之前写过一系列微信数据库的文章,包括找句柄、获取数据库密钥、调用sqlite3_exec
查询、备份、解密等。但是一直不知道怎么直接操作加密的库,近来发现腾讯开源了WCDB(https://github.com/Tencent/wcdb),几个平台的微信数据库都是以这个作为底层,Windows微信也不例外,遂拉代码,编译,记录下打开数据库后执行的一系列PRAGMA
命令,再使用普通的sqlcipher
执行相似操作,也可以打开。
035036eb02f68c2978ae18693427cd0f786df93e
分支。69036dffe50f385bd3b7b187e3fd230f4b2ef97e
分支。openssl
的二进制文件,所以这里不需要拉取源码。Release
,然后右键ALL_BUILD
,构建完成后可以在build\Relese
中找到生成的WCDB.dll
、WCDB.lib
和其他静态库。WCDB
项目中的附加包含目录拷贝到自己的项目中,这样就不会缺头文件,然后还需要链接WCDB.lib
。tableExists
。#include<iostream>
#include<string>
#include<WCDBCpp.h>static std::string bytesFromHex(const std::string& _Src) {
std::string _Out;
for (unsigned int i = 0; i < _Src.length(); i += 2) {
_Out.push_back(std::stoi(_Src.substr(i, 2), 0, 16));
}
return _Out;
}int main() {
int rc = 0;
// 这个key是微信服务器下发的,请想办法获取自己的key
std::string szDbKey = "0C1ADFFBE53345BAA59C748B7660EAC8542AD78C64FC422F9B278E5336EE3EB0";
std::string binDbKey = bytesFromHex(szDbKey);
WCDB::UnsafeData usDbKey((unsigned char*)binDbKey.data(), binDbKey.size());
std::string szDbPath = R"(D:\CPLUSPLUS\wcdb_test\MicroMsg.db)";
WCDB::Database database(szDbPath);
// pc端使用的pagesize是4096字节
database.setCipherKey(usDbKey, 4096, WCDB::Database::Version3);
if (!database.canOpen() || !database.isOpened())
goto wrapup;
std::cout << database.tableExists("Contact").value() << std::endl;
wrapup:
database.close();
return 0;
}
PRAGMA wal_autocheckpoint = 0
;PRAGMA checkpoint_fullfsync = true
;PRAGMA temp_store = 1;
PRAGMA journal_mode = "WAL";
database.setCipherKey
PRAGMA cipher_compatibility = 3;
PRAGMA cipher_page_size = 4096;
1、第四步会出现错误信息,因为此时还无法操作数据库。
2、第五步可以使用腾讯提供的sqlcipher
中的sqlite3_key_v2
函数代替,使用同样的key。原生sqlcipher
暂不知是否有效。
3、第五步可以用PRAGMA key = "x'...'";
,但是不能直接使用setCipherKey
函数所使用的key,需要经过一些转换,这个后面会提及。
sqlcipher
是编译WCDB
时生成的静态库,如果要做尝试,您还需要配置openssl
。以下是一个demo:// 需要在预处理器中添加下面两个宏
// SQLITE_WCDB
// SQLITE_HAS_CODEC
#include<iostream>
#include<string>
#include<sqlcipher/sqlite3.h>
#include<sqlcipher/sqlite3_wcdb.h>static std::string bytesFromHex(const std::string& _Src) {
std::string _Out;
for (unsigned int i = 0; i < _Src.length(); i += 2) {
_Out.push_back(std::stoi(_Src.substr(i, 2), 0, 16));
}
return _Out;
}static int callback(void* notUsed, int argc, char** argv, char** azColName)
{
for (int i = 0; i < argc; i++)
std::cout << azColName[i] << ":" << (argv[i] ? argv[i] : "NULL") << "\t";
std::cout << std::endl;
return 0;
}int main() {
int rc = 0;
std::string szDbKey = "0C1ADFFBE53345BAA59C748B7660EAC8542AD78C64FC422F9B278E5336EE3EB0";
std::string binDbKey = bytesFromHex(szDbKey);
std::string szDbPath = R"(D:\CPLUSPLUS\wcdb_test\MicroMsg.db)";
sqlite3* db = nullptr;
char* errmsg = nullptr;
char* zKey = nullptr;
int nKey = 0;
int index = 0;
rc = sqlite3_open_v2(szDbPath.c_str(), &db, SQLITE_OPEN_READWRITE | SQLITE_OPEN_CREATE | SQLITE_OPEN_MAINDB_READONLY, 0);
if (rc != SQLITE_OK) {
std::cout << "打开或创建数据库失败" << std::endl;
goto wrapup;
}
rc = sqlite3_exec(db, R"(PRAGMA wal_autocheckpoint = 0;)", nullptr, nullptr, &errmsg);
std::cout << rc << std::endl;
rc = sqlite3_exec(db, R"(PRAGMA checkpoint_fullfsync = true;)", nullptr, nullptr, &errmsg);
std::cout << rc << std::endl;
rc = sqlite3_exec(db, R"(PRAGMA temp_store = 1;)", nullptr, nullptr, &errmsg);
std::cout << rc << std::endl;
// sqlite3_key和sqlite3_key_v2都有效
rc = sqlite3_key(db, binDbKey.c_str(), (int)binDbKey.size());
std::cout << rc << std::endl;rc = sqlite3_exec(db, R"(PRAGMA cipher_compatibility = 3;)", nullptr, nullptr, &errmsg);
std::cout << rc << std::endl;
rc = sqlite3_exec(db, R"(PRAGMA cipher_page_size = 4096;)", nullptr, nullptr, &errmsg);
std::cout << rc << std::endl;
// 因为我知道这一步在前面会出错所以放到后面了
rc = sqlite3_exec(db, R"(PRAGMA journal_mode = "WAL";)", nullptr, nullptr, &errmsg);
std::cout << rc << std::endl;
// 这一步的`binary`我随便写的,不知道该写什么
index = sqlcipher_find_db_index(db, "binary");
// 这里的index只要是0就会有返回
sqlite3CodecGetKey(db, index, (void**)&zKey, &nKey);
rc = sqlite3_exec(db, "SELECT COUNT(*) FROM Contact;", callback, NULL, &errmsg);
if (rc != SQLITE_OK) {
std::cout << "SQL语句执行时发生错误: " << errmsg << std::endl;
goto wrapup;
}
wrapup:
rc = sqlite3_close(db);
std::cout << rc << std::endl;
return 0;
}
sqlite3CodecGetKey
函数,这个函数,我开始以为它会返回设置的密钥,但是却得到了一个长度为96的hex字符串,这里就很迷惑了,在迷惑的时候我尝试把那个字符串作为key并使用PRAGMA
命令输入,发现可以成功打开数据库,接下来就是找到key的生成,并验证普通的sqlcipher
能否使用上述流程打开数据库。python setup.py build_amalgamation
报错,可以修改setup.py
中的quote_argument
函数,实际上是宏定义的问题。def quote_argument(arg):
# quote = '"' if sys.platform != 'win32' else '\\"'
quote = '"' if sys.platform != 'win32' else '"'
return quote + arg + quote
from pysqlcipher3 import dbapi2
报错_sqlite3
找不到指定的模块,解决方案是拷贝libcrypto-1_1-x64.dll
到pysqlcipher3
安装目录。import hashlib
from pysqlcipher3 import dbapi2 as sqlite3KEY_SIZE = 32
SALT_SIZE = 16
DEFAULT_PAGESIZE = 4096
DEFAULT_ITER = 64000def make_cipher_key(db_path, password):
f = open(db_path, "rb")
mac_salt = f.read(SALT_SIZE)
f.close()
rawKey = bytes.fromhex(password)
mac_key = hashlib.pbkdf2_hmac('sha1', rawKey, mac_salt, DEFAULT_ITER, KEY_SIZE)
return (mac_key + mac_salt).hex()def open_wcdb(db_path, password):
# 扩展出真实的密钥
realKey = make_cipher_key(db_path, password)
_db = sqlite3.connect(db_path)
_db.execute("PRAGMA wal_autocheckpoint = 0;")
_db.execute("PRAGMA checkpoint_fullfsync = true;")
_db.execute("PRAGMA temp_store = 1;")
_db.execute("PRAGMA key = \"x'{}'\";".format(realKey))
# 这两步操作必须在set database key之后
_db.execute("PRAGMA cipher_compatibility = 3;")
_db.execute("PRAGMA cipher_page_size = 4096;")
_db.execute("PRAGMA journal_mode = \"WAL\";")
return _dbif __name__ == "__main__":
file_path = r"D:\MicroMsg.db"
# 这个是微信服务器下发的key
key = "0C1ADFFBE53345BAA59C748B7660EAC8542AD78C64FC422F9B278E5336EE3EB0"
db = open_wcdb(file_path, key)
result = db.execute("SELECT userName FROM Contact limit 100;").fetchall()
print(result)
Database Viewer For Sqlite
。0x
)+自定义配置(4096+64000+SHA1+SHA1
),也可以成功打开。看雪ID:ljc545w
https://bbs.kanxue.com/user-home-993075.htm
# 往期推荐
1、XYCTF两道Unity IL2CPP题的出题思路与题解
3、ATF-FUZZ
球分享
球点赞
球在看
点击阅读原文查看更多