Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
Pentesting con
Android
Desventajas:
Fácil de “rootear”.
Casi todas las herramientas de Hacking lo
solicitan
Mi Anti-recomendación:
Motorola (encripta el “bootloader”, complicando “rooting”)
Mi Esperanza:
Ubuntu Phone (“100% Linux”)
Debe facilitar el uso de todas las herramientas que
tradicionalmente usamos los Hackers en Linux.
3. Preparando Android: SDK
ADB (Android Debug Bridge)
http://developer.android.com/sdk/index.html
3. Preparando Android: Rooting
Habilita el acceso Administrativo al
Smartphone, con los máximos privilegios del
sistema.
1. Aplicaciones maliciosas
tendrán un efecto más
devastador.
2. Algunas aplicaciones
legítimas ya no funcionarán.
3. Es posible "brickear" el
Smartphone.
http://www.villacorp.com/blog/2012/11/android-riesgos-del-rooting/
4. Metodología de Pentesting
Contenido
1. Fingerprinting – Exploración Inicial.
http://www.villacorp.com/blog/2012/08/metasploit-en-android/
MITM
Contenido
Arpspoof
Multiplataforma: windows,
linux, android, iphone, ipad.
Reconstruye el contenido de
archivos a partir de tráfico.
Desencripta comunicaciones
SSL mediante la técnica
“SSLStrip”.
8. El Futuro de Android
Contenido
5. Crackear el Hash.
Share señuelo
/super-secreto
Cómo Implementarlo en Android?
Contenido
No encontré una App que realizara todo el ataque.
5. Crackearlos.
Cómo Implementarlo en Android?
Contenido
Servidor SMB (crear el share señuelo)
Intercepter-NG.
Siempre me ha funcionado!
Transferirlo a la PC de crackeo
Cómo Implementarlo en Android?
Contenido
… ya tenemos los Hashes dentro de la
muestra de tráfico, pero ahora, cómo los
EXTRAEMOS?
Wireshark? NetworkMiner?
Factible, pero demasiado laborioso, porque
tenemos que buscar la información necesaria:
Cuenta
Dominio
Hash
Challenge del Cliente
Challenge del Cervidor
Metasploit en Android
http://www.villacorp.com/blog/2012/08/metasploit-en-android/
javier@villacorp.com
twitter @JavierVillacorp
Blog
http://blog.villacorp.com