本文目录一览:
在手机安装 Kali Linux
之前给大家介绍过 Kali Linux,它是一个专为网络安全人员打造的 Linux 发行版,集成了众多的渗透测试工具。
刚好最近在网上看到有个软件叫 Linux Deploy,可以在 Android 手机上运行 Linux 发行版,而其所支持的发行版中就包括了 Kali Linux。
本着好奇和爱折腾的心,拿我的旧手机鼓捣了一下,在这里分享记录一下折腾历程。
准备工作
1.硬件
友情提示:获取 root 权限会给手机带来一定的风险,建议拿闲置的旧手机进行尝试。
这里我用的手机是 Nubia Z11 miniS,4 + 64G,骁龙 625 处理器,Android 9.0 系统,并且已获取 root 权限。
2.软件
逐一安装以上软件(软件安装包都已打包好,公众号后台回复 手机渗透 即可获取)。
需要注意的是,BusyBox Pro 安装之后需要打开软件,允许获取 root 权限。然后界面顶部可以看到一个加载进度条,等进度条加载到 100%,此时再点击下方的 安装 按钮,才算安装完成。
安装 Kali Linux
打开 Linux Deploy,允许获取 root 权限。首次打开时会显示正在更新环境,等一会儿就好。
进入软件主界面,点击左上角菜单,就是三条横线的那个。
点击后侧边弹出菜单,点击配置文件,打开配置文件界面。点击右上角加号,新建一个配置文件,名称随意,这里我写的是 Kali,点击确定。
点击刚刚新建的配置,将其选中。
返回到软件主界面,此时顶部的 linux 已经变成了 Kali,说明此时用的配置文件是刚刚新建的 Kali。
点击底部最右边的按钮,打开属性配置页面。
发行版选择 Kali,架构默认就好,一般会自动选择与你手机 cpu 相符的架构。
将源地址修改为 。这是中科大的源,安装起来会比较快。
安装类型:可以选择目录也可以选择文件,其他选项不建议尝试。
这里我选择的是目录,安装路径填写 ${ENV_DIR}/kali ,镜像大小自动分配。
如果选择的是镜像文件,安装路径填写 ${EXTERNAL_STORAGE}/kali.img ,镜像大小可以自动分配,也可以输入固定的值。如果输入固定的值,则会立马创建一个固定大小的镜像文件,推荐使用自动分配。
滑动到下面,设置用户名密码。
继续滑到底部。勾选启用 ssh 服务,用于远程连接。勾选启用图形环境,用于远程桌面连接。
返回到软件主界面,点击右上角菜单,弹出菜单栏,点击安装。
正在安装中。。。喝口水等一会儿。
大约需要 7 - 8 分钟,当出现 deploy 时代表已经安装完成。如下图。
然后就可以启动系统了。
点击左下方启动按钮。出现 Starting extra/ssh ... done 代表成功启动 ssh 服务。出现 Starting graphics/vnc ... done ,代表成功启动 VNC 图形界面服务。
至此,整个系统也就算是安装成功了。如下图。
若 ssh 出现 failed 之类的,说明系统启动失败,可能是选择的架构不对,可选择其他架构重新安装尝试。
如果不知道自己手机的 CPU 架构,可以使用 CPU-Z 查看。CPU-Z 安装包我也一并打包了。
我的是 aarch64,对应为 arm64。x86 对应为 i386,x64 对应为 amd64。arm 对应 armel 或 armhf ,可以自行尝试。
使用 ssh 登录系统
打开 Juice SSH,点击管理连接。点击右下角加号,新增一个连接,输入地址以及认证信息。
地址输入 127.0.0.1 ,认证选择新建。
新建认证。
输入之前在 Linux Deploy 设置的账号密码。
一路点击右上角保存。
此时界面已经可以看到刚刚新建的连接,点击即可连接。
成功连接 Kali Linux。
使用电脑进行连接。
一样连接成功。
连接 vnc 图形界面环境
打开 VNC Viewer,右下角加号按钮,新建一个连接,输入地址 127.0.0.1 ,名称任意,点击 CREATE。
创建好后,点击进行连接。
弹出一个警告,点击右上角 OK 即可。关闭下方的 Warn me every time ,下次就不会有警告了。
要求输入密码,密码就是前面在 Linux Deploy 设置的密码。
连接成功!熟悉的 Kali Linux 壁纸!
将手机横屏,全屏显示。
看起来舒服多了。(我的手机横屏有点问题,所以装了一个强制横屏软件,才成功横屏,软件也在上面一并打包了,需要可以自取)
使用电脑 VNC Viewer 连接。
很清晰,而且居然不算太卡。
至此,我就拥有了一部可以用来做渗透测试的 Android 手机了,还是蛮不错的。
以上就是完整的安装过程了,如果你也喜欢折腾,并且刚好有一部旧手机,不妨动手尝试一下。
网络安全工程师分享的6大渗透测试必备工具
租用海外服务器,不可避免就是考虑使用安全问题,其中渗透测试可模仿网络黑客攻击,来评估海外服务器网络系统安全的一种方式。互联网中,渗透测试对网络安全体系有着重要意义。
通过渗透工具可提高渗透测试效率。快速云作为专业的IDC服务商,在本文中为大家分享了网络安全工程师推荐的6种必备渗透工具,使用这6种工具后用户可实现更高效的进行渗透测试。
一、NST网络安全工具
NST是基于Fedora的Linux发行版,属于免费的开源应用程序,在32、64平台运行。使用NST可启动LiveCD监视、分析、维护海外服务器网络安全性。可以用于入侵检测、网络浏览嗅探、网络数据包生成、扫描网络/海外服务器等等。
二、NMAP
可以用于发现企业网络种任意类型的弱点、漏洞,也可以用于审计。原理是通过获得原始数据包渠道哪些海外服务器在网络特定段中有效,使用的是什么操作系统,识别正在使用的特定海外服务器的数据包防火墙/过滤器的不同版本和类型。
三、BeEF工具
BeEF工具可以通过针对web浏览器查看单源上下文的漏洞。
四、AcunetixScanner
一款可以实现手动渗透工具和内置漏洞测试,可快速抓取数千个网页,可以大量提升工作效率,而且直接可以在本地或通过云解决方案运行,检测出网站中流行安全漏洞和带外漏洞,检测率高。
五、JohntheRipper
这款工具最常见,可简单迅速的破解密码。支持大部分系统架构类型如Unix、Linux、Windows、DOS模式等,常用于破解不牢固的Unix/Linux系统密码。
六、SamuraiWeb测试框架
SamuraiWeb测试框架预先配置成网络测试平台。内含多款免费、开源的黑客工具,能检测出网站漏洞,不用搭建环境装平台节省大部分时间很适合新手使用。
APP的安全漏洞怎么检测,有什么工具可以进行检测?
目前我经常用的漏洞检测工具主要就是爱内测,因为爱内测会根据应用特性,对程序机密性会采取不同程度不同方式的检测,检测项目包括代码是否混淆,DEX、so库文件是否保护,程序签名、权限管理是否完整等;组件安全检测主要针对Activity、Broadcast Receiver、Service、WebView、Intent等是否存在漏洞,并给出针对性建议;数据安全会全面检测APP存在的数据泄漏漏洞和输出层、协议层等所有涉及数据安全的漏洞,确保APP里那些可能导致帐号泄露的漏洞被全部检测出。
手机杀毒软件哪个比较好
以下有总结出的较好的五款杀毒软件:
这五款杀毒软件使用者可根据自己的喜好和需求进行选择,可满足自己的大部分要求。
一、360手机卫士2018官方最新版是一款安卓平台功能强大的安全防护软件,360手机卫士安卓版将人与安全紧密连接,为10亿用户提供全方位手机安全管理服务,360手机卫士手机版是手机日常使用必不可少的手机软件。
二、腾讯手机管家2018最新版是腾讯官方出品的一个应用于手机安全防范的一个软件,腾讯手机管家app是一款永久免费的手机安全与管理软件,集一键体检、手机加速、智能省电、流量监控、骚扰拦截、手机令牌、手机防盗、病毒查杀及隐私保护等功能于一体,既是安全专家,更是贴心管家,360°保护您的无线生活!
三、百度手机卫士是百度推出的一款手机管理软件,这款产品是由百度12年收购的安卓优化大师演变而来的。
四、qq安全中心是腾讯公司推出的QQ帐号保护软件。让您的QQ帐号、Q币和游戏装备等享受银行级别的安全保护,还能随时掌握QQ帐号信息。
五、瑞星手机杀毒软件是一款完全免费的手机杀毒和安全防护软件,提供了查杀病毒、隐私保护、防骚扰、号码查询和手机优化五大功能,是目前市场上功能最全的专业级手机安全软件。用户可以非常容易地使用这些功能查杀手机中的病毒和恶意软件,优化手机操作系统,并全方位地保护手机中的隐私数据。
以上为总结的五款杀毒手机软件
渗透测试工具有哪些
1、Kali Linux
不使用Kali Linux作为基本渗透测试操作系统,算不上真正的黑客。Kali Linux是基于Debian的Linux发行版,
设计用于数字取证操作系统。每一季度更新一次。由Offensive Security Ltd维护和资助。最先由Offensive Security的Mati
Aharoni和Devon Kearns通过重写BackTrack来完成,BackTrack是他们之前写的用于取证的Linux发行版 。
Kali Linux的前身是BackTrack
Linux,有进攻性安全部门的专业人士维护,它在各个方面都进行了优化,可以作为进攻性渗透测试工具使用。
2、Nmap
Nmap是发现企业网络中任何类型的弱点或漏洞的绝佳工具,它也是审计的很好工具。该工具的作用是获取原始数据包并确定哪些主机在网络的特定段上可用,正在使用什么操作系统,以及识别特定主机的数据包防火墙或过滤器的不同类型和版本正在使用。Nmap对渗透测试过程的任何阶段都很有用并且还是免费的。
3、Wireshark
Wireshark是一个无处不在的工具,可用于了解通过网络的流量。虽然通常用于深入了解日常TCP/IP连接问题,但Wireshark支持对数百种协议的分析,包括对其中许多协议的实时分析和解密支持。如果不熟悉渗透测试,Wireshark是一个必须学习的工具。
4、John the Ripper
John the
Ripper是一个很流行的密码破解工具,是渗透测试工具包中的一个很必要的补充。它可以用来确定数据库中的未知弱点,通过从传统字典中找到的复杂和流行的单词列表,获取文本字符样本,并用与正在生成的密码相同的格式,对其进行加密来达到目的。
5、Hashcat
Hashcat自称世界上最快和最先进的密码恢复应用程序,可能并不是谦虚,懂Hashcat的人肯定知道它的价值。Hashcat让John the
Ripper一筹莫展。它是破解哈希的首选渗透测试工具,Hashcat支持多种密码猜测暴力攻击,包括字典和掩码攻击。
6、Hydra
Hydra在需要在线破解密码时发挥作用,例如SSH或FTP登录、IMAP、IRC、RDP等等。将Hydra指向你想破解的服务,如果你愿意,可以给它传递一个单词列表,然后扣动扳机。像Hydra这样的工具提醒人们为什么限制密码尝试和在几次登录尝试后断开用户连接可以成功地防御攻击者。
7、Sqlmap
Sqlmap,是非常有效的开源的SQL注入工具,并且自动化检测和利用SQL注入缺陷并接管数据库服务器的过程,就像它的网站所说的那样。Sqlmap支持所有常用目标,包括MySQL、oracle、PostgreSQL、Microsoft
SQL、server等。