登陆成功后通过sql命令识别
在mysql 5.6及以上,mysql引入了sys库。更多详情:https://www.t00ls.net/thread-54783-1-1.html查看重要的数据库以及表
# 统计所有访问过的表次数:库名,表名,访问次数
select table_schema,table_name,sum(io_read_requests+io_write_requests) io from sys.schema_table_statistics group by table_schema,table_name order by io desc;
通过上述命令,我们可以判断目标数据库经常被访问的库或者表是哪一个,来判断是真实应用访问的还是蜜罐模拟的。
查看当前正在登录的用户
# 查看所有正在连接的用户详细信息:连接的用户(连接的用户名,连接的ip),当前库,用户状态(Sleep就是空闲),现在在执行的sql语句,上一次执行的sql语句,已经建立连接的时间(秒)
SELECT user,db,command,current_statement,last_statement,time FROM sys.session;
通过这条命令我们可以判断目标数据库正在被哪些内网/外网地址访问,以及正在执行的sql语句,在蜜罐中很少有别的IP访问,一般是蜜罐主控或者本机。