Una herramienta, poco conocida fuera de entornos especializados, que quiero que conozcas

Posted on Profesional

En múltiples ocasiones he leído que Android no se puede utilizar para «hackear» ordenadores o servidores. Esta afirmación se encuentra a años luz de la realidad ya que existen múltiples herramientas, fuera de Google Play en su mayoría, y que son herramientas destinadas al hacking, ético por supuesto.

Una de estas herramientas es Termux y esta sí que está disponible en Google Play. Eso sí, si quieres sacarle su máximo potencial, no la descargues des Google Play, sino desde F-Droid. Y ya puestos, como tal vez no conozcas F-Droid, te comentaré que es una tienda de aplicaciones, tan segura como Google Play, pero en la que se encuentra software libre y software de código abierto. Como ya sabrás, el software de código abierto garantiza que cualquiera pueda analizar el código fuente de cualquier software, lo que hace que montones de programadores garanticen que es seguro y aporten su experiencia al código del software, mejorándolo y optimizándolo. Es la contrapartida al software privativo, que solo el desarrollador sabe qué contiene su código.

Pero volviendo a Termux, hay que comentar que se trata de un emulador de terminal y un intérprete de comandos Linux. Sin ser un sistema operativo Linux, se comporta como tal y puede ejecutar scripts desarrollados en varias shell nativas de Linux, como son sh, bash o zh, por nombrar las más conocidas. Y aquí es donde radica la potencia de Termux. Una vez que hemos instalado la app desde Google Play o desde F-Droid (preferible), lo que hay que hacer es actualizar el listado de paquetes y a continuación, actualizar todos los paquetes instalados. Para ello ejecutamos dos comandos que todo usuario de Linux y en concreto de distribuciones como Debian, Ubuntu o Linux Mint reconocerán:

apt update y a continuación: apt upgrade

Con esto ya tendremos Termux instalado, actualizado y listo para desarrollar o instalar los scripts con los que vamos a trabajar.

Supongamos que necesitamos acceder a un servidor para realizar tareas de administración. Lo más probable es que debamos acceder a él a través de una shell segura. Lo que se denomina ssh. Para ello debemos instalar en nuestro Termux los paquetes openssh y para conseguirlo ejecutaremos el siguiente comando:

apt install openssh

Como verás es lo mismo que harías desde tu Ubuntu, así que te resultará de lo más natural. Tras esto, se te instalarán los paquetes de openssh y ya podrás conectarte a un servidor con el comando habitual:

ssh -l USUARIO IP_SERVIDOR

Si te fijas no estamos usando el comando sudo para ejecutar las órdenes en modo administrador, ya que al no tener tu móvil rooteado no es posible ejecutar nada como administrador, pero es que tampoco es necesario a menos que sí tengas tu móvil rooteado y quieras ejecutar comandos del sistema como usuario root.

Cuando hayas accedido al servidor remoto, podrás realizar las tareas de administración habituales como limpiezas o realización de copias de seguridad, copiar archivos entre tu móvil y el servidor, etc, etc.

Puede que con la posibilidad de acceder a un servidor remoto vía ssh te sea suficiente, pero seguro que se te queda corto y ahora lo que quieres es automatizar estas tareas usando tus propios scripts y para ello, nada mejor que hacerlo programando en lenguajes como Python o PHP que luego correrás dentro de Termux. Vamos a la obra.

Lo primero que tienes que hacer es instalar Python en Termux y como ya habrás adivinado, esto se hace con el siguiente comando:

apt install python

Y se nos habrá instalado la última versión disponible de Python. Para instalar cualquier módulo de Python que necesitemos, lo haremos de la misma forma que si estuviéramos en nuestro ordenador con Ubuntu:

pip install NOMBRE_DEL_MODULO

Es muy probable que deseemos descargar scripts que se encuentren alojados en Github y al igual que lo haríamos en Ubuntu, instalaremos git, que es la herramienta que nos permite clonar repositorios alojados en github, así que lo instalamos de la forma habitual:

apt install git

Y ya estaremos en condiciones de clonar en nuestro móvil Android un repositorio de scripts. Por mostrar un ejemplo real que se te puede plantear, vamos a descargar Zphisher, que es un conjunto de utilidades encaminadas al phishing en redes sociales y ciertos servicios web muy comunes. Son herramientas habituales de cualquier hacker ético para analizar la seguridad de cuentas de uruario y sí, también son usadas por los delincuentes para robar cuentas de usuario.

Para probar estas herramientas y de paso ver cómo se instalan scripts desde Github, solo tienes que ejecutar el siguiente comando:

git clone git://github.com/htr-tech/zphisher.git

Cuando se haya descargado el conjunto de scripts, deberás entrar en el directorio donde se hayan instalado, que por lo general será zphisher (cd zphisher) y ahí ya podrás ejecutar el script zphisher.sh. Cómo funciona este conjunto de utilidades, ya dejo que te lo estudies por tu cuenta, si es que estás interesado. Por la Red hay mucha y muy buena información sobre el tema.

Al igual que Zphisher, hay montones de scripts para hacking ético que se pueden usar en Termux, como nmap, Metasploid, Wireshark, SQLmap, Social Engeneering Toolkit, Fsociety Toolkit y cientos más. ¿Quién dijo que Android no es un herramienta seria para el día a día del pentester?

Author: fbno

Website | All posts

Sarcástico, irónico y cáustico. Agnóstico, irreverente, apolítico, apátrida y ciertamente asocial. Defensor del abstencionismo reflexivo y amante de la penúltima cerveza y del Rock.