Оффлайн
- Регистрация
- 12.01.18
- Сообщения
- 1.065
- Реакции
- 189
- Репутация
- 10
В этой статье я расскажу вам, как легко иметь смартфон с инструментами pentest и выполнять сканирование сети, беспроводное сканирование, сниффер, сканер уязвимостей и другие.
Подготовка Android смартфона к тестированию на проникновение
Давайте начнем подготовку вашего смартфона к тестированию вторжения. По самой Google Play, у нас есть два приложения (платные и бесплатные), чтобы иметь Android системы bash терминал.
После установки приложения, мы должны будем сделать” корневой " режим, чтобы иметь полный доступ к системе Android. Поэтому мы можем установить pentest и инструменты мониторинга.
Apt-get - это мощная система управления пакетами, которая используется для работы с библиотекой Ubuntu APT (Advanced Packaging Tool) для выполнения установки новых пакетов программного обеспечения, удаления существующих пакетов программного обеспечения, обновления существующих пакетов программного обеспечения.
Во-первых, мы будем использовать дистрибутивы репозиториев Linux для pentest, в данном примере я использую дистрибутив Kali Linux. Как только мы выполним команду” apt-get update", у нас будут надежные инструменты шрифтов.
Apt-get-это мощная система управления пакетами, которая используется для работы с библиотекой Ubuntu APT (Advanced Packaging Tool) для выполнения установки новых пакетов программного обеспечения, удаления существующих пакетов программного обеспечения, обновления существующих пакетов программного обеспечения.
Инструменты, которые мы получаем после обновления списка
Подготовка Android смартфона к тестированию на проникновение
Давайте начнем подготовку вашего смартфона к тестированию вторжения. По самой Google Play, у нас есть два приложения (платные и бесплатные), чтобы иметь Android системы bash терминал.
После установки приложения, мы должны будем сделать” корневой " режим, чтобы иметь полный доступ к системе Android. Поэтому мы можем установить pentest и инструменты мониторинга.
Apt-get - это мощная система управления пакетами, которая используется для работы с библиотекой Ubuntu APT (Advanced Packaging Tool) для выполнения установки новых пакетов программного обеспечения, удаления существующих пакетов программного обеспечения, обновления существующих пакетов программного обеспечения.
You must be registered for see images attach
You must be registered for see images attach
Во-первых, мы будем использовать дистрибутивы репозиториев Linux для pentest, в данном примере я использую дистрибутив Kali Linux. Как только мы выполним команду” apt-get update", у нас будут надежные инструменты шрифтов.
Apt-get-это мощная система управления пакетами, которая используется для работы с библиотекой Ubuntu APT (Advanced Packaging Tool) для выполнения установки новых пакетов программного обеспечения, удаления существующих пакетов программного обеспечения, обновления существующих пакетов программного обеспечения.
Инструменты, которые мы получаем после обновления списка
-
You must be registered for see links: сканер безопасности, сканер портов и инструмент исследования сети.
-
You must be registered for see links: мощный инструмент для выполнения атак MITM
-
You must be registered for see links: позволяет выполнять многие виды деятельности социальной инженерии.
Команда: # nmap 192.168.0.0 / 24
С установленным NMAP у нас есть несколько способов сканирования сети и тестирования некоторых служб, которые находятся на серверах. В этой простой лаборатории мы провели сканирование сети и определили два сетевых ресурса (но без уязвимой службы для атаки).
Давайте начнем "сниффер" в сети, чтобы найти важные учетные данные в приложениях, которые не используют шифрование для связи. Давайте сделаем тест с помощью инструмента "bettercap".
You must be registered for see images attach
С установленным NMAP у нас есть несколько способов сканирования сети и тестирования некоторых служб, которые находятся на серверах. В этой простой лаборатории мы провели сканирование сети и определили два сетевых ресурса (но без уязвимой службы для атаки).
Давайте начнем "сниффер" в сети, чтобы найти важные учетные данные в приложениях, которые не используют шифрование для связи. Давайте сделаем тест с помощью инструмента "bettercap".
Вставить команду: # bettercap-sniffer
Мы получили учетные данные для входа в Access router.
В дополнение к HTTP, мы также получаем HTTPS, но не будут рассмотрены в этой статье.
С самым слабым звеном информационной безопасности, являющимся пользователем, он всегда будет подвержен атакам и даже не осознавая, что цифровой сертификат веб-сайта будет изменен на сертификат злоумышленника, выполняющего атаку MITM.
Мы не можем использовать смартфон 100% как ноутбук с тысячами инструментов вторжения; конечно, у нас будет несколько ограничений, потому что это смартфон.Однако, конечно, мы можем использовать мобильный телефон в мостовом режиме, известном как “Поворот”.
Вы можете использовать VPS в качестве командного элемента управления и использовать поворот на android для выполнения pentest.
Другой метод подмены, используя инструменты для выполнения этой техники и получения Apache2 на Android, мы можем вставить вредоносную страницу, чтобы пользователь мог вставить свои учетные данные для входа на страницу и, таким образом, получить доступ к ней.
You must be registered for see images attach
Мы получили учетные данные для входа в Access router.
В дополнение к HTTP, мы также получаем HTTPS, но не будут рассмотрены в этой статье.
С самым слабым звеном информационной безопасности, являющимся пользователем, он всегда будет подвержен атакам и даже не осознавая, что цифровой сертификат веб-сайта будет изменен на сертификат злоумышленника, выполняющего атаку MITM.
You must be registered for see images attach
Мы не можем использовать смартфон 100% как ноутбук с тысячами инструментов вторжения; конечно, у нас будет несколько ограничений, потому что это смартфон.Однако, конечно, мы можем использовать мобильный телефон в мостовом режиме, известном как “Поворот”.
Вы можете использовать VPS в качестве командного элемента управления и использовать поворот на android для выполнения pentest.
You must be registered for see images attach
Другой метод подмены, используя инструменты для выполнения этой техники и получения Apache2 на Android, мы можем вставить вредоносную страницу, чтобы пользователь мог вставить свои учетные данные для входа на страницу и, таким образом, получить доступ к ней.
Вставить команду: # service apache2 start && /usr/share/setoolkit / setoolkit
Мы проверяем, что служба apache работает правильно.
Как только мы изменим тестовую страницу с apache и оставим поддельную страницу Google для этого теста, мы вставим электронное письмо и пароль, чтобы убедиться, что атака работает.
Поддельная страница после тестов apache
После того, как жертва вставляет свои учетные данные на поддельной странице, он будет перенаправлен на страницу Google, не понимая, что он был “взломан."
В этом, его учетные данные были захвачены и вставлены в текстовый файл для лучшего просмотра. В результате потери входа в систему, взломщик может получить доступ к электронной почте и файлам спокойно.
You must be registered for see images attach
Мы проверяем, что служба apache работает правильно.
You must be registered for see images attach
Как только мы изменим тестовую страницу с apache и оставим поддельную страницу Google для этого теста, мы вставим электронное письмо и пароль, чтобы убедиться, что атака работает.
You must be registered for see images attach
Поддельная страница после тестов apache
После того, как жертва вставляет свои учетные данные на поддельной странице, он будет перенаправлен на страницу Google, не понимая, что он был “взломан."
В этом, его учетные данные были захвачены и вставлены в текстовый файл для лучшего просмотра. В результате потери входа в систему, взломщик может получить доступ к электронной почте и файлам спокойно.
You must be registered for see images attach
Оффлайн
- Регистрация
- 07.05.20
- Сообщения
- 4
- Реакции
- 1
- Репутация
- 0
Лучше уже установить nethunter Kali Linux