Pwnie Express-PwnPad用户手册

本文由CSDN-蚍蜉撼青松【主页：http://blog.csdn.net/howeverpf】整理翻译，欢迎转载，但请务必注明出处！

写在前面

       本文档翻译自Pwnie Express官网的PwnPad用户手册：《PwnieExpressUserManual-PwnPad.pdf》。
       鄙人出于工作需要翻译此用户手册，本着自由分享的精神将它上传到网上。出于博文简洁扼要的需要，本文中略去了原文中大部分图片以及您可能不是那么感兴趣的部分内容，若需获得本文的完整版本，可以前往CSDN下载频道【http://download.csdn.net/detail/ping_fani07/7267597】下载本文的PDF完整版。如果此文档能够对您的工作、学习带来一丁点帮助，那将是鄙人极大的荣幸！
       未经本人书面许可，禁止任何个人或组织以任何形式【包括但不仅仅包括：商业出版、积分下载、现金下载】借助此文档牟取利益。如有违反，本人保留对此类行为进行法律追究的权利。
       显然，俺也不想说那么多官话，但是……算了，言归正传，俺也是小菜一枚，如果您发现此文档中哪里翻译有误或是不准确的，欢迎来信与俺联系。俺的通信邮箱是：tuobaye2006@gmail.com。

一、法律条款声明

二、初窥门径

2.1 注意事项

• Pwnie Express系列移动产品专为网络安全评估打造，为此，（我们）并不推荐您把它作为个人移动设备使用，产品本身也并不为此提供支持；
• 对于所有的“一键渗透测试”应用，您都可以使用组合键“CTRL+C”优雅地把它关闭， 也就是同时按住设备右侧的“音量减”按钮和终端键盘上的“C”按键；
• 设备同一时间只支持一个直连的外接USB设备。如果要同时挂接多个USB适配器，尽管我们的产品在您使用无源USB集线器的时候可能可以同时支持至多两个USB设备【到底能不能取决于外接USB设备的功耗】，（基于此）我们还是建议您再使用一个外部供电的USB集线器；
• 这个平板内置的无线和蓝牙硬件不支持数据包注入和监听模式。能够支持数据包注入和监听模式的只有产品附带的外接USB无线/蓝牙适配器；
• 要想获取完整的功能体验，请先确认您已经安装了我们推荐您从Google Play商店获取的所有应用。【参阅下文“推荐从Google Play上获取的应用”一节】

2.2 基本操作

       （……内容略，详参“写在前面”……）

2.3 连接Wi-Fi网络

       （……内容略，详参“写在前面”……）

2.4 连接USB设备

2.4.1 如何连接OTG线以及产品附带的配件

       Pwn平板的所有附带的USB配件都可以通过它自己提供的OTG线连接到设备上。……这些配件对应的应用会帮您进行相关的设置。
       在Kali系统的chroot环境下，附带的这些USB适配器会显示为如下的接口：

TP-Link无线适配器  --- wlan1

Sena蓝牙适配器      --- hci0

USB以太网适配器   --- eth0

2.4.2 如何连接USB闪存驱动器

1. 通过OTG线将USB闪存驱动器连接到Pwn平板；
2. 连好线后，会弹出“USB OTG Helper”对话框，按选“OK”；
3. “USB OTG Helper”载入完成后，按选“MOUNT(挂载)”；
4. 挂载完成后，USB驱动器会在 /storage/UsbOtgDrives/drive1/ 目录下出现；
5. 通过命令行或是“Astro File Manager”应用访问；
6. 想要安全地卸载USB闪存，打开“USB OTG Helper”并选择“UNMOUNT(卸载)”。

注：USB OTG驱动器成功挂载后，可以通过“Astro File Manager”应用访问。在该应用的“Storage(存储)”下会出现一个“UsbOtgDrives”目录。

2.5 推荐从Google Play上获取的应用

       （……内容略，详参“写在前面”……）

三、命令终端

3.1 本地终端仿真器

       安卓终端仿真器是一个本地的终端应用。“一键渗透测试”应用使用它来开启一个Kali系统chroot环境下的超级用户Shell，以及运行Pwn平板的脚本。
       每当一个“一键渗透测试”应用被启动，它会打开一个安卓终端仿真器，以此开启一个伴生的Kali系统chroot环境下的Shell，为该工具（即“一键渗透测试”应用）运行脚本。
       要想开启一个Kali系统chroot环境下的超级用户Shell，只需简单地轻触一下设备主屏幕上的“RootShell”图标，该Shell会在 /opt/pwnix/captures/ 目录下启动。

3.2 基于SSH访问的远程终端

       可以通过轻触Pwn平板主屏幕上的“PwnieUIonOff”图标来启用SSH服务。

注：这个同时也会启用Pwnie的本地Web服务，如果您的目的仅仅是启用SSH服务（不想要顺带启用Pwnie本地Web服务的副作用），开启一个超级用户Shell，输入：

# service ssh start

       当Pwn平板的SSH服务启动后，您可以使用处于同一网络中的Linux/Mac计算机，通过SSH连接到Pwn平板，就像下面显示的这样：

user@linux/mac_computer$ ssh pwnie@[Pwn平板的IP地址]

       pwnie是Pwn平板上的默认用户，他的默认口令是：pwnplug8000。首次登录以后一定要记得使用以下的命令更改这个默认口令：

$ passwd

       pwnie是一个拥有sudo权限的标准用户。本手册里提到的大部分系统命令和渗透测试工具都要求必须以root用户运行。以root用户运行时，命令前面的提示符是井号【#】。当您使用“pwnie”登录后，您可以用以下的方式临时切换到root用户（运行完毕自动切回“pwnie”）：

$ sudo su 

3.3 基于USB线关联的固定终端

       USB调试模式（默认启用）允许您使用一台Linux主机通过USB线直接访问您Pwn平板的命令终端。
       在此之前，要求您的Linux主机上已经安装有“android-adb-tools”。以Ubuntu 12.04系统为例，安装“android-adb-tools”的方法如下：

user@linuxcomputer# sudo add--apt--repository ppa:nilarimogard/webupd8
user@linuxcomputer# sudo apt--get update
user@linuxcomputer# sudo apt--get install android--tools--adb

       安装“android-adb-tools”完成后，使用USB线连接您的Linux主机和Pwn平板。然后在您的Linux主机上输入以下命令来访问您Pwn平板上Kali系统的chroot环境：

user@linuxcomputer$ adb shell
shell@deb:/ $  su 
root@deb:/ #  bootpwn 
root@pwnpad:/#

四、一键渗透测试工具

RootShell
       提供基于安卓终端仿真器的Kali系统chroot环境访问方式

HostMacChanger
       随机生成选定接口（网卡？）的主机名与MAC地址

LogWiper
       在您需要的时候安全地擦除所有的数据包捕获文件、日志文件、缓存文件，以及Shell中用过的命令历史记录。

StringsWatch
运行此应用前请先确认您连接的是您想要监测的目标网络
       以可读字符串形式显示通过您选定网卡的网络流量，也可以选择将结果保存到/opt/pwnix/captures/stringswatch/ 目录下

TCPdump
运行此应用前请先确认您连接的是您想要监测的目标网络
       以原始二进制流形式显示通过您选定网卡的网络流量，也可以选择将结果保存到/opt/pwnix/captures/tcpdump/ 目录下

Tshark
运行此应用前请先确认您连接的是您想要监测的目标网络
       通过命令行版本的Wireshark显示网络流量，也可以选择将结果保存到/opt/pwnix/captures/tshark/ 目录下

Nmap
运行此应用前请先确认您连接的是您想要监测的目标网络
       在选定网卡上执行ping扫描（主机探测），也可以选择在ping扫描完成后运行服务检测扫描。扫描的输出保存路径为： /opt/pwnix/captures/nmap_scans/

SSLstrip
运行此应用前请先确认您连接的是您想要监测的目标网络
通过在选定网卡上将HTTPS会话替换成HTTP来讲“脱掉”指定连接的SSL加密。结果保存路径为： /opt/pwnix/captures/passwords/

DNSspoof
启动此工具前必须先运行EvilAP 
       本工具需要和EvilAP、社会工程学工具包【用来克隆网站】组合起来使用，将所有发往外域的DNS请求重定向到本地和EvilAP绑定的IP地址【192.168.7.1】

Dsniff
运行此应用前请先确认您连接的是您想要监测的目标网络
       显示由选定网卡中转的网络流量中的明文用户名和口令，可以选择将结果保存到　　 /opt/pwnix/captures/passwords/ 目录下

Ettercap
运行此应用前请先确认您连接的是您想要监测的目标网络
       基于ARP缓存中毒原理的，针对已知目标IP地址的中间人攻击套件。可以选择将结果保存到/opt/pwnix/captures/ettercap/ 目录下

SEtoolkit
       社会工程学工具包，和那些需要社会工程的中间人攻击工具组合起来用。

Metasploit
       启动一个最新的、稳定的Metasploit框架发行版。

Bluelog
运行此应用前请先确认已经接好附带的Sena蓝牙适配器
       一个可以获取设备名称、MAC地址、class id的蓝牙扫描工具，保存路径为：/opt/pwnix/captures/bluetooth/

BluetoothScan
运行此应用前请先确认已经接好附带的Sena蓝牙适配器
       使用‘hcitool -i hci0 scan --flush --class --info’扫描蓝牙设备，显示每个查找到设备的详细信息，包括设备类型、class、可用服务。保存路径为：/opt/pwnix/captures/bluetooth/

Ubertooth
运行此应用要求您有一个Ubertooth适配器 - http://ubertooth.sourceforge.net/
       使用Ubertooth工具组件捕获蓝牙流量中的完整数据包。

Airodump
运行此应用前请先确认已经接好附带的TP-Link无线适配器
       实时显示所有监测范围内无线AP和客户端设备的信息，包括从客户端发出的探测请求。可以选择将结果保存到/opt/pwnix/captures/wireless/目录下。
注：通常在断掉(平板)和无线适配器的连接之前，使用设备右侧的“音量减”按钮和终端键盘上的“C”按键组合键优雅地把此应用关闭。

Kismet
运行此应用前请先确认已经接好附带的TP-Link无线适配器
       记录所有监测范围内的无线设备和数据流量（数据包）。启动此应用后，依次按下“Tab”、“Enter”键，然后按下左下角的“down arrow”把屏幕上的（虚拟）键盘最小化。
注：通常在断掉(平板)和无线适配器的连接之前，使用设备右侧的“音量减”按钮和终端键盘上的“C”按键组合键优雅地把此应用关闭。

Wifite
运行此应用前请先确认已经接好附带的TP-Link无线适配器
       为Aircrack-NG套件提供了自动化调用的前台界面，是一个无线攻击/审计的自动化工具。启动此应用后，选择“1. wlan1”来将无线适配器设置成监听模式。通过点击“音量减”按钮和“C”键来选择（攻击/审计）的目标。
注：通常在断掉(平板)和无线适配器的连接之前，使用设备右侧的“音量减”按钮和终端键盘上的“C”按键组合键优雅地把此应用关闭。

EvilAP
运行此应用前请先确认已经接好附带的TP-Link无线适配器
这是一个主动式的无线接入点，通过无线客户端的首选网络列表来强制客户端关联过来。（可以设定的内容有：）选择因特网连接【如果连接的是Wi-Fi，则为wlan0】,选择工作频道，选择要广播出去的SSID（即网络名称），是否启用探测。
注：通常在断掉(平板)和无线适配器的连接之前，使用设备右侧的“音量减”按钮和终端键盘上的“C”按键组合键优雅地把此应用关闭。

UpdatePwnPad
       这个工具被用来将您的Pwn平板更新到最新的软件发行版。需要可用的因特网连接。
注：更新进程会将 /etc 和 /opt/pwnix 目录下的系统配置文件重置到其默认状态。如果您在这两个目录下有经手动更改过的配置文件，请记得在更新前将之备份。

PwnieUIonOff
       启用/禁用 本地Web服务和SSH服务（他们俩默认状态下是禁用的）。对于Pwn平板来说，本地Web服务的主要作用是配置 反向shell【参阅“使用反向shell”】。访问本地Web服务或SSH服务的默认用户名和口令是：pwnie : pwnplug8000
注：在您于不受信任的环境下使用Pwn平板之前，请先确认您已经修改过“pwnie”用户的口令。为此，您需要先通过SSH使用“pwnie”用户登录Pwn平板，然后运行以下命令：

$ passwd

五、附加的命令行渗透测试工具

       （……内容略，详参“写在前面”……）

六、使用反向shell

6.1 反向shell概述

• 所有的Pwnie设备都具备主动的反向隧道功能，以提供持续的SSH远程访问；
• 构建于HTTP、HTTPS/SSL、DNS、ICMP，以及其他隐蔽隧道选项上的SSH被用于穿透严格的防火墙规则、网络过滤器，以及应用感知型的主动防御系统；
• 所有的隧道都通过SSH加密，并且随时随地在Pwnie设备的因特网连接【包括有线、无线、4G/GSM】可用的情况下维持访问。

6.2 典型部署概述

1. 在一个staging/实验室 网络启用所需的反向Shell【参阅“激活反向shell”】
2. 配置一个BT5系统来接受反向Shell【参阅“配置BT系统以接受反向Shell”】
3. 在一个 实验室/本地 的局域网里测试所有的反向Shell，确认所有的Shell都能按照预期工作【参阅“连接反向shell”】
4. 在您的目标网络部署设备，查看SSH传入Shell的接收情况【参阅“部署到目标网络”】

译者注：staging可以理解为暂时的、测试的、预演的。

Pwnie device on target network             Firewall on target network               SSH Receiver (Backtrack)

6.3 激活反向shell

       对于Pwnie Express系列移动产品【Pwn平板等】，来说，Pwnie UI（即前文所述本地Web服务）是用来配置反向shell的：

• 01.轻触主屏幕上的“PwnieUIonOff”图标，以启用Pwnie本地Web服务；
• 02.打开一个Web浏览器以访问Pwnie本地Web服务，链接：https://[设备的IP地址]:1443；
• 03.对这个Pwnie本地Web服务的访问是启用了SSL加密的，但由于使用的是自签名证书，您会收到一个警告；
• 04.在登录提示框中输入用户名与口令【默认的是pwnie : pwnplug8000】；
• 05.“Setup(设置)”页面出现了

非常重要：尽快确认您已经修改过“pwnie”用户的默认口令。您可以直接通过Pwnie本地Web服务上的“System Authentication”更改。更改同时对Pwnie本地Web服务和SSH服务的“pwnie”用户起效。

• 06.点击顶部菜单中的“Reverse Shells”；
• 07.点击您想要配置的Shell的名字；

小贴士：为了以最好的效果维持远程访问，启用所有的反向Shell。

• 08.为所有选中的反向Shell填写SSH Shell接收方的IP地址或是域名。（Pwn平板）设备会连接到这个Shell接收系统，以建立反向Shell连接；
• 09.选择（Pwn平板设备）尝试建立反向Shell连接的频率，默认的设置是每分钟尝试一次【推荐】;

小贴士：可以为“SSH over HTTP Tunnel”使用一个HTTP代理，启用“Use HTTP Proxy”复选框，输入代理服务器的地址和端口（可以选择性地指定代理服务器的证书

注：HTTP代理的认证口令以明文形式存放在：/opt/pwnix/pwnix-scripts/script_configs

• 10.点击“Configure”来是您对指定反向Shell配置信息作出的改变生效；

注：所有的设备都会设置以下的SSH客户端配置指令【/etc/ssh/ssh_config】，以自动化地建立反向Shell连接。在您使用设备连接其他SSH服务端时，请先确认你已经了解这些设置会对安全造成的影响。

StrictHostKeyChecking  no
UserKnownHostsFile  /dev/null

• 11.继续下一大步：“配置BT系统以接受反向Shell”。

6.4 配置BT系统以接受反向Shell

       您可以使用一个BT5系统【推荐Backtrack 5 R3】作为SSH隧道的接收者。在启动反向Shell连接后，您的Pwnie设备将会连接到这个系统来。

注：以下步骤假定您是以Backtrack 5 R3作为SSH隧道的接收者。您也可以使用更老的BT发行版，但设置步骤会有所不同。

• 01.将您的Pwnie设备和BT5系统放置在本地同一个网络/子网；
• 02.登录BT系统，打开Firefox浏览器；
• 03.连接Pwnie设备上的Web服务：https://[设备的IP地址]:1443；
• 04.弹出提示框后登录Pwnie设备上的Web服务；
• 05.点击顶部菜单中的“Reverse Shells”；
• 06.点击页面【由第五步弹出】顶部的“Generate Backtrack config”链接以下载“backtrack_receiver.sh”脚本；
• 07.将脚本文件【即backtrack_receiver.sh】保存到root用户的主目录下【默认已选择】；
• 08.打开一个终端窗口，输入以下命令：

# cd
# chmod +x backtrack_receiver.sh
# ./backtrack_receiver.sh

• 09.这个脚本会自动设置并启动BT系统上的反向Shell监听（进程）；
• 10.当看到提示后，输入安全隧道所需的SSL证书的信息【或是直接按下“ENTER”以接受默认设置】；
• 11.当自动配置脚本运行完毕后，您将会看到以下提示信息：

[+] Setup Complete.
[+] Press ENTER to listen for incoming connections..

• 12.按下“ENTER”以察看设备传入的连接。每个反向Shell都会使用您在（Pwnie设备上的）Web服务中指定的时间间隔尝试建立连接。

小贴士：您可以随时输入以下命令列出(当前)所有活跃的设备连接：

# netstat -lntup4 | grep 333

• 13.继续下一大步：“连接反向shell”。

6.5 连接反向shell

• 1.在您作为Shell接受系统的Backtrack上打开一个终端窗口，用以下命令连接任意一个可用的Pwnie设备：

标准SSH：               ssh pwnie@localhost -p 3333
SSH Egress Buster：     ssh pwnie@localhost -p 3334
构建于DNS之上的SSH：    ssh pwnie@localhost -p 3335
构建于SSL之上的SSH：    ssh pwnie@localhost -p 3336
构建于4G/GSM之上的SSH： ssh pwnie@localhost -p 3337
构建于HTTP之上的SSH：   ssh pwnie@localhost -p 3338
构建于ICMP之上的SSH：   ssh pwnie@localhost -p 3339

• 2.输入您Pwnie设备上“pwnie”用户的口令。看，您已经通过反向Shell远程连接到了Pwnie设备上！
• 3.继续下一大步：“部署到目标网络”。

标准SSH/SSH Egress Buster注意事项：如果在您的Pwnie设备和Shell接受系统之间并没有防火墙的话，请确定Shell接受系统所监听的端口，正是您在（Pwnie设备上的）Web服务中为标准SSH，以及SSH Egress Buster所指定的端口。举例来说，假如您为标准SSH指定了31337端口，在 /etc/ssh/sshd_config 中添加一行“Port 31337”，然后重启SSHd【使用命令：/etc/init.d/ssh restart】。

小贴士：可以使用下文中提到的“Tor Hidden Service”功能来隐藏SSH接受系统的IP地址
http://www.securitygeneration.com/security/reverse-ssh-over-tor-on-the-pwnie-express/

特别感谢Security Generation的Sebastien J.精简了Shell接受系统的设置步骤，感谢Lance Honer改进了弹性的SSH自动脚本！

6.6 部署到目标网络

• 1.将您的Shell接受系统部署在一个面向公网的防火墙后面；
• 2.在您的防火墙上配置相应的端口转发；

标准的反向SSH：      将发往(您Pwnie设备上)Web服务中(为标准SSH)所指定端口的数据，转发到Shell接受系统的22端口
构建于HTTP之上的SSH：将发往80端口的数据，转发到Shell接受系统的80端口
构建于SSL之上的SSH： 将发往443端口的数据，转发到Shell接受系统的443端口
构建于DNS之上的SSH： 将发往UDP 53端口的数据，转发到Shell接受系统的UDP 53端口
构建于ICMP之上的SSH：要求您的Shell接受系统直接连到因特网【不经过防火墙】
构建于3G之上的SSH：  将发往(您Pwnie设备上)Web服务中(为构建于3G之上的SSH)所指定端口的数据，转发到Shell接受系统的22端口
SSH Egress Buster：  将发往(您Pwnie设备上)Web服务中所有指定端口的数据，转发到Shell接受系统的22端口

• 3.在Pwnix的本地Web服务中【“Reverse Shells”页面】，配置反向Shell所要连接的，您的防火墙的公网地址【如果您有一个可用的域名的话，也可以配置域名】
• 4.您现在可以将您的Pwnie设备部署到目标网络了。Pwnie设备会自动地连接您的Shell接受系统，为您的目标网络提供加密的远程访问。

小贴士：在某些环境下，您可能会希望设定设备定期在夜间重启，以在设备端重置所有来自设备的连接。这样一来，设备上连接进程的某些部分即使崩溃【例如SSHd】，设备重启以后，连接进程也能以全新的姿态再次启动。

七、维护您的Pwnie设备

7.1 升级设备的软件

       如果需要将您的Pwn平板更新到最新的软件发行版，那么首先将您的Pwn平板连上因特网，然后按下主屏幕上的“UpdatePwnPad”按钮。

注：更新进程会将 /etc 和 /opt/pwnix 目录下的系统配置文件重置到其默认状态。如果您在这两个目录下有经手动更改过的配置文件，请记得在更新前将之备份。

7.2 上传/下载文件到您的设备

7.2.1 通过USB驱动器传输文件

注：在您继续下面的步骤之前，必须先安装“USB-OTG Helper”和“Astro File Manager”这两个应用。【参阅“推荐从Google Play上获取的应用”】 

• 1.用OTG线讲一个USB驱动器连到Pwn平板上；
• 2.如果“USB-OTG Helper”自动弹出设备管理窗口，点击“OK”；若是没有窗口弹出，则手动打开“USB-OTG Helper”，点击“Mount”。【如果您是第一次运行此应用，您还需授予它root访问权限】
• 3.打开一个超级用户Shell，输入以下命令：

# cd ..
# cp -a captures/ /sdcard/

• 4.打开“Astro File Manager”，选择并点击“sdcard0”，选中“captures”目录；
• 5.选择左下角的“copy”；
• 6.点击左上角的“storage”，接着点击“UsbOtgDrives”目录，然后依次点击“drive1”、“Paste”；
• 7.要删除“/sdcard/”目录下的临时目录“captures”，再次点击左上角的“storage”，点击“sdcard0”，选择并点击“captures”目录，点击窗口底部的“delete”
• 8.通过屏幕右下方的多视角按钮（那个双矩形图标）可以返回“USB-OTG Helper”，当然您也可以再次打开“USB-OTG Helper”；
• 9.点击“UNMOUNT”以安全地移除驱动器。

7.2.2 通过ADB命令传输文件

注：(执行)以下的步骤前，要求先在您的一台Linux主机上安装好Android的ADB工具。

• 1.先通过ADB工具将您的Linux主机上与Pwn平板关联起来；
• 2.在您的Linux主机上打开一个超级用户Shell，将路径切换到您预备拿来接收文件的目录：

user@linuxcomputer$ mkdir captures 
user@linuxcomputer$ cd captures/ 
user@linuxcomputer$ adb shell 
shell@deb:/ $  su
root@deb:/ #  bootpwn 
root@pwnpad:/#  cd /opt/pwnix 
root@pwnpad:/#  cp -a captures/ /sdcard/ 
root@pwnpad:/#  exit
root@deb:/ # exit
shell@deb:/ $ exit
user@linuxcomputer$/ adb pull /sdcard/captures/

• 3.清除“/sdcard/”目录下的临时目录“captures”：

user@linuxcomputer$/ 	adb shell
shell@deb:/ $  su
root@deb:/ #  rm -r /sdcard/captures/ 

注：只能通过这种方式下载内部有文件的文件夹，不能下载空文件夹。

7.2.3 通过SCP传输文件

注：通过SCP传输文件的时候，并不要求您必须向“/sdcard/”目录下拷贝一个名为“captures”的（临时）目录。【另外两种方式都有此要求】

• 1.启用Pwn平板的本地SSH服务【参阅“基于SSH访问的远程终端”】；
• 2.在(与Pwn平板)连到同一个局域网内的Linux主机上，输入：

user@linuxcomputer$ scp -r pwnie@[Pwn平板的IP地址]:/opt/pwnix/captures/ 

八、怎样获取技术支持

• Pwnie Express的技术支持官网：https://www.pwnieexpress.com/support/
• Pwnie Express的技术支持社区论坛：http://forum.pwnieexpress.com/