![]() |
Доброго времени суток, друзья!
Предлагаю создать здесь полезный и постоянно пополняемый список Android-утилит и приложений, которые мы, специалисты по кибербезопасности и энтузиасты, используем для тестирования на безопасность, анализа сетей и просто для повседневных задач. Для тех, кто стремится к постоянному развитию в области кибербезопасности, на античат регулярно публикуются актуальные материалы. Рекомендуем ознакомиться с новейшими статьями, которые помогут вам не потерять мотивацию при самообучении и освоить практические навыки, например: «Сам себе наставник: как не потерять мотивацию при самообучении кибербезопасности» и «Как обучаться информационной безопасности на практике: гид по CTF-платформам». Мы будем использовать следующий формат, чтобы было удобно ориентироваться: Название приложения Краткое описание и основные возможности.
Инструменты для Android-пентестинга и анализа Interceptor-NG (или альтернативы для MITM) Это приложение когда-то было одним из любимых для атак типа «человек посередине» (MITM). Оно предлагало набор инструментов для перехвата паролей, куки-сессий, подмены изображений, ARP- и DNS-спуфинга. Однако его актуальность на современных версиях Android под вопросом, так как проект давно не обновлялся.
Один из популярных сетевых сканеров для Android. Включает в себя сканирование сегмента сети, пинг, трассировку, сканирование портов, определение производителей устройств по MAC-адресу. Отличный инструмент для первичной сетевой разведки.
Удобный VNC-клиент для Android, позволяющий подключаться к вашим удаленным серверам (VDS) или другим компьютерам, на которых настроен VNC-сервер. Полезно для удаленного администрирования и работы с графическим интерфейсом сервера.
Обобщенное название для SSH-клиентов на Android. Мой любимый SSH-клиент для Android с широким функционалом, включая проброс портов и генерацию SSH-ключей. Используется для безопасного удаленного управления вашим виртуальным сервером через протокол SSH.
Позволяет менять MAC-адрес вашего сетевого адаптера. Полезно для обхода простых фильтраций по MAC-адресам в сетях или для повышения анонимности. На современных версиях Android без root-доступа эта функция сильно ограничена или недоступна.
Приложение, эмулирующее консоль Linux на вашем Android-устройстве. Позволяет выполнять команды Bash, устанавливать пакеты Linux (в том числе инструменты для пентестинга, такие как Nmap, Metasploit, Python) и работать с конфигурационными файлами. Незаменимо для серьезной работы.
Брандмауэр для Android, позволяющий контролировать сетевой трафик приложений, блокировать нежелательные соединения. Изначально полезен для борьбы с рекламой и контроля расхода трафика. Для работы на современных Android может требовать root-доступа или использования VPN-режима.
Удобный и функциональный файловый менеджер для Android. Используется для навигации по файловой системе, копирования, перемещения, удаления файлов, а также для работы с архивами и сетевыми ресурсами. Полезен для управления файлами конфигурации или файлами логов при пентестинге.
Позволяет использовать Android Debug Bridge (ADB) для отладки и управления устройством по Wi-Fi, без необходимости использования USB-кабеля (OTG). Это удобно для разработчиков и пентестеров, работающих с Android-устройствами удаленно.
Drozer — это мощный фреймворк для пентестинга Android-приложений и уязвимостей устройств. "Drozer Agent" — это клиентская часть, которая устанавливается на целевое Android-устройство. Для полноценного использования Drozer требуется установка фреймворка на ваш компьютер и понимание его команд.
Официальное приложение Tor для Android, которое позволяет направлять трафик других приложений через сеть Tor, обеспечивая анонимность и обход цензуры. Крайне полезно для защиты вашей конфиденциальности и безопасного исследования сети.
SmartLauncher Легковесный лаунчер для Android с поддержкой большого количества тем. Хотя напрямую не относится к кибербезопасности, он может помочь оптимизировать работу вашего устройства, сделав его более быстрым и удобным для повседневных задач, что косвенно влияет на производительность и общую "комфортность" использования вашего мобильного инструмента.
Это лишь коротенький список, который я постарался обновить и сделать максимально полезным. Я не стал писать в него аналоги приложений, так как их очень много, и это даёт вам, друзья, отличную возможность дополнять этот список! Для более глубокого понимания логики SQL-инъекций и защиты данных, ознакомьтесь со статьей «SQL DB как песочница для новичка: учимся скрывать данные и понимать логику ИБ». Для практического применения полученных знаний и построения собственной среды для пентеста, мы рекомендуем ознакомиться с руководствами: «Как понимание сетевых основ ускоряет создание домашней лаборатории для пентеста» и «Собираем домашний киберполигон: пошаговое руководство по созданию лаборатории для пентеста». Также будьте в курсе актуальных угроз, прочитав «Log4j: как работает уязвимость CVE-2021-44228 и как от нее защититься». Не забывайте, что этичное использование этих инструментов и наличие разрешения на проведение тестов — это ключевые аспекты работы в области кибербезопасности. Какие из этих расширений вы уже используете, и какие дополнительные инструменты могли бы порекомендовать для пентестинга веб-приложений? |
Сначала в ход идет wibr либо wifiacces ,а далее cSploit и там сотря че удумал я)
|
Цитата:
|
Еще нашел программу androdumper, в отличие от wifiacces можно использовать свои словари с wps пинами, хорошая штука,работает,перебор правда долгий ,если со словаря)
|
Хочу добавить:
1. WiFinspect Playmarket 4PDA Огромнейший функционал: поиск сетей с максимально подробной информацией о них (аля airodump-ng), снифинг трафика, host и port discovery, даже сканирование роутера на уязвимости... Блин, всё не перечислишь https://forum.antichat.xyz/attachmen...6c6c5a17e8.png https://forum.antichat.xyz/attachmen...bf3a056a80.png 2. BlueBorneScanner (в свете последних событий) Playmarket Сканирует все телефоны в зоне действия bluetooth на уязвимость BlueBorn. Кстати говоря, пока не находил эксплоита, или хотя бы PoC, а Armis, похоже, не собирается публиковать. Остаётся надеятся на энтузиастов, которые, увидя новость об уязвимости пойдут копать код. https://forum.antichat.xyz/attachmen...5105e97ec3.png |
Из полезных программ
Smart Tools- По моему самая нужна программа для хозяйства, в нем есть все что нужно от простой линейки до транспортира, компас,собачий свисток(отпугивает собак ), металлоискатель(реально работает) и много полезных мелочей... Palapa Web Server - Простая и приятная программка с помощью которого можно создать Локальный Web Server( с phpmyadmin - ом ) Ooniprobe - Для теста скорости интернета,поиск блокированных сайтов... ARP Guard- для защиты своего девайся от ARP спуфинга,снифинга и т.д.. DroidEdit - Редактор Скриптов / Кода Тяжелая артиллерия... Intercepter-ng - Не нуждается в описаний Network Utilities- Набор инструментов для работы с сетью, а так же перехвата/мониторинга/перенаправления траффика внутри вашей сети, прям все что нужно сисадмину) Lucky Patcher- Тоже всем известная программа, функционал большой патчит apk приложения( но я лично использую его для внутриигровых покупок/ удаления назойливой рекламы через фейковую покупку Change My Mac - Лучшая на мой взгляд программа для смены MAC адреса Device Faker- Для визуальной смены модели смартфона, так сказать для анонимности. Еще для более эффективной анонимности в сети в system → build.prop файле в конце добавьте строку net.hostname=любое_имя ( и тогда вместо android_1234567891234567будет любое_имя ) Orbot- для смены IP/VPN WIBR+ - Брут wi-fi паролей WIFI Warden - выдает нужную информацию про роутеры, тип, модель... Hijacker- Aircrack-ng, Reaver, MDK3... на андроид только вот для работы нужен либо wifi адаптер с поддержкой BCMON, либо внешний подключенный через OTG кабель.https://github.com/chrisk44/Hijacker tinyCam PRO- Менеджер IP camer Барабанная Дробь... TERMUX - Мощная эмуляция терминала Linux с обширной коллекцией пакетов. Многие предпочитают установить Linux Deploy и скачать разные Linux дистрибутивы или напрямую установить Kali NetHunter, но для меня самый оптимальный вариант это Termux. https://forum.antichat.xyz/attachmen...3f70dd9bc0.png Для работе программы Root необязателен, но желателен. |
небольшая просьба.. не пишите текст желтым цветом, на некоторых мониторах он не виден.
|
Цитата:
https://forum.antichat.xyz/attachmen...4aa4d2f216.png https://forum.antichat.xyz/attachmen...9ba990b094.png |
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
1) Устанавливаешь Termux из Google Play → весит всего 400кб.. 2) Дальше есть у меня репозиторчик на Github-e pkg update → если попросит что типа (Y/I,N/.... жмем просто Enter) apt install git git clone https://github.com/Deathlive/Storm chmod -R 777 $HOME/Storm cd Storm bash start.sh Юзаете 1-ый пункт, потом 2-ой закрываете термукс потом включаете, 3-ий пункт и снова перезагрузка термукса. Можете в принципе посмотреть что это за скрипт start.sh, что бы по отдельности не устанавливать python,ruby,nano,nmap,hydra.. скрипт делает все за вас. 3) И наконец установка Metasploit bash start.sh → 4 → 1 → Ждем окончания → все Metasploit установлен но нужно исправить некоторые ошибки. bash start.sh → 4 → 2 → Исправление ошибок bash start.sh → 4 → 3 → Настройка базы данных 4) Все готово только перед запуском надо включить postgresql базу данных pg_ctl -D $PREFIX/var/lib/postgresql start // Для старта pg_ctl -D $PREFIX/var/lib/postgresql stop // Для остановки базы msfconsole После всех этих манипуляций вес программы становиться на 800-900мб.. но оно того стоит [doublepost=1505839614,1505839369][/doublepost] Цитата:
|
Цитата:
|
Цитата:
|
pkg update
apt install curl curl -LO https://raw.githubusercontent.com/Techzindia/Metasploit_For_Termux/master/metasploitTechzindia.sh еще здесь есть ресурс https://wiki.termux.com/wiki/Metasploit_Framework брал все от сюда |
Цитата:
Есть еще некоторые мелочи для полноценного и легкого использования. Не знаю как вам, но bash shell мне не по нраву , по этому я установить pkg install fish, и сделал его по умолчанию chsh -s fish Для смены шрифта и стиля нужно установитx https://f-droid.org/packages/com.termux.styling/ Что бы открыть панель с ESC / CTR / ALT / TAB нужно нажать кнопку звук вверх и букву q. Или установить Hacker Keyboard or Full Keyboard https://4pda.ru/forum/index.php?showtopic=725572 И еще корневая система Android отличается от Linux, поэтому некоторые pip install программы, могут вызвать ошибку bin/sh not found для этого нужно эту программу установить через pkg install proot → termux-chroot / exitвыход из chroot. И если вдруг в будущем получите Root права, то его можно использовать через sudo → https://github.com/st42/termux-sudo или через оболочку tsu → pkg install tsu |
да fish для новичков очень будет полезен, и он более дружелюбный чем bash и с ним становится более понятен принцип работы в терминале
не забывайте юзать ТАБ))) команды выстреливают как с пулемета)) |
Цитата:
./msfconsole [-] Failed to connect to the database: could not connect to server: Connection refused Is the server running on host "127.0.0.1" and accepting TCP/IP connections on port 5432? Как исправить это? https://forum.antichat.xyz/attachmen...eb84d4dbaf.png |
| Время: 07:35 |