– 作者:厦门安胜网络科技有限公司

Dagah是由Shevirah公司研发的一款渗透测试平台，它针对渗透测试人员，提供了一系列的方案进行渗透测试，并支持Web UI和命令行两种使用方式。渗透测试类型包含简单钓鱼页面、网页伪造、恶意客户端、iOS profile等，并提供短信、二维码、NFC、Twitter、WhatApp、邮件等多种途径进行渗透测试，官网可免费下载Community版本或者试用Professional版本。

本期安仔课堂，ISEC实验室的老师通过介绍Dagah平台提供的功能，帮助大家简单了解常见的渗透测试类型和途径，从而在日常生活中能够更好地保护个人信息。 

一、渗透测试途径

Dagah共提供了6种方式，只需要配置好对应的参数，即可自动发送自定义内容。

图1

 

短信SMS：短信发送提供了3种方式，Android手机(modem app)、twilio、openbts，发送成功后目标会接收到一条自定义短信。

二维码QR Code：Create Attack时若选择QR Code，最终会生成一个二维码页面，扫描二维码会跳转到一个url页面。

NFC：NFC功能仅支持Android手机，会自动向四周搜索到的NFC设备发送广播。

Twitter：需要配置Twitter的账号相关参数，可自动向指定Twitter账号发送信息。

WhatsApp：首先需要配置WhatsApp账号的参数，可自动向指定WhatsApp账号发送信息。

Email：Dagah仅支持使用Gmail向指定邮箱账号发送邮件，需配置Gmail账号的参数。

 

二、简单钓鱼页面

仅可生成最简单的钓鱼页面，记录目标访问页面的时间和useragent信息，生成二维码或发送链接给目标，打开的Web页面如下。

图2

 

当目标访问Web页面后，可获取到目标点击页面的时间和使用的浏览器信息。

图3

 

三、高级钓鱼页面

按照模板自定义钓鱼登录页面，默认集成Gmail的登录页，获取目标输入的账号、密码、user_agent、登录相关参数等信息，对比简单钓鱼页面功能更为强大。将自动生成的二维码发送给目标扫描后，会自动打开如下Gmail的钓鱼页面，输入账号[email protected]后点击Next。

图4

 

输入密码sdfsdfsdfsdf，点击Sign in，将自动跳转到官方的Gmail页面。攻击流程完成，可在result页面查看获取的账号、密码和user_agent相关信息。

图5

 

四、智能移动终端渗透测试

支持Android和iOS系统。使用Android手机扫描生成的二维码，下载完成后会弹出安装框，界面、功能与原生apk相比权限增多，支持以后门的形式隐藏在第三方apk中。

图6

 

安装启动后在后台可看到Android客户端已成功上线，即可下发指令和查看数据。

图7

 

Android客户端支持以下指令：

APKS：获取安装的应用列表；

DOWN：下载文件到手机上；

UPLD：从手机上回传指定文件；

GETS：获取系统属性；

SETS：修改系统属性；

DELE：卸载agent；

EBLU：开启蓝牙；

GBLU：获取已配对的蓝牙设备信息；

SBLU：扫描附近的蓝牙设备；

SMSS：获取短信内容；

CALLS：获取通话记录；

CONTS：获取通讯录；

LOCA：获取位置信息；

ROOT：尝试对手机进行提权；

LKEY：获取手机上的keychain列表，需root权限。

 

使用iPhone手机打开浏览器扫描生成的二维码，自动弹出请求安装的对话框。

图8

 

进行信任设置之后安装运行，在Dagah后台可看到iOS客户端已成功上线，即可下发指令和查看数据。

图9

 

iOS客户端支持以下指令：

APKS：获取安装的应用列表；

DOWN：下载文件到手机上；

UPLD：从手机上回传指定文件；

ROOT：尝试对手机进行提权；

LKEY：获取手机上的keychain列表，需越狱。

 

五、iOS profile渗透测试

Dagah还提供了iOS MDM profile的渗透，MDM（Mobile Device Management）即所谓的移动设备管理，通过在iOS系统中安装配置文件(profile)的方式实现对iOS设备的管理。

MDM提供以下功能：

保证设备安全：远程锁定设备、远程擦除设备数据等；

获取设备信息：如IMEI、UDID等；

应用分发：非越狱用户可不通过App Store下载应用程序，MDM拥有下载安装App的接口；

设备配置：管理员可远程向iOS设备推送配置文件，配置设备的网络连接、网络安全和应用程序设置等；

备份和恢复：可以将设备上的数据远程备份到指定的服务器上。

 

使用iOS设备打开浏览器扫描二维码，弹出了一个选项，提示“尝试打开设置并显示一个配置描述文件”，点击允许后会跳转到设置界面，提示安装描述文件。

图10

 

六、个人信息保护

Dagah平台提供完整方案进行渗透测试，只需点击鼠标即可自动生成一系列渗透测试模板，大大降低了入门门槛，最终需结合社工进行诱导。

 

那么，我们应该如何防范、保护个人信息不被恶意获取呢？

1) 对于陌生人发送的短信、邮件、QQ、微信等，如果包含链接或者二维码，不要轻易点击或扫描；

2) 一定要访问官方网站登录账号密码，可通过百度搜索，点击进入有官方认证的页面，防止账号密码被恶意获取；

3) 尽量从官方网站进行下载，不要轻易安装陌生人发送的Android apk、iOS ipa应用，或从审核力度差的不知名第三方市场下载可能已经被恶意修改的应用程序。

来源：freebuf.com 0000-00-00 00:00:00 by: 厦门安胜网络科技有限公司