首页
论坛
课程
招聘
[原创]企业wx数据之初探秘
2020-4-2 17:53 13707

[原创]企业wx数据之初探秘

2020-4-2 17:53
13707

前面看多了大家分析个人wx数据的相关信息。

想起来看看企业wx的是否可以同样搞搞。

1、于是思路简单些,先在od里面搜索database字符串,看是否有发现

果然发现一处

,再看此处的汇编,发现是这样的

2、看起来很像是打开数据库的地方,寻着此处往上在函数顶下断。

然后,运行,扫码登录,在断下后,单步运行。

发现堆栈中有数据库的路径


3、继续往下跟,发现一处有路径用到的地方

ecx数据是这样

4.继续单步往下,运行完后,eax里面是这样

点进去去看后看起来像个结构体

很像存放了数据库句柄的。

5.继续一路往下,直到要跳过

Open database failed. 字符串处。发现比较了cmp dword ptr ds:[edi+0x4],0x0,可能在edi+0x4里面存了句柄之类,edi+0x4里面的内容

和上面的eax一样

jmp后,此函数基本结束。

6.F9后,会再次断下在此call,不过是个新的数据库路径

观察刚才疑似密钥处,发现

这个密钥似乎是16位的,而个人版的是32位的。

7.取了这个密钥用个人版本的解密代码稍作修改后尝试。

果然解密成功。是sqlit的数据库

解密的是user.db,不过可惜,这个数据需要链接密码才可以使用,不能直接查看

8.本来想解密直接看看数据库的用户好友信息,看来失败告终。

9.查看用户数据目录下面,发现它的有些log表是没有加密的,可以直接打开,也不要解密。

至此,数据库研究告一段落。

企业wx逆向难度比较大,比个人版的大很多。有兴趣的小伙伴可以搞搞。也可以一起交流下。目前我还在研究中



[注意] 欢迎加入看雪团队!base上海,招聘安全工程师、逆向工程师多个坑位等你投递!

最后于 2021-10-15 11:07 被zzg令狐编辑 ,原因:
收藏
点赞1
打赏
分享
最新回复 (19)
雪    币: 424
活跃值: 活跃值 (221)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
starrysky 活跃值 2020-4-2 21:09
2
0
学习了
雪    币: 677
活跃值: 活跃值 (705)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
evilbeast 活跃值 2020-4-3 02:03
3
1


还好, 不是太复杂


雪    币: 186
活跃值: 活跃值 (295)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
zzg令狐 活跃值 2020-4-3 13:16
4
0
不知道有没有办法可以跟到它的链接密码的,那样就可以打开直接看看里面内部了
雪    币: 17
活跃值: 活跃值 (185)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
如此美丽。 活跃值 2020-6-23 16:49
5
0
... 你这个user.db 根本就没解出来
雪    币: 186
活跃值: 活跃值 (295)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
zzg令狐 活跃值 2020-7-16 18:18
6
0
如此美丽。 ... 你这个user.db 根本就没解出来
是解密方法不对,密钥是对了
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
fmacro 活跃值 2020-7-27 10:31
7
0
你这根本没解出来,文件头是SQLite format 3 就说明你这个文件是解密出来了? 那怕是C++那段代码里给你拼上去的吧
雪    币: 17
活跃值: 活跃值 (185)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
如此美丽。 活跃值 2020-8-12 17:00
8
1
zzg令狐 是解密方法不对,密钥是对了
小哥哥 你都把我给整笑了
我们先不讲 PC微信是cbc256  企业微信是cbc128   企业微信是每页(pagesize = 4096) 根据index page重新生成iv和key 都不一样好哇
我们再说服务器下发的userkey -> db decrypt key的计算方式也完全不一样
雪    币: 282
活跃值: 活跃值 (97)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mayk 活跃值 2020-9-2 01:39
9
0
16位解密key 好获取的,     问题是 正确的解密算法 写不出来
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
yinhanlei 活跃值 2020-9-22 10:20
10
0
请问,Android手机企业微信的数据库秘钥怎么去获取?
雪    币: 2010
活跃值: 活跃值 (941)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
KongKong20 活跃值 2021-4-13 20:06
11
1
zzg令狐 不知道有没有办法可以跟到它的链接密码的,那样就可以打开直接看看里面内部了

算法不一样的

最后于 2021-4-23 09:44 被KongKong20编辑 ,原因:
雪    币: 6
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_vtjhzqrz 活跃值 2021-4-17 10:11
12
0
evilbeast 还好, 不是太复杂
能不能发你的dome给我看看,方便不
雪    币: 186
活跃值: 活跃值 (295)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
zzg令狐 活跃值 2021-5-21 19:27
13
0
经过努力,换了思路,终于把它解密了
雪    币: 44
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_uvjkcwpj 活跃值 2021-6-30 10:13
14
0
zzg令狐 经过努力,换了思路,终于把它解密了
厉害哦,大佬分享下思路哇
雪    币: 186
活跃值: 活跃值 (295)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
zzg令狐 活跃值 2021-7-6 19:29
15
0
mb_uvjkcwpj 厉害哦,大佬分享下思路哇[em_13]

先把sqlite的几个关键call找出来,然后调用这个几个函数,操作下就可以解密了呀

最后于 2021-10-15 11:04 被zzg令狐编辑 ,原因:
雪    币: 997
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
dumBball 活跃值 2021-8-11 16:41
16
0
大佬研究过Android版的企业微信数据库破解嘛? 有什么思路?
雪    币: 997
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
dumBball 活跃值 2021-8-11 16:42
17
0

大佬这个问题解决了嘛

最后于 2021-8-11 16:43 被dumBball编辑 ,原因:
雪    币: 183
活跃值: 活跃值 (74)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
逢君25 活跃值 2021-8-20 15:11
18
0


企业微信数据库终于解密了

最后于 2021-8-23 19:00 被逢君25编辑 ,原因:
雪    币: 220
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_kgtmalfe 活跃值 2021-10-14 09:59
19
0
逢君25 企业微信数据库终于解密了

白嫖下

最后于 2021-10-14 11:35 被mb_kgtmalfe编辑 ,原因:
雪    币: 668
活跃值: 活跃值 (166)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
瀚海云烟 活跃值 1 2021-10-14 11:04
20
0

减少法律风险,还是删了

最后于 2021-10-14 11:21 被瀚海云烟编辑 ,原因:
游客
登录 | 注册 方可回帖
返回