声明: 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
通过钓鱼 / 渗透 / XX 方式控制了目标的电脑权限,如何才能获取到更有价值的信息,更好的开展下一步工作呢所以想水一篇文章:关于 WX 个人信息与聊天记录的取证工作
利用场景:
钓鱼攻击 (通过钓鱼控到的机器通常都是登录状态,可诱骗登录)
渗透到运维机器 (有些运维机器会日常登录自己的微信,可蹲)
某些工作需要取证 (数据库需要拷贝到本地慢慢弄)
自行备份 (日常备份自己留存)
此次测试我用的cobaltstrike获取的权限
目录下启动:
- ./teamserver 192.168.133.128 123456
在内网渗透中 一般我的习惯是先打一台PC机,当通过某种手段拿下PC机后进行信息收集大概是可以用到,另一种是获取了登录账号密码,没有远程 也可以通过smb将文件传回本地进行信息收集,场景很多,根据具体情况而定。文章不知道会不会和谐,且看且珍惜。
下面就手把手教大伙如何获取目标的聊天记录~~
目标上线后可以通过VNC、截图、tasklist等多种手段来确认微信是否开启
获取key
使用工具 获取微信key,直接执行即可获取:进程 ID / 当前版本 / 昵称 / 账号 / 手机号码 / 邮箱 / 数据库密钥
获取key后通过脚本进行解密(脚本文件会放在QQ频道)
首先要知道:微信默认安装路径为:C:\Users\xxxx\Documents\WeChat Files\xxxx\Msg\Multi 一般都在文档目录下,作为存储目录,一般在:C:\Users\xxxx\Documents\WeChat Files\xxxx\Msg\Multi下载对应的聊天记录文件到本地,关于聊天记录文件:MSG.db,超出 240MB 会自动生成 MSG1.db,以此类推,ps:所以安装一般不要安转在默认目录。
解密数据库
python3 .\Decode.py -k 数据库密钥 -d .\MSG0.db
解密成功查询聊天记录
查找敏感信息
将解密后的 MSG0.db 拖入数据库工具,查询语句查找关键字:
包含个人消息、群消息等等,或者直接用数据库工具的界面化查找
使用navicat连接db文件,也可以使用db browser查询
后记:以“做实战,分享实战”为核心,分享更多实战案例,为渗透测试初学者增加实战思路与技巧。
|