Cara menggunakan Smartphone Android Anda untuk Pengujian Penetrasi

  • Whatsapp
Cara menggunakan Smartphone Android Anda untuk Pengujian Penetrasi
Cara menggunakan Smartphone Android Anda untuk Pengujian Penetrasi
Mengubah Smartphone Android Anda menjadi Perangkat Pengujian Penetrasi

Perusahaan besar mencoba meningkatkan pengalaman pengguna dengan menyederhanakan, meningkatkan kinerja, dan koneksi dengan “IoT”. Hari ini dengan sistem operasi Android yang diinstal pada smartphone yang paling kuat, kami memiliki kekuatan dan kelemahan mereka.

Sistem Linux, memiliki batasan dan izinnya. Pengguna yang membuat “Root” pada perangkat seluler, akan memiliki akses penuh ke sistem dari melihat, mengedit dan menghapus file dan folder dari sistem Android dan bahkan menginstal alat dari berbagai fitur.

Pada artikel ini, saya akan memperkenalkan kepada Anda betapa mudahnya memiliki smartphone dengan alat pentest dan melakukan pemindaian jaringan, pemindaian nirkabel, sniffer, Vulnerability Scanner dan lainnya.

Mempersiapkan Smartphone Android untuk Pengujian Penetrasi

Mari kita mulai mempersiapkan smartphone Anda untuk melakukan tes invasi. Oleh Google Play sendiri, kami memiliki dua aplikasi (berbayar dan gratis) untuk memiliki terminal bash sistem Android.

Setelah aplikasi diinstal, kita harus melakukan mode “Root” untuk memiliki akses penuh ke sistem Android. Oleh karena itu, kita dapat menginstal alat pentest dan monitoring.

Apt-get adalah sistem manajemen paket yang kuat yang digunakan untuk bekerja dengan pustaka APT (Advanced Packaging Tool) Ubuntu untuk melakukan instalasi paket perangkat lunak baru, menghapus paket perangkat lunak yang ada, memutakhirkan paket perangkat lunak yang ada.

Memasukkan tautan repositori Kali Linux dan memperbarui daftar

Pertama, kita akan menggunakan distro repositori Linux untuk pentest, dalam contoh ini, saya menggunakan distro Kali Linux. Setelah kami melakukan perintah “apt-get update”, kami akan memiliki alat font yang andal.

Apt-get adalah sistem manajemen paket yang kuat yang digunakan untuk bekerja dengan pustaka APT (Advanced Packaging Tool) Ubuntu untuk melakukan instalasi paket perangkat lunak baru, menghapus paket perangkat lunak yang ada, memutakhirkan paket perangkat lunak yang ada.

Baca juga Daftar Periksa aplikasi Android pentest

Alat yang kami Dapatkan setelah Memperbarui Daftar

  • NMAP: Pemindai Keamanan, Pemindai Port, & Alat Eksplorasi Jaringan.
  • Bettercap: Alat yang ampuh untuk melakukan Serangan MITM
  • Setoolkit: Memungkinkan untuk melakukan banyak Kegiatan Rekayasa Sosial.

Kami akan menguji alat “NMAP” terlebih dahulu di jaringan tempat smartphone terhubung.

NMAP

Memerintah #nmap 192.168.0.0/24

Dengan menginstal NMAP, kami memiliki beberapa cara untuk memindai jaringan dan menguji beberapa layanan yang ada di server. Di lab sederhana ini, kami melakukan pemindaian jaringan dan mengidentifikasi dua aset jaringan (tetapi tanpa layanan yang rentan untuk diserang).

Mari kita mulai “sniffer” di jaringan untuk menemukan kredensial penting pada aplikasi yang tidak menggunakan enkripsi untuk berkomunikasi. Mari kita lakukan tes dengan “lebih baik” alat.

topi yang lebih baik

Masukkan Perintah #bettercap –sniffer

Jaringan Sniffer
Jaringan Sniffer

Kami mendapat kredensial login di router akses.

Selain HTTP, kami juga mendapatkan HTTPS tetapi tidak akan dibahas dalam artikel ini.

Dengan tautan terlemah dari keamanan informasi adalah USER, ia akan selalu menjadi sasaran serangan dan bahkan tanpa menyadari bahwa sertifikat digital Situs Web akan diubah menjadi sertifikat digital penyerang yang melakukan serangan MITM.

Tangkap login Router
Tangkap login Router

Kami mungkin tidak menggunakan smartphone 100% seperti laptop dengan ribuan alat intrusi; tentunya kita akan memiliki beberapa keterbatasan karena ini adalah sebuah smartphone. Namun, tentu saja, kita dapat menggunakan ponsel dalam mode bridge, yang dikenal sebagai “Pivoting”.

Anda dapat menggunakan VPS sebagai kontrol perintah dan menggunakan pivot di android untuk melakukan pentest.

Menghubungkan C&C Cloud

Metode Spoofing lainnya, menggunakan alat untuk melakukan teknik ini dan mendapatkan Apache2 di Android, kami dapat menyisipkan halaman berbahaya sehingga pengguna dapat memasukkan kredensial login mereka di halaman dan dengan demikian mendapatkan akses ke halaman tersebut.

Setoolkit

Masukkan Perintah Masukkan Perintah # layanan apache2 mulai && /usr/share/setoolkit/setoolkit

Memeriksa Apache dan halaman palsu

Kami memvalidasi bahwa layanan apache bekerja dengan benar.

Memeriksa apakah server Apache Berjalan di smartphone lain

Segera setelah kami mengubah halaman pengujian dari Apache dan meninggalkan halaman Google palsu untuk pengujian ini, kami akan memasukkan email dan kata sandi untuk memastikan bahwa serangan itu berhasil.

Halaman palsu setelah tes Apache

Setelah korban memasukkan kredensial mereka di halaman palsu, dia akan diarahkan ke halaman Google tanpa menyadari bahwa itu “diretas.”
Dalam hal ini, kredensialnya ditangkap dan dimasukkan ke dalam file teks biasa untuk tampilan yang lebih baik. Mengakibatkan hilangnya login, cracker dapat mengakses email dan file Anda secara diam-diam.

Pengujian Penetrasi
Kami mendapatkan login Gmail

Referensi

https://www.kali.orghttps://nmap.orghttps://www.bettercap.orghttps://github.com/trustedsec/social-engineer-toolkithttps://docs.kali.org/general-use/ kali-linux-sources-list-repositorieshttps://play.google.com/store/apps/details?id=com.termux

Sumber & Kredit Asli

BORBOLLA, Renato Basante Lahir di Sao Paulo, Brasil. Dia adalah Administrator Jaringan, Pen Tester, konsultan Keamanan dan Forensik Komputer.

Penafian

Semua Isi Artikel ini Milik Penulis Asli di atas. “GBHackers Pada Keamanan” tidak akan mengambil kredit. Artikel ini hanya untuk tujuan Pendidikan. Segala tindakan dan atau aktivitas yang berkaitan dengan materi yang terdapat di Situs Web ini sepenuhnya menjadi tanggung jawab Anda. Penyalahgunaan informasi di situs web ini dapat mengakibatkan tuntutan pidana terhadap orang yang bersangkutan.

Eksperimen yang dijelaskan dalam artikel ini memiliki tujuan studi. Diuji pada ponsel cerdas apa pun dengan sistem Android dan tidak ada serangan yang dilakukan di situs eksternal. Kami telah melihat kerentanan khas yang terkait dengan peretasan.

Itu “Pengarang” dan “www.gbhackers.com” tidak akan bertanggung jawab jika tuntutan pidana diajukan terhadap individu yang menyalahgunakan informasi di situs web ini untuk melanggar hukum. Dilarang Mereproduksi Konten Ini Tanpa Izin.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.