Конкурс ANDRAX - революция в мобильном пентесте

g00db0y

g00db0y

Red Team
11.06.2018
94
393
Статья для участия в конкурсе Тестирование Веб-Приложений на проникновение

Доброго времени суток! Сегодня я хочу вам продемонстрировать революционное приложение в сфере пентеста на Android — ANDRAX. Появилось оно довольно недавно, и по этому еще не стало достаточно известным.​


До недавних пор, Android пентестерам приходилось отдельно скачивать утилиту через Termux, либо если у пентестера имелся определенный телефон, который поддерживал, NetHunter - то использовать его. Но ANDRAX помогает избежать этих сложностей.
image_2018-11-17_11-37-47.png





Что же это за программа?

ANDRAX - это приложение для пентестинга, разработанная специально для Android.
Разработка ANDRAX началась 08/09/2016, и исключительно для бразильских пентестеров. Но ANDRAX был полностью пересмотрен и выпущен в 10/10/2018, став доступным для всех. Программа была разработана компанией Weidsom Nascimento.

И стоит отметить, что на данный момент доступны только беты, поэтому если у вас возникают проблемы, обращайтесь на , либо в .

Чем ANDRAX лучше Termux, Kali NetHunter?

Termux — отличное приложение, но его проблема заключается в том, что нужно долго и вручную устанавливать отдельные пакеты, в то время как, ANDRAX это все автоматизировал, и достаточно лишь нажать «OK», и все нужные инструменты будут установлены.

Kali NetHunter — это прошивка под Android для пентеса, но к сожалению у него нет адаптации к различным моделям смартфонов, а только к . У данной прошивки не часто выходят обновленные версии, и поэтому для новичков будет довольно сложно разобраться в работе с ним. Так же у Kali NetHunter довольно сложная установка, не такая легкая как у ANDRAX.

Как установить ANDRAX?

Установка проста, но нужно чтобы:
  • Телефон имел root-права. Если телефон не имеет - могут быть ошибки в программе
  • 4.0GB свободной памяти. После установки, потребуется загрузка приложений и пакетов.
  • Android 5.0 или выше. ANDRAX портирован практически для всех девайсов с Android 5.0 и выше
Если все пункты были соблюдены, переходим непосредственно к установке:

1. Скачиваем с утилиты:

1542481456238.png



2. Устанавливаем:

1542481815055.png


3. Запускаем, разрешаем этому приложению использовать root-права:

1542481610327.png


4. Нажимаем ОК для загрузки всех необходимых элементов:

1542481631739.png


На этом все :D

1542481678027.png


И так, мы имеем 11 приложений, для разного вида работы:

1542483072322.png


Я начну с CodeHACK IDE:

1. CodeHACK IDE

image_2018-11-17_17-31-12.png

Простая среда разработки для таких языков как: Python, C/C++, Lua, Ruby, Shell и многих других:

1542481952851.png


IDE компактное и удобное:

Screenshot_2018-11-17-12-06-10.jpg


Удивило что даже есть подсказки синтаксиса для определенного языка:

anoth.png


2. AX-TERMINAL

image_2018-11-17_17-31-21.png

Тут непосредственно работают утилиты, и код, который написан в CodeHACK IDE. Данный терминал является сердцем всего ANDRAX. Терминал поддерживает большое количество окон, отправка письма с логами терминала, имеет дополнительные кнопки и многое другое:

image_2018-11-17_16-59-47.png


3. Приложения 01-08

3.1 Information Gathering

image_2018-11-17_17-29-44.png


В этом списке утилит содержатся все известные утилиты, связанные с активным поиском информации:
  • Whois
  • Bind DNS tools
  • Dnsrecon
  • Raccoon, и другие
01Info.png


3.2 Scanning

image_2018-11-17_17-29-56.png


Утилиты для сканирования:
  • Nmap - Network Mapper
  • Masscan
  • SSLScan
  • Amap
02scann.png


3.3 Packet Crafting

image_2018-11-17_17-30-03.png


Утилиты для создания пакетов:
  • Hping3
  • Scapy
  • Hexinject
  • Ncat, и другие
03Pack.png


3.4 Network Hacking

image_2018-11-17_17-30-09.png


Утилиты для взлома сети:
  • ARPSpoof
  • Bettercap
  • MITMProxy
  • EvilGINX2
04Network.png


3.5 WebSite Hacking

image_2018-11-17_17-30-15.png


Утилиты для взлома сайта:
  • Recon-NG
  • PHPSploit
  • XSSer
  • SQLMap, и другие
05sqlmap.png


3.6 Password Hacking

image_2018-11-17_17-30-24.png


Утилиты для взлома пароля:
  • Hydra
  • Ncrack
  • John The Ripper
  • CRUNCH
06pass.png


3.7 Wireless Hacking

image_2018-11-17_17-30-31.png


Утилиты для взлома беспроводных сетей:
  • VMP Evil
  • AP Aircrack-NG Tools
  • Cowpatty
  • MDK3
07wireless.png


3.8 Exploitation

image_2018-11-17_17-30-37.png


Утилиты для эксплуатации машин:
  • MetaSploit Framework
  • RouterSploit Framework
  • Getsploit
  • OWASP ZSC
08Exp.png


Карта ANDRAX:

image_2018-11-17_16-40-34.png


Отдельные 8 приложений, имеют в себе рассортированные и уже упомянутые утилиты. При выборе той или иной утилиты, идет запрос в AX-TERMINAL, где в терминал вбивает название выбранной утилиты.

Пример:

1. Выбираем из 01 Information Gathering, whois:

1542483144713.png


2. Запуск whois в терминале:

1542483185086.png


Как я уже указывал, AX-TERMINAL является сердцем всего ANDRAX.

Но все же главным приложением является ANDRAX Mobile Pentest, где в Меню, вы сможете найти больше приложений, таких как: Hack RF (SDR), Orbot(TOR), Orfox(Tor Browser), GoldenEyE (DoS/DdoS), и дополнительные утилиты к каждому разделу.

И так, почему все же стоит им пользоваться?

1. Отличная оптимизация.
Я работал на слабом телефоне, но все же ANDRAX не зависал и при 5 окнах в терминале

2. Широкий выбор предустановленных приложений.
Чего только стоит ARPSpoof, Bettercap, Hydra! Про Metasploit Framework и все его приложения я вообще молчу!

3. Быстрое решение проблем.
В Телеграмм канале, постоянно сидят разработчики и энтузиасты, которые помогут вам в решении любой проблемы

4. Удобная среда разработки для многих популярных языков.

5. .

6. Постоянное обновление, и добавление утилит.
можете посмотреть ченйдж-логи.

7. Легкость в использовании.

ЗАПОМНИТЕ!
Ни автор статьи, ни разработчики приложения ANDRAX, не несут ответственности за ваши действия!

Спасибо за внимание!
 
GrefFisher

GrefFisher

Green Team
17.06.2018
28
15
При запуске "Конфигурация файлов", потом выскакивает сообщение, что не установлен бузи бокс, и говорит, что сам установит, жму ок, скачивает и якобы инсталлит его, далее опять по кругу - конфиг файловой системы - нет бузи бокса - скачивает/инсталлит - и опять по кругу ))
LG , рутирован, прошивка Android 5.1
Build number LMY47D, Sv - V10d-OPT2-DS, Kernel 3.10.49
 
  • Нравится
Реакции: g00db0y
g00db0y

g00db0y

Red Team
11.06.2018
94
393
При запуске "Конфигурация файлов", потом выскакивает сообщение, что не установлен бузи бокс, и говорит, что сам установит, жму ок, скачивает и якобы инсталлит его, далее опять по кругу - конфиг файловой системы - нет бузи бокса - скачивает/инсталлит - и опять по кругу ))
LG , рутирован, прошивка Android 5.1
Build number LMY47D, Sv - V10d-OPT2-DS, Kernel 3.10.49
Думаю вам могут помочь только в , там сидит один из сотрудников компании, который знает приложение как никто другой. Если я не ошибаюсь, там уже проскальзовала эта ошибка.
 
G

GhostPants

Member
13.02.2018
17
52
Ну это утилита для совсем ленивых, если лень 3-4 команды написать чтобы с гита скачать и поставить нужную прогу в термукс, то о каком пентесте идёт речь? Единственная прога которую с первого раза наврятле получится поставить это routersploit, а так это не замена для termux и kali nethunter, а скорее слишком много весящий Tool-X (сборник прог который качается с гитхаба и автоматизирует установку)
 
g00db0y

g00db0y

Red Team
11.06.2018
94
393
Ну это утилита для совсем ленивых, если лень 3-4 команды написать чтобы с гита скачать и поставить нужную прогу в термукс, то о каком пентесте идёт речь? Единственная прога которую с первого раза наврятле получится поставить это routersploit, а так это не замена для termux и kali nethunter, а скорее слишком много весящий Tool-X (сборник прог который качается с гитхаба и автоматизирует установку)
Не согласен с вами. Если нужно 2-3 утилиты, то конечно нужно будет лучше использовать Termux. Но все же если нужна среда разработки, хорошая связка утилит, Tor и прочее, то разумнее будет ставить ANDRAX, а не тратить время на отдельные установки.
 
A

arm_n

Well-known member
26.02.2018
92
87
Ув. ТС, Вы сами использовали эту тулзу?
Просто зашел я на гит, атам как-то мало технической информации. Какие-то манцы на жаваскрипте...
 
g00db0y

g00db0y

Red Team
11.06.2018
94
393
Ув. ТС, Вы сами использовали эту тулзу?
Просто зашел я на гит, атам как-то мало технической информации. Какие-то манцы на жаваскрипте...
Конечно использовал. Не понял, к чему Ваш вопрос?
 
G

GhostPants

Member
13.02.2018
17
52
Не согласен с вами. Если нужно 2-3 утилиты, то конечно нужно будет лучше использовать Termux. Но все же если нужна среда разработки, хорошая связка утилит, Tor и прочее, то разумнее будет ставить ANDRAX, а не тратить время на отдельные установки.
Если всё это будет работать правильно, то единственное полезное этосоеды разработки, та же торификация через orbot делается и проще и быстрее
 
  • Нравится
Реакции: Ondrik8
g00db0y

g00db0y

Red Team
11.06.2018
94
393
Если всё это будет работать правильно, то единственное полезное этосоеды разработки, та же торификация через orbot делается и проще и быстрее
Не все имеют большой опыт в мобильном пентесте как Вы, поэтому для новичков в этом деле - приложение будет полезно,
 
  • Нравится
Реакции: Tihon49
X

x1me

Member
06.08.2018
16
7
Не устанавливается на meizu. Он скачивает а потом установка висит на 0 и заного скачивает. Было у кого так? Запроса на руут не было а хотя стоит руут. Boot залочен. Meizu M5 Note. ROOT заводской
В трее увидел окно терминала. Теперь висит на configuring. Нужен иммено SuperSU либо KingoROOT
 
Последнее редактирование:
  • Нравится
Реакции: Nicova
g00db0y

g00db0y

Red Team
11.06.2018
94
393
Не устанавливается на meizu. Он скачивает а потом установка висит на 0 и заного скачивает. Было у кого так? Запроса на руут не было а хотя стоит руут. Boot залочен. Meizu M5 Note. ROOT заводской
Стоит SuperSu? Если да и проблема не исчезла обращайтесь в эти чаты, link removed и link removed вам точно помогут.
 
  • Нравится
Реакции: x1me
A

arm_n

Well-known member
26.02.2018
92
87
Ув. ТС, Вы сами использовали эту тулзу?
Просто зашел я на гит и там как-то мало технической информации. К
Конечно использовал. Не понял, к чему Ваш вопрос?
Просто что-то не нашел на их гитхабе ни нмапа, ни метасплоита, ни даже ссылок на них...
Странная прога. Точно пентест?
 
g00db0y

g00db0y

Red Team
11.06.2018
94
393
Ув. ТС, Вы сами использовали эту тулзу?
Просто зашел я на гит и там как-то мало технической информации. К

Просто что-то не нашел на их гитхабе ни нмапа, ни метасплоита, ни даже ссылок на них...
Странная прога. Точно пентест?
Да, точно пентест. Возможно приложение реализовано таким образом, что после установки всех элементов, происходит загрузка утилит и пакетов с другого сервера

Не устанавливается на meizu. Он скачивает а потом установка висит на 0 и заного скачивает. Было у кого так? Запроса на руут не было а хотя стоит руут. Boot залочен. Meizu M5 Note. ROOT заводской
В трее увидел окно терминала. Теперь висит на configuring. Нужен иммено SuperSU либо KingoROOT
И KINGOROOT и SuperSu подойдёт. Если проблема с зависанием осталась, обращайтесь в чаты, там как раз сидит один из разработчиков
 
chachavar

chachavar

New member
02.06.2018
3
8
Вчера установил на S5mini Только после кастомной прошивки и разлоченым ядром. Все встало с первого раза, на оригинале танцы были . Хотел подключить через OTG wifi . Но не пошло. Под каждый тел надо собирать кастомное ядро с поддержкой драйверов Wifi адаптера внешнего.
 
  • Нравится
Реакции: Tihon49 и The Codeby
UziUser

UziUser

Member
10.07.2016
15
4
Хороший обзор софта, ничего лишнего и ничего больше.
 
  • Нравится
Реакции: g00db0y
Tihon49

Tihon49

Well-known member
06.01.2018
201
108
Вчера установил на S5mini Только после кастомной прошивки и разлоченым ядром. Все встало с первого раза, на оригинале танцы были . Хотел подключить через OTG wifi . Но не пошло. Под каждый тел надо собирать кастомное ядро с поддержкой драйверов Wifi адаптера внешнего.
Как раз хотел задать вопрос про ви-фи, ведь встроенные модули почти всегда не поддерживают режим мониторинга.
 
Мы в соцсетях: