Преобразование Android в устройство тестирования на проникновение

Senator
Оффлайн

Senator

Заблокирован
.
Регистрация
12.01.18
Сообщения
1.065
Реакции
189
Репутация
10
Обратите внимание, если вы хотите провести сделку с данным пользователем, на то, что он заблокирован! Обязательно используйте услуги гаранта и не переводите денежные средства данному пользователю первым.
В этой статье я расскажу вам, как легко иметь смартфон с инструментами pentest и выполнять сканирование сети, беспроводное сканирование, сниффер, сканер уязвимостей и другие.

Подготовка Android смартфона к тестированию на проникновение
Давайте начнем подготовку вашего смартфона к тестированию вторжения. По самой Google Play, у нас есть два приложения (платные и бесплатные), чтобы иметь Android системы bash терминал.
После установки приложения, мы должны будем сделать” корневой " режим, чтобы иметь полный доступ к системе Android. Поэтому мы можем установить pentest и инструменты мониторинга.

Apt-get - это мощная система управления пакетами, которая используется для работы с библиотекой Ubuntu APT (Advanced Packaging Tool) для выполнения установки новых пакетов программного обеспечения, удаления существующих пакетов программного обеспечения, обновления существующих пакетов программного обеспечения.
You must be registered for see images attach

You must be registered for see images attach


Во-первых, мы будем использовать дистрибутивы репозиториев Linux для pentest, в данном примере я использую дистрибутив Kali Linux. Как только мы выполним команду” apt-get update", у нас будут надежные инструменты шрифтов.

Apt-get-это мощная система управления пакетами, которая используется для работы с библиотекой Ubuntu APT (Advanced Packaging Tool) для выполнения установки новых пакетов программного обеспечения, удаления существующих пакетов программного обеспечения, обновления существующих пакетов программного обеспечения.

Инструменты, которые мы получаем после обновления списка
  • : сканер безопасности, сканер портов и инструмент исследования сети.
  • : мощный инструмент для выполнения атак MITM
  • : позволяет выполнять многие виды деятельности социальной инженерии.
Сначала мы протестируем инструмент “NMAP " в сети, к которой подключен смартфон.

Команда: # nmap 192.168.0.0 / 24
You must be registered for see images attach

С установленным NMAP у нас есть несколько способов сканирования сети и тестирования некоторых служб, которые находятся на серверах. В этой простой лаборатории мы провели сканирование сети и определили два сетевых ресурса (но без уязвимой службы для атаки).

Давайте начнем "сниффер" в сети, чтобы найти важные учетные данные в приложениях, которые не используют шифрование для связи. Давайте сделаем тест с помощью инструмента "bettercap".
Вставить команду: # bettercap-sniffer
You must be registered for see images attach

Мы получили учетные данные для входа в Access router.

В дополнение к HTTP, мы также получаем HTTPS, но не будут рассмотрены в этой статье.

С самым слабым звеном информационной безопасности, являющимся пользователем, он всегда будет подвержен атакам и даже не осознавая, что цифровой сертификат веб-сайта будет изменен на сертификат злоумышленника, выполняющего атаку MITM.
You must be registered for see images attach


Мы не можем использовать смартфон 100% как ноутбук с тысячами инструментов вторжения; конечно, у нас будет несколько ограничений, потому что это смартфон.Однако, конечно, мы можем использовать мобильный телефон в мостовом режиме, известном как “Поворот”.

Вы можете использовать VPS в качестве командного элемента управления и использовать поворот на android для выполнения pentest.
You must be registered for see images attach

Другой метод подмены, используя инструменты для выполнения этой техники и получения Apache2 на Android, мы можем вставить вредоносную страницу, чтобы пользователь мог вставить свои учетные данные для входа на страницу и, таким образом, получить доступ к ней.
Вставить команду: # service apache2 start && /usr/share/setoolkit / setoolkit
You must be registered for see images attach

Мы проверяем, что служба apache работает правильно.
You must be registered for see images attach

Как только мы изменим тестовую страницу с apache и оставим поддельную страницу Google для этого теста, мы вставим электронное письмо и пароль, чтобы убедиться, что атака работает.
You must be registered for see images attach

Поддельная страница после тестов apache

После того, как жертва вставляет свои учетные данные на поддельной странице, он будет перенаправлен на страницу Google, не понимая, что он был “взломан."
В этом, его учетные данные были захвачены и вставлены в текстовый файл для лучшего просмотра. В результате потери входа в систему, взломщик может получить доступ к электронной почте и файлам спокойно.
You must be registered for see images attach
 
unammmmed
Оффлайн
Регистрация
07.05.20
Сообщения
4
Реакции
1
Репутация
0
В этой статье я расскажу вам, как легко иметь смартфон с инструментами pentest и выполнять сканирование сети, беспроводное сканирование, сниффер, сканер уязвимостей и другие.

Подготовка Android смартфона к тестированию на проникновение
Давайте начнем подготовку вашего смартфона к тестированию вторжения. По самой Google Play, у нас есть два приложения (платные и бесплатные), чтобы иметь Android системы bash терминал.
После установки приложения, мы должны будем сделать” корневой " режим, чтобы иметь полный доступ к системе Android. Поэтому мы можем установить pentest и инструменты мониторинга.

Apt-get - это мощная система управления пакетами, которая используется для работы с библиотекой Ubuntu APT (Advanced Packaging Tool) для выполнения установки новых пакетов программного обеспечения, удаления существующих пакетов программного обеспечения, обновления существующих пакетов программного обеспечения.
You must be registered for see images attach

You must be registered for see images attach


Во-первых, мы будем использовать дистрибутивы репозиториев Linux для pentest, в данном примере я использую дистрибутив Kali Linux. Как только мы выполним команду” apt-get update", у нас будут надежные инструменты шрифтов.

Apt-get-это мощная система управления пакетами, которая используется для работы с библиотекой Ubuntu APT (Advanced Packaging Tool) для выполнения установки новых пакетов программного обеспечения, удаления существующих пакетов программного обеспечения, обновления существующих пакетов программного обеспечения.

Инструменты, которые мы получаем после обновления списка
  • : сканер безопасности, сканер портов и инструмент исследования сети.
  • : мощный инструмент для выполнения атак MITM
  • : позволяет выполнять многие виды деятельности социальной инженерии.
Сначала мы протестируем инструмент “NMAP " в сети, к которой подключен смартфон.

Команда: # nmap 192.168.0.0 / 24
You must be registered for see images attach

С установленным NMAP у нас есть несколько способов сканирования сети и тестирования некоторых служб, которые находятся на серверах. В этой простой лаборатории мы провели сканирование сети и определили два сетевых ресурса (но без уязвимой службы для атаки).

Давайте начнем "сниффер" в сети, чтобы найти важные учетные данные в приложениях, которые не используют шифрование для связи. Давайте сделаем тест с помощью инструмента "bettercap".
Вставить команду: # bettercap-sniffer
You must be registered for see images attach

Мы получили учетные данные для входа в Access router.

В дополнение к HTTP, мы также получаем HTTPS, но не будут рассмотрены в этой статье.

С самым слабым звеном информационной безопасности, являющимся пользователем, он всегда будет подвержен атакам и даже не осознавая, что цифровой сертификат веб-сайта будет изменен на сертификат злоумышленника, выполняющего атаку MITM.
You must be registered for see images attach


Мы не можем использовать смартфон 100% как ноутбук с тысячами инструментов вторжения; конечно, у нас будет несколько ограничений, потому что это смартфон.Однако, конечно, мы можем использовать мобильный телефон в мостовом режиме, известном как “Поворот”.

Вы можете использовать VPS в качестве командного элемента управления и использовать поворот на android для выполнения pentest.
You must be registered for see images attach

Другой метод подмены, используя инструменты для выполнения этой техники и получения Apache2 на Android, мы можем вставить вредоносную страницу, чтобы пользователь мог вставить свои учетные данные для входа на страницу и, таким образом, получить доступ к ней.
Вставить команду: # service apache2 start && /usr/share/setoolkit / setoolkit
You must be registered for see images attach

Мы проверяем, что служба apache работает правильно.
You must be registered for see images attach

Как только мы изменим тестовую страницу с apache и оставим поддельную страницу Google для этого теста, мы вставим электронное письмо и пароль, чтобы убедиться, что атака работает.
You must be registered for see images attach

Поддельная страница после тестов apache

После того, как жертва вставляет свои учетные данные на поддельной странице, он будет перенаправлен на страницу Google, не понимая, что он был “взломан."
В этом, его учетные данные были захвачены и вставлены в текстовый файл для лучшего просмотра. В результате потери входа в систему, взломщик может получить доступ к электронной почте и файлам спокойно.
You must be registered for see images attach
Лучше уже установить nethunter Kali Linux
 
Сверху Снизу