一代Kerberos攻击 | 钻石票据与蓝宝石票据
admin
357
PHP代码执行-PNG注入
admin
721
thinkphp RCE
admin
816
检测涉及CVE-2021-44228影响产品
admin
768
Cobaltstrike狩猎与对抗
admin
681
每周云安全资讯-2023年第14周
admin
250

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

EvilGophish’s Approach to Advanced Bot Detection with Cloudflare Turnstile
0
CreateRCE — Yet Another Vulnerability in CreateUri
0
BGPWatch — BGP路由分析和诊断平台
0
进程命令行参数欺骗
0
内容劫持 | Electron 安全
0
凭据获取之浏览器
0
实战环境中的Redis 延时注入
0
每日安全动态推送(4-18)
0
漏洞挖掘 | DreamerCMS RCE (CVE-2024-3311)
0
Weblogic RCE(CVE-2024-21006)
0