tinyniko / mac_wxapkg_decrypt Goto Github PK

View Code? Open in Web Editor NEW

237.0 6.0 54.0 457 KB

mac 端wxpkg文件解密（非解包）

Python 100.00%

mac_wxapkg_decrypt's Introduction

mac端wxapkg解密

免责条款

本代码只用于个人技术研究交流使用，不得用于商业用途。

2023.7.9 update

3.8.0 使用了新的架构，原来的代码已经不适用了。不过好在新版本未加密wxapkg, 所以可以直接解包。具体操作请参考说明

2022.6.4 update

issue 中提到，小程序的 key 跟数据库加密的 key 是同一个，我分析了一下发现这个 key 是通过请求获取的，也就是说我们并没有办法分析到key的生成逻辑。

说明

致敬BlackTrace/pc_wxapkg_decrypt。同样是不想用移动端提取wxapkg, 所以分析了一下mac端的解密逻辑。该项目是把wxapkg解密。当前支持的微信MAC版本为： [3.4.0, 3.8.0)。

3.8.0 采用了新的架构，这个代码已经不适合了，不过好在wxapkg 未加密。可以直接在

/Users/xxx/Library/Containers/com.tencent.xinWeChat/Data/.wxapplet/packages/wx18ded455ed95f695/15

目录中找到一个**APP.wxapkg**，这是未加密的包，可以直接使用。至此，这个 mac 解密库就不需要了。

使用方法

由于解密过程需要使用frida，首先第一步就是关闭macos的SIP, 这个可以自行搜索。

我提供了2种解密的方法，一种是提取解密用的key，一种是直接让小程序帮我们解密。

如果你使用第一种，那么在提取key 之后，需要修改 decpkg.py中的key。如果是第二种，那么就需要确认小程序所在的目录了，然后将文件输入输出路径写到 _agent.js中，第二种方法涉及到文件读写，提供的路径必须是小程序可读写的目录。

Mac小程序的路径在 ~/Library/Group Containers/xxxx.com.tencent.xinWeChat/Library/Caches/xinWeChat/4xxxxxxxx/WeApp/LocalCache/release/

在你修改好_agent.js 之后，就可以开始hook了。

打开任意一个微信小程序，通过ps -ef | grep Mini 找到小程序的 pid，这里会出现2个小程序，随便选一个就行，然后

frida pid -l _agent.js

如果是 way 1 ,日志会删除32个字节的key，你只要提取前16个字节即可。

如果是 way 2, 则会有一个解密后的文件产生。

解密完成后，就可以用wxappUnpacker（https://github.com/gudqs7/wxappUnpacker）解包了。

原理

Mac加密方法比较简单，取wxapkg的前1024个字节，通过 AES_ECB 进行加密，加密的 key 来自于微信主程序，由于我没有逆向 key 的生成逻辑，目前只能怀疑 key 是 m_dbEnryptKey

不过就算我们不知道key的生成逻辑，只要有这个key就够了。

~~最后，如果有同学想逆向key逻辑的，欢迎交流。~~

mac_wxapkg_decrypt's People

Stargazers

Watchers

Forkers

635547251 seeflowerx bb33bb kingking888 xianyucoder ioxuy dontian122 yongbaowang lyy0755 geary0124 littlexiang aevit wha000tif moobing pinetang yeshuibo gg-o1 jas502n crackercat jadepeakpoet gh0stz1 lpe234 saycold77 nobita0522 lys623 kyochou diandengs piz-liu halewhh cary929 zhouxinfei lhcn xiaowenhuman bdingtech bopo kkiinnggwweenn maxwellzy sssnto newpurr redeembynight bluepeople1 c2en xenlata witchan lzxorz sunchen009 crosslee xrxsh btlyon hiyaai rainmanzzz iq9891 jslwq

mac_wxapkg_decrypt's Issues

工具使用问题

师傅你好能否给个联系方式请教一下工具用法从blog的联系方式解密没查到wechat

TypeError: cannot read property 'bytes' of null
at (src/mac_wx/main.ts:22)
at call (native)
at o (node_modules/browser-pack/_prelude.js:1)
at r (node_modules/browser-pack/_prelude.js:1)
at (/Users/xxx/tools/xiaochegnxu/mac_wxapkg_decrypt/_agent.js:27)
at evaluate (native)
at (/frida/repl-2.js:1)

cannot read property 'bytes' of null

way 2 中 var filedata = decryptdata.bytes().readByteArray(decryptdata.length()) 报错了

使用way2 解密失败

Error: Operation not permitted

关闭了 SIP
Python 3
Node v18.x
Frida 16.0.11
用的第二种方式：

// way 1
// var account = ObjC.classes.AccountService['- GetEncryptKey'];
// Interceptor.attach(account.implementation, {
//   onLeave: function onLeave(ret) {
//     var keyobj = new ObjC.Object(ret);
//     var key = keyobj.bytes().readByteArray(keyobj.length());
//     console.log(hexdump(key)); // the first 16 bytes is aes key
//   }
// });

// way 2
var wadecrypt = ObjC.classes.WAPkgEncryptUtil['+ pkgDecrypt:'];
// // TODO fix path
var path = "/Users/bluemiaomiao/Library/Group Containers/5A4RE8SF68.com.tencent.xinWeChat/Library/Caches/xinWeChat/a0e1cb1856364ecce1b4f5a49bdf55e8/WeApp/LocalCache/release/wx16b266d88f279965/15.wxapkg";
var wxpath = ObjC.classes.NSString.stringWithUTF8String_(Memory.allocUtf8String(path));
var decryptdata = ObjC.classes.WAPkgEncryptUtil.pkgDecrypt_(wxpath);
var filedata = decryptdata.bytes().readByteArray(decryptdata.length());
// // TODO fix path
var file = new File("/Users/bluemiaomiao/Developer/15c.wxapkg", "wb");
file.write(filedata);
file.close();
console.log("write file done");

},{}]},{},[1])

报错了：

➜  mac_wxapkg_decrypt git:(main) ✗ sudo frida 1093 -l _agent.js
Password:
     ____
    / _  |   Frida 16.0.11 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at https://frida.re/docs/home/
   . . . .
   . . . .   Connected to Local System (id=local)

Error: Operation not permitted
    at <anonymous> (/Users/bluemiaomiao/Developer/mac_wxapkg_decrypt/_agent.js:22)
    at call (native)
    at o (node_modules/browser-pack/_prelude.js:1)
    at r (node_modules/browser-pack/_prelude.js:1)
    at <eval> (/Users/bluemiaomiao/Developer/mac_wxapkg_decrypt/_agent.js:27)
    at evaluate (native)
    at <anonymous> (/frida/repl-2.js:1)
[Local::PID::1093 ]-> quit

Thank you for using Frida!

mac m1 报错 fstat$INODE64

Failed to attach: unable to bind, “fstat$INODE64” not found in “/usr/lib/libSystem.B.dylib”

"Magic number is not correct!");

Error: Magic number is not correct!
at header (/Users/mac/Documents/github/WxAppUnpacker1/wuWxapkg.js:21:54)
at /Users/mac/Documents/github/WxAppUnpacker1/wuWxapkg.js:186:44
at /Users/mac/Documents/github/WxAppUnpacker1/wuLib.js:95:14
at agent (/Users/mac/Documents/github/WxAppUnpacker1/wuLib.js:64:23)
at FSReqCallback.readFileAfterClose [as oncomplete] (node:internal/fs/read_file_context:68:3)

Node.js v20.3.1
node /Users/mac/Documents/github/WxAppUnpacker1/wuWxapkg.js temp/h.wxapkg
Unpack file temp/h.wxapkg...

使用way1没有出现报错也没有出现key

macos 13.3.1 Intel 关闭了SIP
frida 15.2.2
微信 3.7.0

查看PID

~/Downloads/mac_wxapkg_decrypt-main » ps -ef | grep Mini                                      130 ↵
  501  2598     1   0  3:03下午 ??         0:04.59 /Applications/WeChat.app/Contents/MacOS/Mini Program.app/Contents/MacOS/Mini Program
  501  3474     1   0  3:32下午 ??         0:01.11 /Applications/WeChat.app/Contents/MacOS/Mini Program.app/Contents/MacOS/Mini Program
  501  3589   979   0  3:39下午 ttys002    0:00.00 grep --color=auto --exclude-dir=.bzr --exclude-dir=CVS --exclude-dir=.git --exclude-dir=.hg --exclude-dir=.svn --exclude-dir=.idea --exclude-dir=.tox Mini

启动frida

~/Downloads/mac_wxapkg_decrypt-main » sudo frida 3474 -l _agent.js
Password:
     ____
    / _  |   Frida 15.2.2 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at https://frida.re/docs/home/
   . . . .
   . . . .   Connected to Local System (id=local)

[Local::PID::3474 ]->
[Local::PID::3474 ]-> exit

Thank you for using Frida!

没有出现Attaching，也没有报错

TypeError: cannot read property '+ pkgDecrypt:' of undefined

frida 16.0.19
python 3.10.9
mac m1

frida pid -l _agant.js
就直接报错了

微信版本 Version. 3.6.1 (24205) 操作失败

❯ sudo frida 84348 -l agent.js
Password:
____
/ _ | Frida 16.0.8 - A world-class dynamic instrumentation toolkit
| (| |
> _ | Commands:
// || help -> Displays the help system
. . . . object? -> Display information about 'object'
. . . . exit/quit -> Exit
. . . .
. . . . More info at https://frida.re/docs/home/
. . . .
. . . . Connected to Local System (id=local)
Failed to attach: unable to access process with pid 84348 from the current user account

AES Key可以确定是dbEncryptKey

hook得到的aes key来自-[AuthSectResp init]中的置入的SetCliDbencryptKey，提取对应目录下的聊天记录msg_*.db可以使用此key解开得到聊天记录。