2.一些蜜罐模板在搭建过程中,可能会在页面投放诱饵让人去下载,例如:
(1).深*服VPN蜜罐需要让攻击者去下载VPN客户端。
(2).一些政府网站,系统有那种u盘里面安装着uk什么,登录必须插u盘和下载控件,这种系统在一些政府内网特别多。
3.下面就是制作这些客户端和控件的一个小型demo。
6.然后选择搜索字符串,填写自己的昵称首次新搜索,拉到最下面绿色部分,然后双击添加。
7.点击地址部分,可以发现WeChatWin.dll+1D2975C=奥村燐,说人话简单概况就是dll的基址+偏移量等于昵称所在的内存地址,按照我的理解应该就是指针所在的地址保存着微信昵称。
8.然后查看微信昵称地址相关的内存区域数据,可以发现当前登录微信的手机号码。
9.然后扫描类型搜索字符串,然后也是首次新扫描,内容就是这个手机号,找到绿色部分然后双击添加。
10.点击地址部分,可以发现WeChatWin.dll+1D29791=3456476***,也是dll的基址+偏移量等于手机号所在的内存地址。
(1).昵称地址:WeChatWin.dll+1D2975C。
(2).手机号地址:WeChatWin.dll+1D29791。
12.WeChatWin.dll的地址为5F070000。
13.然后用易语言实现demo就是根据dll基地址+偏移读取手机号和昵称。
14.这个dll基址虽然本机重启程序不会变,但是换电脑之后dll基地址就变了。
15.所以代码需要修改成通过dll名称定位到这个基址。
16.虽然获取的手机号只有10位,少了第一位,但是这并不影响结果,因为手机号第一位基本都是1,所以代码修改成这样就行了。
18.文章中案例用到的工具:关注公众号,暗号:”蜜罐溯源”
原文始发于微信公众号(弥天安全实验室):HVV之制作扫描微信手机号的蜜罐诱饵