0365-Pocket Hacking- NetHunter实战指南

# Pocket Hacking: NetHunter实战指南

0x00 前言
=======

* * *

许多朋友都希望Hacking套件可以很方便的从PC移植到更便携的手机或平板电脑上,而Offensive Security团队发布的Kali NetHunter则将这一期待变为现实,通过移动终端随时随地进行Hacking,暂且美其名曰口袋Hacking.

Kali NetHunter是以Nexus(手机/平板)为基本硬件设备(新增对1+手机的支持),基于原生Android实现的便携渗透测试平台.熟悉的Kali使其易于上手,而图形化控制界面则使某些测试更易.基于此平台,工程师们也可自由发挥,加入个人项目.

关于NetHunter国内外文章相对较少且重复度高,故在此将其主要实战技巧加以整理介绍,以备各位爱好者参考.由于资料不足,难免出错之处,如有疏漏错误,望不吝赐教.

0x01 硬件支持
=========

* * *

NetHunter官网给出以下支持刷入NetHunter的手机:

“`
Nexus 4 (GSM) – “mako”
Nexus 5 (GSM/LTE) – “hammerhead”
Nexus 7 [2012] (Wi-Fi) – “nakasi”
Nexus 7 [2012] (Mobile) – “nakasig”
Nexus 7 [2013] (Wi-Fi) – “razor”
Nexus 7 [2013] (Mobile) – “razorg”
Nexus 10 (Tablet) – “mantaray”
OnePlus One 16 GB – “bacon”
OnePlus One 64 GB – “bacon”

“`

值得一提的是,2015年NetHunter更新,由于1+手机的廉价与高性能,其被加入支持列表.用1+手机的朋友有福了,以下刷机以Nexus5为例.

0x02 刷机流程
=========

* * *

官网给出几种刷机方式,推荐使用Windows引导刷机程序安装.下载地址:

[https://www.kali.org/offsec-nethunter-installer/Kali_v1.1.6.sfx.exe](https://www.kali.org/offsec-nethunter-installer/Kali_v1.1.6.sfx.exe)

打开安装引导程序,默认路径安装


安装后自动运行NetHunter Installer并更新,进入引导安装步骤

* Step1,选择已有硬件设备型号.


* Step2,安装驱动



可以通过Test Drivers测试是否安装成功

* Step3,安装选项


如已经通过官网下载过刷机包,通过Browser选择文件.下载链接[http://www.offensive-security.com/kali-linux-nethunter-download/](http://www.offensive-security.com/kali-linux-nethunter-download/)下载后记得校验SHA1值.至于Android Flash Setting,因为对Android L的支持还未完成,故尚未开放选择.

* Step4,下载文件


如图示,下载所有依赖文件.


所有依赖包都为Ready可进入下一步刷机.

* Step5,解锁设备


解锁bootloader,注意需设置允许USB调试,手机会重启解锁.

* Step6,重置原Android


同样再手机上勾选允许USB调试,注意数据会清空,记得备份.


* Step7,刷入NetHunter


经过上一步重置手机后,需重新开启开发者模式,此时可刷入Kali Linux镜像并对手机进行Root,所需时间相对较长.(注:如镜像推送不成功,可以手工将kali_linux_nethunter_1.10_hammerhead_kitkat.zip复制到/sdcard/download/目录进行INSTALL)

* Final,安装成功



0x03 推荐APP一览
============

* * *

完成系统刷入后,要丰富NetHunter原装工具,可以下载部分安卓APP以配合.以下为个人推荐

* 中文输入法:作为一个汉语狗还是必备的

* 文件管理器(如RootExplorer):Kali某些文件需要通过支持Root权限的文件管理器.

* ShadowSocks:梯子还是要有的

[https://github.com/shadowsocks/shadowsocks-android/releases/download/v2.6.2/shadowsocks-nightly-2.6.2.apk](https://github.com/shadowsocks/shadowsocks-android/releases/download/v2.6.2/shadowsocks-nightly-2.6.2.apk)

* MiTM工具:

“`
zANTI2:虽为商业化限制部分功能,但使用体验的确好些.
dSploit:曾经很出名
lanmitm:国内安全工作者编写发布的工具
Intercepter-NG:嗅探工具
Network Spoofer:自带许多调戏功能

“`
* IPTools:部分常见基本网络工具集合


* ChangeHostname:修改当前手机主机名HostName(还是有必要的).

* WiGLE wifi:War Driving工具,收集无线热点信息,可保存到本地数据库.

* SQLiteEditor:方便读取数据库信息

* Hacker’s KeyBoard:NetHunter自带,便于输入各种控制字符

* 远程桌面:NetHunter自带,便于连接VNC服务.

* DriveDroid:NetHunter自带,将手机内镜像模拟为启动盘.

0x04 目录与服务
==========

* * *

安装好NetHunter,先要对其目录与服务研究一番.Kali NetHunter根目录对应安卓系统目录的/data/local/kali-armhf目录


NetHunter自带工具,也多在此目录内.故如有抓包/日志等文件,找不到存放地址,不妨到此目录下寻觅一番(注:需Root权限).另外,NetHunter某些工具运行时的提示的目录,也多以此处为根目录.

通常,截获的数据包等文件存放在NetHunter目录下的Captures目录:


与Kali Linux类似,/usr/share下存放了大部分工具,并建立link,命令行可直接调用.


而Metasploit则依然位于/opt/目录下.


上图中/opt/dic目录则存放有字典文件,可自行补充.


此为/var/www目录,想来大家也知道是何用处了:)

至于服务,Offensive Security团队在新版中加入NetHunter Home以APP的形式管理服务开关,避免了之前版本通过WebServer管理的弊端(比如Web页面调用Google Fonts被墙卡半天 😉


如图示,NetHunter Home为主页面,除了Offensive Security的Banner,还可以获取当前IP(内网/外网)地址.


Kali Launcher整合了四个启动器:

* 终端打开一个Kali Shell
* 终端打开Kali NetHunter Menu
* 终端打开Wifite进入无线破解
* 更新Kali NetHunter(执行sudo -c bootkali update)

对于NetHunter服务开关控制,则在Kali Service Control面板里进行设置


可看到,NetHunter可开放服务有SSH,Dnsmasq,Hostapd,OpenVPN,Apache,Metasploit及BeEF FrameWork等.

* SSH服务:Secure Shell,方便其他设备连接控制.
* Dnsmasq服务:DNS解析服务.
* Hostapd服务:提供无线接入点服务.
* OpenVPN服务:开放OpenVPN连入服务.
* Apache服务:WEB服务.
* Metasploit服务:为MSF攻击模块提供保障.
* BeEF FrameWork服务:XSS利用框架服务.

在此面板可对对应服务进行开关设置.

0x05 Kali NetHunter Menu
========================

* * *

在NetHunter Launcher中Kali Menu的启动项,其包含整理有NetHunter常用工具,如图:


与上一个版本相比，新增了以下选项:

“`
USB Attacks
NFC Attacks
Monitor Mode
Eject USB Wifi

“`

主要模块及介绍如下:

**Wireless Attacks**

* Wifite

自动无线安全审计工具

* Kismet

无线WarDriving工具

* AP F**ker

无线网恶意攻击工具(多为拒绝服务)

* Wash

扫描开启WPS的无线网络

* Airodump-ng

基本无线攻击套件(必备)

* Pingen

针对某些开启WPS的D-link的路由器计算其PIN码以破解

**Sniffing/Spoofing**

* tcpdump

基本流量Dump工具

* tshark

WireShark的Cli工具,可抓取分析流量

* urlsnarf

Dsniff工具包一部分,可嗅探HTTP请求包内容，并以CLF通用日志格式输出

* dsniff

强大的知名口令嗅探工具包

* MITMproxy

中间代理,可截获修改HTTP流量,参考官网介绍

**Reverse Shells**

* AutoSSH

通过SSH反弹shell(NAT Bypass)

* pTunnel

通过ICMP数据包隧道传送数据

**Info Gathering**

* Spiderfoot

开源扫描与信息收集工具,对给定域名收集子域,Email地址,web服务器版本等信息,自动化扫描.

* Recon-ng

强大的信息收集工具,模块化,可惜许多插件国内不适用(有墙).

* Device-pharmer

通过Shodan搜索,大数据Hacking.

**Vulnerability Scan**

* OpenVas

漏洞扫描器,需额外安装.Kali一直默认包含,好不好用客官自行定夺. 🙂

**Exploit Tools**

* Metasploit

强大,核心,必备

* BeEF-XSS

XSS渗透测试工具,看个人习惯使用

* Social-Engineering-Toolkit

Kali下的SET,社会工程学套件,功能强大.

* MITMf

中间人攻击框架,基于Python,拥有多个插件,渗透测试功能强大

**OpenVPN Setup**

OpenVPN设置

**VNC Setup**

VNC设置

**Log/Capture Menu**

可擦除本地所有抓取数据或同步到SD卡上(同步主要是解决权限问题.比如多数安卓APP未获得root权限是无法读取NetHunter工具截获的数据内容)

**USB Attacks**

* Dictionary based brute force attack

自动输入字典一行内容并回车,基于HID,模拟操作方式的暴力破解

* deADBolt

执行一堆ADB命令可以推送隐私文件等信息到指定目录,参考项目主页 https://github.com/photonicgeek/deADBolt

**NFC Attack**

提供了复制、重写、查看M卡数据功能(是不是不必带上Acr122u了;)

**Settings**

* 修改时区
* 为Metasploit创建用户和数据库
* 修改MAC地址
* 安装NodeJS

**Service**

* SSH服务开关
* VNC服务开关
* OpenVPN服务开关
* 在本地启动Xserver

**Monitor Mode**

启动或关闭wlan1(外置无线网卡)的混杂监听模式

**Eject USB Wifi**

弹出USB无线网卡

0x06 HID KeyBoard Attack
========================

* * *

在过去,USB自启往往依赖插入的USB设备中的autorun.inf实现.时下这招往往不灵,而新兴的USB HID Attack则成为新的安全威胁.USB HID可通过模拟键盘或鼠标操作,实时执行目标代码,在此以PowerSploit结合MSF为例:

首先运行提供payload的webserver,在Kali Service Control中开启Apache服务器


转到HID攻击配置页面,选择PowerSploit


IP和端口填写MSF监听的IP端口,Payload我们选择windows/meterpreter/reverse_https,URL为提供Apache服务的IP,这里即本机:192.168.1.151

配置好后UPDATE配置文件,接下来需配置MSF监听反弹shell

“`
root@kali:~# msfconsole -q
msf > use exploit/multi/handler
msf exploit(handler) >

“`

payload同HID配置页面中的payload

“`
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https
PAYLOAD => windows/meterpreter/reverse_https

“`

IP和端口同样设置

“`
msf exploit(handler) > msf exploit(handler) > set LHOST 192.168.0.17
LHOST => 192.168.0.17
msf exploit(handler) > set LPORT 4444
LPORT => 443
msf exploit(handler) > exploit

[*] Started HTTPS reverse handler on https://0.0.0.0:4444/
[*] Starting the payload handler…

“`

至此配置OK


开始监听


此时将设备连接至PC机,等待设备被识别后,执行Execute,攻击开始.

POWERSHELL命令执行后,就可在msf中看到反弹的shell了:


如连上PC后没有反应,可按Reset USB键更新.

当然,HID KeyBoard Attack也提供了Windows CMD攻击模块,即连入计算机后自动打开CMD并执行指定命令(默认为添加新管理员用户,可自由定制).

0x07 BadUSB MITM Attack
=======================

* * *

BadUSB Attack是BlackHat大会上公布的一种较先进的USB攻击方式,模拟键盘操作等Payload可自动执行某些操作,而NetHunter的BadUSB MiTM Attack则是其中一种玩法:修改网络设定,劫持网络流量.

关于BadUSB MITM Attack,NetHunter官网有演示视频,详见[http://www.nethunter.com/showcase/](http://www.nethunter.com/showcase/),但并未交代详细过程,以下笔者操作为例:

首先,确保手机连接目标计算机时,MTP文件传输是关闭的.连接目标计算机,打开手机USB网络共享:


此时在NetHunter Home打开一个Kali Shell,查看网卡多出虚拟网卡rndis0(USB网络共享网卡).


此时可以开启Tcpdump截获流量,命令如:

“`
tcpdump -i rndis0

“`

回到NetHunter Home,切换到BadUSB MiTM Attack,勾选右上角选项Start BadUSB Attack


被连接的计算机此时会多出一个网卡,网关为rndis0的IP地址


此时流量已可以截获,例如访问某些网站,手机tcpdump处流量显示如图:


因为手机并未插入SIM卡,无网络,故PC机并无法得到返回页面.

之前有同学在Drops分享的一片文章[Kali Nethunter初体验](http://drops.wooyun.org/tools/3113)中提到:

> 出现双网关现在所以并未像官网演示的那样流量直接走向恶意网关（10.0.0.1）而是依旧走的之前的网关（192.168.1.1）故劫持失败

这种情况也可能出现,不过个人测试中,网络连接优先级,默认劫持后的网关优先级更高,故流量可以正常劫持.也可能是NetHunter今年更新后做的优化,如图示:


当然,配合HID Keyboard Attack进行攻击测试也是很好的方式,至于数据包的保存与分析,则可自行发挥.

0x08 绕过Windows登录认证
==================

* * *

NetHunter其实有许多隐藏玩法,比如借助DriveDroid实现Windows登陆绕过密码.

DriveDroid本是个允许通过安卓手机中的ISO/IMG镜像文件引导启动PC机的一个App,但结合了特定的镜像,实现绕过Windows登陆认证就变得可行:)

在此以Win7为例,首先为默认账户创建密码hello.


DriveDroid默认引导镜像存放目录位于SDCard/Download/images,只需将欲引导的镜像存放于此目录即可.


这里绕过Windows或OSX登陆认证的镜像为Kon-Boot.可以到官网了解,其原理在于处理BIOS修改系统内核的引导处理,跳过SAM检查,直接登陆系统.因为是付费软件,以下以自行寻觅的镜像为例演示.

关闭MTP文件传输,打开DriveDroid,自动列出images目录下得镜像文件.


选择Kon-Boot.img镜像挂载,模式这里选择为Read-Only USB


加载成功后相应镜像有所标志


而在连入的PC机中也会显示加载有新的可移动磁盘(或软驱盘),如未能显示,可在配置页面进行相应调整(可通过USB Setup Wizard向导指引)


此时在设有密码的PC机重启,进入BIOS设置启动项


如果镜像加载成功,可以看到飞奔的图案如下:


之后登陆用户密码处回车即可绕过密码认证登陆系统


需要说明的是,通过此方式登陆系统无法直接修改或删除系统密码.

0x09 WarDriving
===============

* * *

犹记得当年前辈们肩扛笔记本做WarDriving的事迹,智能设备发展至今,WarDriving已可用便携设备取代.只是至今迟迟没有寻觅到比较合适直观的WarDriving工具,期待有朋友能开发或推荐个.

在NetHunter下,Kali-Menu的Wireless模块中Kismet作为WarDriving的默认工具,不过操作起来画面太美不敢看:


退而求其次,推荐使用App WigleWifi.不过注意不要不小心上传数据.使用easy,界面很难看.


好在数据可以以Sqlite数据库格式存储在本地.

0x10 Mana EvilAP蜜罐
==================

* * *

想建个CMCC无线网络钓鱼劫持流量?PineApple没有带在身边,不妨拿出手机,开个蜜罐吧. 🙂

Mana蜜罐采用与PineApple相同的:Hostapd的Karma补丁,可用来欺骗接入无线网络用户，使其可很平滑连接到虚假AP中，进行后续攻击.

需要说明的是,NetHunter无线攻击模块,大都需要使用OTG外接USB无线网卡.主流芯片(可以试试Kali是否可直接识别)网卡均可.WN722N较为推荐,迷你的EDUP网卡通用性则较强(Raspberry Pi也可直接识别),只是信号强度..自然可想而知.


Mana蜜罐有多种Hacking模式,均为sh脚本,可自由定制.Mana工具安装目录为:

“`
/usr/share/mana-toolkit

“`

启动脚本则在此处存放:

“`
/usr/share/mana-toolkit/run-mana

“`

截获流量文件存放于:

“`
/var/lib/mana-toolkit

“`

通过NetHunter Home的Mana蜜罐页面可方便的对配置文件进行修改:

Hostapd配置文件


DHCP服务配置文件


DNS欺骗配置文件


服务启动脚本有多个,均可自由编辑修改:


上图对应脚本start-nat-full.sh,脚本需要USB无线网卡(存在上行流量)启动,无线连入为NAT模式,并启动所有脚本包括:firelamb,sslstrip,sslsplit等,截获流量并保存.


start-nat-simple.sh同样有上行流量,但并不启动firelamb,sslstrip,sslsplit等脚本.


start-nat-simple-bdf.sh,加入了BDF恶意代码Inject工具,后面章节将对其攻击思路进行介绍.

此外,还有

start-noupstream.sh

“`
Mana作为无法上网的虚假AP启动,但可吸引WIFI默认开启的终端自动连接并抓取信息.

“`

start-noupstream-eap.sh

“`
Mana同样无法上网,但会进行EAP攻击

“`

编辑好启动文件后,Start Attack,会弹窗勾选启动脚本:


即可启动服务.

0x11 Backdooring Executable Over HTTP
=====================================

* * *

这个攻击思路就比较有趣了,新功能在NetHunter今年1月5号发布的版本中作为Kali Nethunter目前最新最酷炫的玩法,源于[secret squirrel](https://github.com/secretsquirrel/)的github项目[the-backdoor-factory](https://github.com/secretsquirrel/the-backdoor-factory)和[BDFProxy](https://github.com/secretsquirrel/BDFProxy),可让我们轻松地对使用HTTP协议传送的二进制文件注入shellcode.

首先建立一个Mana蜜罐，SSID这里使用默认名称internet,启动服务

“`
cd /usr/share/mana-toolkit/run-mana
./start-nat-simple-bdf.sh

“`


再开一个Shell,编辑bdfproxy.cfg,此配置文件包含了针对不同平台默认设置的payload,可自行更换.不过由于显示问题,用nano编辑文本会一行行刷新,还是换个方式编辑比较好.这里只把IP修改192.168.1.151,也可在Nethunter的主面板下的MANA Evil Access Point中进行配置.

“`
nano /etc/bdfproxy/bdfproxy.cfg

“`

配置好IP之后,在Shell中直接输入bdfproxy运行之.

再新开一个Shell启动Metasploit


一切准备就绪,等待连入蜜罐AP的PC机上网下载二进制文件,在此通过百度下载everything(神器啊)演示:


运行everthing,因为注入了payload,会出现自校验失败的提示


查看MSF,已成功反弹回Shell了.而上面自校验失败的提示就是MeterPreter的screenshot帮我截取的 🙂


不得不说,这个新特性真的很Cool.

0x12 Wifite破解
=============

* * *

写到最后,还没有提到无线破解是不科学的;) NetHunter推荐的Wifite破解工具是其最早集成的功能之一.移动设备的便携性更有利于随时随地进行Wifi安全测试,只需挂载上外置无线网卡便可轻松抓包破解.不过并不建议直接在移动设备上破解抓到的包,如跑几分钟没结果,就拿高性能设备破解吧,否则易导致设备死机.

连接好外置无线网卡后,在Nethunter主菜单选择Launch Wifite即可进入


选择开启混杂监听模式的网卡,选择Wlan1


扫描开始,每5秒更新一次,当确认攻击目标后CTRL+C停止扫描


输入攻击目标序号,这里就选`XDSEC-WIFI`了,输入2


抓包成功后自动调用字典破解,这里机智的把字典删掉,其自动退出


抓到的握手包存放在/data/local/kali-armhf/HS目录下,命名规则是SSID+MAC


如果目标开启WPS,则自动进行PIN码破解.

Wifite相对傻瓜化,易操作,适合移动终端.对无线网密码测试笔者也成功过几次,连入无线后结合zANTI等工具调戏即可:)

0x13 写在最后
=========

* * *

文末,已将NetHunter大部分实战玩法进行相应介绍,文章为卷毛zing同学与顺毛le4f同学共同编写,能力有限,如有不足之处望指出.抛砖引玉,期待有更多技巧分享.