在Android APK中嵌入Meterpreter
Joff Thyer//
如今移动设备无处不在。我们日常生活中的许多应用正在迁移到云部署,前端技术又回到了瘦客户端的时代。随着钟摆再次摆动,我们的瘦客户端可以是任何东西,从JavaScript浏览器框架到支持移动的前端,如Apple iOS上的Objective-C,或基于Android的Java。
从恶意软件的角度来看,我们的苹果朋友继续维护着“洞穴中的五个人”范式,试图审查所有进入iOS应用商店的应用。虽然这是一项崇高的努力,但仍有一些恶意软件悄悄溜进门的情况。与苹果不同,Android市场采用开放的方法,允许任何人向Play商店贡献内容,并且代表了移动市场的大部分份额。此外,还有各种第三方网站允许直接下载Android应用程序包文件(APK)。
Metasploit项目允许渗透测试人员生成具有高度功能的Meterpreter命令通道的Android有效载荷,可以加载到Android设备上。通常,加载此APK将通过Android调试器“adb”进行侧载。从渗透测试的角度来看,一件有趣的事情是将一个合法的(可能有趣的)应用与Meterpreter结合,并将该应用侧载到Android设备上。自然,你可能会考虑将该设备作为礼物发送给“朋友”或类似的社交工程诡计。
Android应用是用Java编写的,编译成称为DEX的Dalvik可执行格式。应用的编译版本是DEX字节码文件的ZIP文件。Android上的Dalvik虚拟机最近已被Android RunTime(ART)取代,后者执行额外的优化并将DEX字节码编译成本地汇编代码。Dalvik VM主要对大部分字节码执行即时(JIT)解释。ART的性能高于Dalvik虚拟机,后者仅优化应用程序频繁执行部分的字节码。
Smali/baksmali是Android DEX字节码的汇编器/反汇编器。一个名为“apktool”的Android工具能够将压缩的DEX(APK文件)反汇编成smali文件,并将smali文件重新汇编回DEX,随后到压缩的APK格式。我们可以使用此工具反汇编和修改现有的APK文件。在这种情况下,我们可以使用该工具反汇编并在初始Android Activity的smali代码中添加一个额外的静态入口点来启动我们的Meterpreter。
总体而言,将Meterpreter嵌入现有APK文件的步骤如下:
- 在“apkmonk.com”或类似的镜像网站上找到一个现有的有趣APK应用。
- 生成Metasploit APK文件。
- 使用“apktool”反汇编Metasploit APK文件和我们要修改的APK文件。
- 将所有Meterpreter smali代码复制到新的APK smali目录中。
- 通过查找包含以下行的intent-filter,在APK应用的
AndroidManifest.xml文件中找到代码的入口点:<action android:name="android.intent.action.MAIN"/>。包含此intent-filter的activity名称将是您寻找的入口点。 - 修改activity“.smali”文件,添加一行启动Meterpreter阶段的代码。
- 将所有Meterpreter smali代码复制到新的APK smali目录中。
- 重新汇编成DEX压缩格式。
- 使用“jarsigner”对新创建的APK文件进行签名,然后侧载到目标Android设备上。
通过具体示例更容易理解上述步骤。为了说明这一点,我从apkmonk.com下载了一个名为Cowboy Shooting Game的游戏的APK文件。
生成您的恶意软件APK
然后我使用“msfvenom”命令生成一个Metasploit APK,如下所示。
反汇编APK文件
然后使用“apktool”反汇编(baksmaling!!!)两个文件,如下所示:
将恶意代码复制到Cowboy Tools游戏中
一个简单的方法是更改目录到Metasploit APK目录,然后将“smali”目录下的所有文件复制到“com.CowboyShootingGames_2018-09-22”目录中。我从系统管理员那里学到一个旧技巧,使用“tar”命令备份整个目录树,通过将tar的输出管道传输到第二个命令,该命令更改目录并“解tar”生成的文件。
找到Activity入口点
下面我们可以看到入口activity列为“com.CowboyShootingGames.MainActivity”。我们知道这一点,因为XML包含一个带有“android.intent.action.MAIN”的intent-filter。
修改Activity入口点Smali文件
如上所示,在这种情况下,文件将命名为“MainActivity.smali”,并根据完全限定类路径中的句点(“.”)位于“com/CowboyShootingGames”目录中。
在“MainActivity.smali”文件中,我们寻找“onCreate()”方法。
我们需要在“onCreate()”方法调用下方添加一行“smali”代码来调用我们的Meterpreter阶段。
|
|
请注意,以上是单行代码。可以通过使用不同于“com/metasploit/stage/Payload”的路径名进行混淆,但如果您这样做,将必须修改“Payload”目录中包含的所有“smali”文件中对该路径的所有引用,并更改目录名本身。这可以手动完成,但容易出错。暂时继续没有任何混淆,修改后的最终结果将如下截图所示。
向修改后的APK“AndroidManifest.xml”文件添加权限
下一步,使用“grep”搜索Metasploit“AndroidManfest.xml”文件中所有包含字符串“uses-permission”和“uses-feature”的行,并将其添加到修改后的APK的AndroidManiest.xml文件中。
您将需要使用编辑器在新“AndroidManifest.xml”文件的适当位置插入权限。搜索现有的“use-permission”行作为插入文本的指南。
您可能会得到一些重复的权限。您可以选择删除它们,但这真的无关紧要。
构建新的APK包文件
现在再次使用“apktool”重新汇编生成的APK包文件。最终结果将写入APK目录本身的“dist”目录中。
重新签名生成的包文件
对于重新签名,一种简单的方法是使用Android调试密钥库,如果您安装Android studio,则会构建该密钥库。调试密钥库将包含在UN*X系统上主目录中的“.android”隐藏目录中。
另一种方法是使用Java“keytool”生成自己的自签名密钥库,并使用“jarsigner”工具进行签名,如下截图所示。
此时,“final.apk”文件已准备好使用“adb”加载到Android系统上。
在这种特定情况下,我正在运行“GenyMotion”的副本,这是一个基于x86的模拟器,使用VirtualBox进行非常高性能的Android模拟。您可能立即遇到的一个挑战是x86模拟不会本地支持ARM处理器。为了克服这一挑战,网上有一些ARM转换库可用。您需要搜索“Genymotion-ARM-Translation_v1.1.zip”,然后将ZIP文件拖到运行的GenyMotion Android系统上。不幸的是,这不是100%可靠,可能仍然会导致一些应用崩溃。
确保ARM APK文件在设备上运行的一种确定方法是使用硬件设备本身。我发现Nexus 6系列设备很好用,因为“rooting”工具包相当可靠,并且通过USB电缆连接进行测试并不太繁琐。
最后一步当然是尝试我们新感染的Cowboy Shooting游戏。我们很快发现,当我们启动游戏时,我们在KALI系统上获得了一个Meterpreter shell,这感觉非常正确。
我真的不认为我会花时间学习这个游戏,坦率地说,这只是从“apkmonk.com”随机挑选的。
这么多复杂的步骤……这么多可能出错的地方……
在执行了上述所有必要步骤后,我立即感到沮丧。有这么多移动部件,出错的机会相当高。可能还有其他工具可用,但我决定快速编写一个Python脚本来自动化这个过程。我称之为“android_embedit.py”,我现在警告您,这绝对是一个快速而肮脏的努力,以完成工作,而无需在强化逻辑上付出太多努力。
“android_embedit.py”的想法是,如果您提供Metasploit生成的APK文件、要修改的原始APK和密钥库,它将自动执行所有步骤并为您生成结果。
以下是运行该工具的示例。所有临时文件和输出将存储在“~/.ae”目录中。
该工具还会删除“metasploit”目录名,并自动用随机字符串目录名进行混淆。您可以在以下截图中看到此结果,其中我列出了APK“smali/com”目录的内容。名为“dbarpubw”的目录实际上包含Metasploit stager代码。
移动应用及其相关的应用程序编程接口还有很多持续的乐趣。作为渗透测试人员,熟悉这些平台是个好主意,因为您无疑很快就会遇到在移动领域测试的需求。
我想您现在可能只想玩“Android EmbedIT”!好吧,如果您这样做,可以从我的GitHub下载,访问https://github.com/yoda66/AndroidEmbedIT。
保持冷静,并黑客所有移动设备。~Joff