- 2026/01/19: 完成钉钉聊天记录解密,提供 WEB UI 用于交互查看数据
- 2026/01/20: 增加
--token参数,允许用户提供登录态以实现自动下载远端静态资源。(不提供此参数某些图片将会无法加载)- 打开钉钉官网 登录个人账号,从 Cookie 中获取 account 的值传入
--token即可,示例:--token oauth_k1%3****A%3D
- 打开钉钉官网 登录个人账号,从 Cookie 中获取 account 的值传入
在实战红蓝对抗中,红队通常通过钓鱼、EDR 利用等手段获得办公网内员工机器的控制权,后续需要借助后渗透工具从 IM 应用中提取敏感信息进行更深入的信息收集。
支持输入钉钉数据库源文件和加密文件,如果是加密文件则需要指定解密密钥,目前仅实现了针对 v2 版本的解密。
其解密密钥为用户 UID,可以查看目录结构了解用户 UID: C:\Users\{用户名}\AppData\Roaming\DingTalk\{uid}_{version}。
输入为解密后的数据库文件
./dingwave -d dingtalk.db
输入为加密的数据库文件
./dingwave -d dingtalk_encrypt.db -k 666165872
希望保存解密后的数据库文件
./dingwave -d dingtalk_encrypt.db -k 666165872 -o dingtalk.db
参考了钉钉GUI的设计,将会话区分为置顶、单聊与群聊,按最后一条消息发送日期降序展示:
点击某个具体的会话类型后,会展开同类型的所有会话:
程序已经实现了钉钉内大部分数据类型进行解析,无奈有的数据(例如附件、头像)是存储在本地的,仅通过数据库无法获取更多有效信息,因此暂时只提供了部分图片以及部分附件的解析。
点击某个搜索会话,会展开所有搜索到的消息,同时高亮搜索内容:
点击会话内的具体搜索结果,会跳转到对应的聊天片段中,可以像正常查阅聊天内容一样上滑与下拉:
当然也支持指定某个会话进行搜索,实现效果与全局搜索效果一致,这里不再赘述。
