在本文中將介紹三種使用 Android設(shè)備進(jìn)行滲透測(cè)試的思路。本文中的大多數(shù)使用基于 Kali Nethunter.
安裝 Kali Nethunter
kali nethunter 是在已有的 rom上對(duì)內(nèi)核進(jìn)行修改而定制的一個(gè)系統(tǒng)，他通過 chroot 來在安卓設(shè)備中運(yùn)行 kali。故在安裝 kali nethunter前你得先有一個(gè)被支持的rom.官方支持的設(shè)備和rom列表： https://github.com/offensive-security/kali-nethunter/wiki 。這里我用的是 nexus4 ，其他設(shè)備的流程應(yīng)該大概差不多。具體流程如下：
根據(jù)官方的支持列表刷入 對(duì)應(yīng)支持的 rom , 為了方便可以使用 刷機(jī)精靈 進(jìn)行刷機(jī)，我的是nexus4 ,刷cm13, 使用這個(gè)鏡像 http://www.romzj.com/rom/61429.htm  。
從 https://build.nethunter.com/nightly/  下載對(duì)應(yīng)的 kernel-nethunter-makocm-marshmallow-* 和 nethunter-generic-armhf android-kalifs-full-rolling-* ， 然后使用 twrp 先刷 kalifs ， 然后刷入 kernel.
遇到的問題
nethunter app會(huì)卡死在 復(fù)制腳本文件那，我注釋掉了那兩句復(fù)制文件的代碼，手動(dòng)把a(bǔ)pk中asserts目錄下的相應(yīng)目錄復(fù)制為： /data/data/com.offsec.nethunter/files/{etc,scripts} 和 /sdcard/nh_files 
在windows下復(fù)制腳本到linux, 會(huì)因?yàn)閾Q行符的問題導(dǎo)致腳本不能執(zhí)行， 使用 dos2unix 對(duì)文件進(jìn)行轉(zhuǎn)換
com.offsec.nhterm （用于開啟、使用 kali的命令行界面）會(huì)報(bào)錯(cuò)，使用 https://github.com/madScript01/install_nh  中的Term-nh.apk 把它替換掉。
為了方便后面的實(shí)驗(yàn)，開啟 ssh服務(wù)，使用PC連接(默認(rèn)用戶名密碼： root/toor)， 真正去滲透時(shí)我們可以把一些常用的命令寫成腳本方便直接運(yùn)行。
開啟ssh

思路一：普通U盤類攻擊
在nethunter安裝完后，會(huì)有一個(gè) DroidDrive 的app, 我們可以用它來創(chuàng)建一個(gè)鏡像，然后掛載，然后我們的安卓手機(jī)就可以當(dāng)U盤來用了。具體過程看下面。
                                    

點(diǎn)擊需要掛載的鏡像，然后會(huì)有幾種掛載方式，這里使用第二種就行。弄好后，用usb線接入電腦，會(huì)提示 需要格式化 ，格式化后就和普通的U盤一樣用了。
U盤攻擊很早之前就有了，那時(shí)使用 autorun.inf 來傳播病毒， 下面要介紹的是使用 最近的 cve-2017-8464 的 exp來進(jìn)行攻擊。首先使用msf生成 payload

根據(jù)你的U盤在pc上識(shí)別為什么盤(A,B,...)來復(fù)制相應(yīng)的 .lnk文件 和 .dll。為了通用把他們?nèi)珡?fù)制到u盤根目錄。然后設(shè)置好 handler:

插入U(xiǎn)盤，打開我的電腦，就會(huì)反彈shell了。
思路二：HID攻擊
通過HID攻擊，我們可以通過USB線來模擬鍵盤鼠標(biāo)的操作，這樣我就可以在目標(biāo)上執(zhí)行惡意代碼。Kali Nethunter中有兩種 HID攻擊payload生成方式。第一種就是下面這個(gè)：
手機(jī)通過USB連到 PC ,然后：

電腦上會(huì)打開 cmd, 執(zhí)行 ipconfig：
這種方式非常簡(jiǎn)單，但是不夠靈活。當(dāng)機(jī)器的默認(rèn)輸入法為中文時(shí)，命令輸入有時(shí)是會(huì)出問題的，比如輸入 " （英文雙引號(hào)）時(shí) 會(huì)變成 “（中文雙引號(hào)）。
我建議用下面的那個(gè) DuckHunter HID 模式進(jìn)行這種方式的攻擊。
該模式 允許我們使用 Usb Rubber Ducky的語法來實(shí)現(xiàn)  HID攻擊，此外該模式還提供了一個(gè) Preview 的選項(xiàng)卡，通過它我們可以發(fā)現(xiàn)其實(shí)HID攻擊實(shí)際上就是使用 shell命令向 /dev/hidg0 發(fā)送數(shù)據(jù)，之后該設(shè)備就會(huì)將他們轉(zhuǎn)換為鍵盤或者鼠標(biāo)的操作。
后來在Github瞎找，找到了一個(gè)針對(duì)該模式生成shell腳本的項(xiàng)目： https://github.com/byt3bl33d3r/duckhunter 使用它我們可以很方便的對(duì)腳本進(jìn)行測(cè)試（寫完Usb Rubber Ducky腳本用該工具生成shell腳本然后再 Nethunter上運(yùn)行 shell腳本。），同時(shí)該項(xiàng)目還提供了簡(jiǎn)單的 Usb Rubber Ducky的語法。
此時(shí)我們就能通過Nethunter向主機(jī)輸入各種的鍵盤按鍵，組合鍵等。所以對(duì)于上面提出的 中文問題。我們可以在需要輸入字符時(shí)，發(fā)送shift鍵切換到英文就行了。