 |
|
27.10.2016, 23:59
|
|
Новичок
Регистрация: 20.10.2016
Сообщений: 0
С нами:
5033900
Репутация:
0
|
|
Доброго времени суток, друзья!
Предлагаю создать здесь полезный и постоянно пополняемый список Android-утилит и приложений, которые мы, специалисты по кибербезопасности и энтузиасты, используем для тестирования на безопасность, анализа сетей и просто для повседневных задач.
Для тех, кто стремится к постоянному развитию в области кибербезопасности, на античат регулярно публикуются актуальные материалы. Рекомендуем ознакомиться с новейшими статьями, которые помогут вам не потерять мотивацию при самообучении и освоить практические навыки, например: «Сам себе наставник: как не потерять мотивацию при самообучении кибербезопасности» и «Как обучаться информационной безопасности на практике: гид по CTF-платформам».
Мы будем использовать следующий формат, чтобы было удобно ориентироваться:
Название приложения
Краткое описание и основные возможности.- Сфера применения: (Например, MITM, сканирование сети, управление сервером, анонимность)
- Требования: (Нужен ли root-доступ, совместимость с актуальными версиями Android)
- Важное примечание: (Актуальность, альтернативы, особенности использования)
- Где скачать: (Ссылка на официальный сайт, Google Play или другие источники)
И так, как автор темы, начну этот список я. Помните, что мир кибербезопасности постоянно меняется, и некоторые инструменты могут устаревать или требовать специфических условий для работы на современных устройствах. Всегда проверяйте актуальность и безопасность загружаемых приложений\!
Инструменты для Android-пентестинга и анализа
Interceptor-NG (или альтернативы для MITM)
Это приложение когда-то было одним из любимых для атак типа «человек посередине» (MITM). Оно предлагало набор инструментов для перехвата паролей, куки-сессий, подмены изображений, ARP- и DNS-спуфинга. Однако его актуальность на современных версиях Android под вопросом, так как проект давно не обновлялся.- Сфера применения: MITM-атаки, сетевой анализ, перехват данных.
- Требования: Вероятно, требуется root-доступ для полноценной работы на новых Android. Совместимость с последними версиями Android может быть ограничена.
- Важное примечание: Устаревший инструмент. Для современных MITM-атак на Android часто используются более специализированные фреймворки и инструменты, требующие глубоких знаний ОС и сети (например, на базе Termux с Nmap/Bettercap, или десктопные решения вроде Burp Suite с настройкой прокси на устройстве).
- Где скачать: Ранее был доступен с официального сайта.
Fing
Один из популярных сетевых сканеров для Android. Включает в себя сканирование сегмента сети, пинг, трассировку, сканирование портов, определение производителей устройств по MAC-адресу. Отличный инструмент для первичной сетевой разведки.- Сфера применения: Сетевая разведка, сканирование сети, инвентаризация устройств.
- Требования: Без root-доступа для базового функционала.
- Важное примечание: Актуален и активно развивается. Отличный старт для понимания вашей сети.
- Где скачать:Google Play Market.
VNC Viewer
Удобный VNC-клиент для Android, позволяющий подключаться к вашим удаленным серверам (VDS) или другим компьютерам, на которых настроен VNC-сервер. Полезно для удаленного администрирования и работы с графическим интерфейсом сервера.- Сфера применения: Удаленное администрирование, управление серверами.
- Требования: Без root-доступа.
- Важное примечание: Актуален. Убедитесь, что ваш VNC-сервер настроен безопасно, используя сильные пароли и шифрование.
- Где скачать:Google Play Market.
SSH Client (например, Termius, JuiceSSH)
Обобщенное название для SSH-клиентов на Android. Мой любимый SSH-клиент для Android с широким функционалом, включая проброс портов и генерацию SSH-ключей. Используется для безопасного удаленного управления вашим виртуальным сервером через протокол SSH.- Сфера применения: Удаленное управление серверами, безопасная передача данных, туннелирование трафика.
- Требования: Без root-доступа.
- Важное примечание: Критически важен для работы с удаленными системами. Рекомендую выбирать клиенты с активной поддержкой и хорошими отзывами, например, Termius или JuiceSSH.
- Где скачать: Google Play Market.
MacChanger (для рутованных устройств)
Позволяет менять MAC-адрес вашего сетевого адаптера. Полезно для обхода простых фильтраций по MAC-адресам в сетях или для повышения анонимности. На современных версиях Android без root-доступа эта функция сильно ограничена или недоступна.- Сфера применения: Обход сетевых фильтров, анонимность.
- Требования: Требуется root-доступ. Совместимость с новыми Android и версиями ядра может варьироваться.
- Важное примечание: Использование данной утилиты без разрешения владельца сети может быть незаконным.
- Где скачать: Чаще всего доступен на репозиториях для рутованных устройств или специализированных форумах.
Терминал (например, Termux)
Приложение, эмулирующее консоль Linux на вашем Android-устройстве. Позволяет выполнять команды Bash, устанавливать пакеты Linux (в том числе инструменты для пентестинга, такие как Nmap, Metasploit, Python) и работать с конфигурационными файлами. Незаменимо для серьезной работы.- Сфера применения: Выполнение консольных команд, установка Linux-инструментов, разработка скриптов, пентестинг.
- Требования: Без root-доступа для базового функционала, но для доступа к некоторым системным функциям или монтирования файловых систем может потребоваться root.
- Важное примечание:Termux — это мощная платформа, которая может превратить ваш Android в полноценную мобильную лабораторию для кибербезопасности. Рекомендуется как основной инструмент для работы с консолью на Android.
- Где скачать:F-Droid (рекомендуется) или Google Play Market.
DroidWall (или современный брандмауэр)
Брандмауэр для Android, позволяющий контролировать сетевой трафик приложений, блокировать нежелательные соединения. Изначально полезен для борьбы с рекламой и контроля расхода трафика. Для работы на современных Android может требовать root-доступа или использования VPN-режима.- Сфера применения: Контроль сетевого трафика приложений, конфиденциальность.
- Требования: Для полной функциональности обычно требуется root-доступ. Без root может работать в режиме VPN.
- Важное примечание: Актуальность зависит от версии Android и наличия root. Существуют более современные брандмауэры и VPN-решения для контроля трафика (например, NetGuard без root).
- Где скачать: Поиск по названию в Google Play Market или на специализированных форумах.
Total Commander
Удобный и функциональный файловый менеджер для Android. Используется для навигации по файловой системе, копирования, перемещения, удаления файлов, а также для работы с архивами и сетевыми ресурсами. Полезен для управления файлами конфигурации или файлами логов при пентестинге.- Сфера применения: Управление файлами, навигация по файловой системе.
- Требования: Без root-доступа для базового функционала. Для доступа к системным папкам может потребоваться root.
- Важное примечание: Универсальный файловый менеджер. Актуален.
- Где скачать:Google Play Market.
WiFi ADB
Позволяет использовать Android Debug Bridge (ADB) для отладки и управления устройством по Wi-Fi, без необходимости использования USB-кабеля (OTG). Это удобно для разработчиков и пентестеров, работающих с Android-устройствами удаленно.- Сфера применения: Отладка Android-устройств, удаленное управление, разработка.
- Требования: Устройство должно быть в той же сети Wi-Fi, а на компьютере должен быть установлен ADB.
- Важное примечание: Удобно для автоматизации и упрощения взаимодействия с устройством.
- Где скачать: Поиск в Google Play Market.
Drozer Agent
Drozer — это мощный фреймворк для пентестинга Android-приложений и уязвимостей устройств. "Drozer Agent" — это клиентская часть, которая устанавливается на целевое Android-устройство. Для полноценного использования Drozer требуется установка фреймворка на ваш компьютер и понимание его команд.- Сфера применения: Анализ уязвимостей Android-приложений, тестирование IPC (межпроцессного взаимодействия), выявление слабых мест в системе безопасности приложений.
- Требования: Для использования Drozer Agent требуется root-доступ на устройстве. Основной фреймворк устанавливается на ПК.
- Важное примечание: Это серьезный инструмент для специалистов. Требует изучения документации и навыков работы с фреймворком.
Orbot: Proxy with Tor
Официальное приложение Tor для Android, которое позволяет направлять трафик других приложений через сеть Tor, обеспечивая анонимность и обход цензуры. Крайне полезно для защиты вашей конфиденциальности и безопасного исследования сети.- Сфера применения: Анонимность, обход цензуры, защита конфиденциальности, безопасное исследование.
- Требования: Без root-доступа для использования в режиме VPN. Для прозрачного проксирования всего трафика может потребоваться root.
- Важное примечание: Актуален и активно поддерживается. Важный инструмент для любого, кто заботится об онлайн-анонимности.
- Где скачать:Google Play Market.
Полезные утилиты (не связанные напрямую с пентестингом)
SmartLauncher
Легковесный лаунчер для Android с поддержкой большого количества тем. Хотя напрямую не относится к кибербезопасности, он может помочь оптимизировать работу вашего устройства, сделав его более быстрым и удобным для повседневных задач, что косвенно влияет на производительность и общую "комфортность" использования вашего мобильного инструмента.- Сфера применения: Персонализация, оптимизация интерфейса Android.
- Требования: Без root-доступа.
- Важное примечание: Актуален. Выбор лаунчера — дело вкуса, но легкие лаунчеры могут повысить скорость работы устройства.
- Где скачать: Google Play Market.
Заключение
Это лишь коротенький список, который я постарался обновить и сделать максимально полезным. Я не стал писать в него аналоги приложений, так как их очень много, и это даёт вам, друзья, отличную возможность дополнять этот список!
Для более глубокого понимания логики SQL-инъекций и защиты данных, ознакомьтесь со статьей «SQL DB как песочница для новичка: учимся скрывать данные и понимать логику ИБ».
Для практического применения полученных знаний и построения собственной среды для пентеста, мы рекомендуем ознакомиться с руководствами: «Как понимание сетевых основ ускоряет создание домашней лаборатории для пентеста» и «Собираем домашний киберполигон: пошаговое руководство по созданию лаборатории для пентеста». Также будьте в курсе актуальных угроз, прочитав «Log4j: как работает уязвимость CVE-2021-44228 и как от нее защититься».
Не забывайте, что этичное использование этих инструментов и наличие разрешения на проведение тестов — это ключевые аспекты работы в области кибербезопасности.
Какие из этих расширений вы уже используете, и какие дополнительные инструменты могли бы порекомендовать для пентестинга веб-приложений? |
|
|
30.10.2016, 15:17
|
|
Новичок
Регистрация: 29.10.2016
Сообщений: 0
С нами:
5020028
Репутация:
0
|
|
Сначала в ход идет wibr либо wifiacces ,а далее cSploit и там сотря че удумал я)
|
|
|
|
13.11.2016, 20:08
|
|
Новичок
Регистрация: 29.10.2016
Сообщений: 0
С нами:
5020028
Репутация:
0
|
|
JSBmanD сказал(а):
NetX параллельно с Fing.
WiFikill для отключения интернета. Для остального без сетевуха использую cSploit.
С сетевухой nethunter и включенные тулзы.
что 3а netx?кинь ссылку что то найти не могу. лаунчер накожу ток
|
|
|
|
20.07.2017, 08:32
|
|
Новичок
Регистрация: 29.10.2016
Сообщений: 0
С нами:
5020028
Репутация:
0
|
|
Еще нашел программу androdumper, в отличие от wifiacces можно использовать свои словари с wps пинами, хорошая штука,работает,перебор правда долгий ,если со словаря)
|
|
|
|
18.09.2017, 23:58
|
|
Новичок
Регистрация: 30.12.2016
Сообщений: 0
С нами:
4931546
Репутация:
0
|
|
Хочу добавить:
1. WiFinspect
Playmarket
4PDA
Огромнейший функционал: поиск сетей с максимально подробной информацией о них (аля airodump-ng), снифинг трафика, host и port discovery, даже сканирование роутера на уязвимости... Блин, всё не перечислишь
2. BlueBorneScanner (в свете последних событий)
Playmarket
Сканирует все телефоны в зоне действия bluetooth на уязвимость BlueBorn.
Кстати говоря, пока не находил эксплоита, или хотя бы PoC, а Armis, похоже, не собирается публиковать. Остаётся надеятся на энтузиастов, которые, увидя новость об уязвимости пойдут копать код.
 |
|
|
|
19.09.2017, 17:32
|
|
Новичок
Регистрация: 22.08.2017
Сообщений: 0
С нами:
4592342
Репутация:
0
|
|
Из полезных программ
Smart Tools- По моему самая нужна программа для хозяйства, в нем есть все что нужно от простой линейки до транспортира, компас,собачий свисток(отпугивает собак ), металлоискатель(реально работает) и много полезных мелочей...
Palapa Web Server - Простая и приятная программка с помощью которого можно создать Локальный Web Server( с phpmyadmin - ом )
Ooniprobe - Для теста скорости интернета,поиск блокированных сайтов...
ARP Guard- для защиты своего девайся от ARP спуфинга,снифинга и т.д..
DroidEdit - Редактор Скриптов / Кода
Тяжелая артиллерия...
Intercepter-ng - Не нуждается в описаний
Network Utilities- Набор инструментов для работы с сетью, а так же перехвата/мониторинга/перенаправления траффика внутри вашей сети, прям все что нужно сисадмину)
Lucky Patcher- Тоже всем известная программа, функционал большой патчит apk приложения( но я лично использую его для внутриигровых покупок/ удаления назойливой рекламы через фейковую покупку
Change My Mac - Лучшая на мой взгляд программа для смены MAC адреса
Device Faker- Для визуальной смены модели смартфона, так сказать для анонимности. Еще для более эффективной анонимности в сети в system → build.prop файле в конце добавьте строку net.hostname=любое_имя ( и тогда вместо android_1234567891234567будет любое_имя )
Orbot- для смены IP/VPN
WIBR+ - Брут wi-fi паролей
WIFI Warden - выдает нужную информацию про роутеры, тип, модель...
Hijacker- Aircrack-ng, Reaver, MDK3... на андроид только вот для работы нужен либо wifi адаптер с поддержкой BCMON, либо внешний подключенный через OTG кабель.https://github.com/chrisk44/Hijacker
tinyCam PRO- Менеджер IP camer
Барабанная Дробь...
TERMUX - Мощная эмуляция терминала Linux с обширной коллекцией пакетов. Многие предпочитают установить Linux Deploy и скачать разные Linux дистрибутивы или напрямую установить Kali NetHunter, но для меня самый оптимальный вариант это Termux.
Для работе программы Root необязателен, но желателен.
|
|
|
|
19.09.2017, 17:52
|
|
Новичок
Регистрация: 07.09.2016
Сообщений: 0
С нами:
5095710
Репутация:
0
|
|
небольшая просьба.. не пишите текст желтым цветом, на некоторых мониторах он не виден.
|
|
|
|
19.09.2017, 17:59
|
|
Новичок
Регистрация: 22.08.2017
Сообщений: 0
С нами:
4592342
Репутация:
0
|
|
kot-gor сказал(а):
небольшая просьба.. не пишите текст желтым цветом, на некоторых мониторах он не виден.
Понимаю, но можно же
|
|
|
|
19.09.2017, 18:13
|
|
Новичок
Регистрация: 07.09.2016
Сообщений: 0
С нами:
5095710
Репутация:
0
|
|
IioS сказал(а):
Минутка читательской психологии: текст на который нужно сосредоточиться, он выделен не стандартным цветом, запоминается на ряд лучше. Хоть он и ядовито-отвратный, но факт - фактом.
дело не в ядовитости..просто монитор его не отображает.
|
|
|
|
19.09.2017, 18:55
|
|
Новичок
Регистрация: 08.11.2016
Сообщений: 0
С нами:
5005666
Репутация:
0
|
|
H57KN98UL4 сказал(а):
Какой репозиторий используешь и если не трудно, как его установил?
поддерживаю вопрос! но по ходу нужен рут права на такой софт)) мой xiaomi-хуеми тяжко рутануть.. мне проще сервак какой нить ломануть чем его рутануть)) бли пашол рутовать уж больно хочется метасплойт по юзать на трубке
|
|
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
