Laboratorio de Pentesting para Móvil Android
Laboratorio de Pentesting para Móvil Android

Cómo crear un Laboratorio de Pentesting para Android

Aprende ¡Muy fácil! a crear un entorno para las pruebas de penetración (pentesting) móvil para Android. Sólo necesitas Virtual Box junto con Santoku.

Para analizar y explotar vulnerabilidades en aplicaciones de Android, primero tenemos que configurar un entorno para las pruebas, a continuación crearemos un laboratorio de Pentesting móvil.

1. Requisitos para el entorno Pentesting Android

  • Virtual Box o VMware
  • Santoku OS (que viene con SDK preinstalados)
  • GenyMotion (para crear un dispositivo virtual Android (AVD))
  • Puedes realizar pruebas con una aplicación vulnerable para Android  como InsecureBankv2
https://github.com/dineshshetty/Android-InsecureBankv2

Así que primero descargas Santoku OS desde el enlace de abajo. Santoku OS está diseñado especialmente para pruebas de penetración móvil e investigación forense. Santoku viene con SDK preinstalados y otras utilidades.

También será necesario descargar Virtual Box, muy recomendable para que funcione GenyMotion. Les dejo el enlace de descarga:

2. Configuración de Laboratorio Pentesting para Android: VirtualBox

  • Después de descargar Santoku, abre Virtual Box y crea una nueva máquina virtual para él.
Santoku OS en VirtualBox
Santoku OS en VirtualBox
  • Luego, selecciona la cantidad de RAM para Santoku, se recomienda 786MB pero tomé 2GB, puedes seleccionar según tus propias necesidades y hacer clic en Next
  • En la siguiente sección, selecciona el tipo de disco duro según su necesidad o seleccione VMDK (Disco de máquina virtual)
VirtualBox Tipo de disco duro
VirtualBox: Tipo de disco duro
  • Ahora, para instalar Santoku, haz clic derecho en Santoku VM e ir a la configuración de Almacenamiento luego selecciona y haz clic en el icono del disco justo delante de la unidad óptica en la sección de atributos. Posteriormente navega y selecciona el archivo ISO descargado y haz clic en Aceptar
VirtualBox - Almacenamiento selección ISO
VirtualBox – Almacenamiento selección ISO
  • También puedes seleccionar el tamaño del disco duro que desee. (puedes ver más detalle en el tutorial de la sección final)
  • Finalmente, inicia esa máquina virtual y, luego de algunos segundos, aparecerá el menú de arranque de Santoku, selecciona “Install- start th installer directly
Instalación de Santoku OS en VirtualBox
Instalación de Santoku OS en VirtualBox

3. Configuración de Laboratorio Pentesting para Android: Santoku

  • Ahora comenzará el proceso de instalación de Santoku, selecciona tu idioma preferido y luego haz clic en Continuar
Santoku OS: Idioma Preferido
Santoku OS: Idioma Preferido
  • Selecciona tu idioma preferido para el teclado. En el Tipo de Instalación elige “Borrar disco e Instalar Santoku
Borrar disco e Instalar Santoku
  • ¿Quién es usted?, nombra tu máquina virtual y establece una contraseña segura para el acceso de inicio de sesión. También puedes seleccionar Iniciar sesión automáticamente, pero no es una buena opción.
Quién es usted en Santoku OS
  • Ahora Santoku comenzará a copiar archivos e instalar. Siéntate y espera unos minutos después de que se reinicie.
  • En la imagen de abajo está nuestro Santoku instalado, eso significa que nuestra primera parte está completa.
Cómo instalar Santoku OS
Cómo instalar Santoku OS

4. Configuración de Laboratorio Pentesting para Android: GenyMotion

Ahora puedes descargar Genymotion desde el siguiente enlace:

Básicamente, Genymotion es un emulador de Android relativamente rápido que viene con Android pre-configurado con aceleración de hardware OpenGL adecuada para la prueba de aplicaciones.

  • Después de instalar Genymotion, ve a https://www.genymotion.com/account/create/ y crea una cuenta gratuita allí y verifica tu ID de correo electrónico. A continuación, regresa al software de escritorio genymotion e inicia sesión con las credenciales creadas.
Genymotion: Inicio de Sesión
Genymotion: Inicio de Sesión
  • Ahora, para crear un AVD, haz clic en “Add“, aparecerá un nuevo menú donde podrás seleccionar dispositivos Android de acuerdo con las marcas de los dispositivos y los números de versión.
  • Selecciona el dispositivo de acuerdo a su necesidad y haga clic en Next. Luego, en esta sección, revisa la configuración del dispositivo móvil Android y finalmente crea un dispositivo virtual.
Genymotion: Virtual Device
Genymotion: Virtual Device
  • Ahora el dispositivo comenzará a descargar los datos y desplegar el dispositivo Android virtual. (Tendrás que esperar unos minutos de acuerdo a su velocidad de internet)
  • Aquí puedes ver que creé 1 dispositivo virtual. Ahora selecciona el dispositivo y ejecútalo (Clic en Start).
Start Virtual Device Genymotion
Start Virtual Device Genymotion
  • Finalmente, aquí está nuestro Dispositivo Virtual Android.
Dispositivo Virtual Android Google Nexus
Dispositivo Virtual Android: Google Nexus

5. Creando un Laboratorio de Pentesting para Android

Para probar nuestra aplicación en busca de cualquier tipo de vulnerabilidad, necesitamos Android SDK porque en nuestra fase de prueba usaremos la línea de comando ADB (Android Debugger Bridge) casi siempre. Y Android SDK está preinstalado en Santoku OS. Entonces, ahora vamos a conectar Santoku a nuestro Dispositivo Virtual Android.

Dispositivo Virtual y tu IP

Puedes comprobar la IP del dispositivo virtual Android en la imagen anterior.

  • Ahora abre la línea de comando en Santoku y escribe:
adb connect <IP del dispositivo virtual Android>
  • Puedes verificar si el dispositivo está conectado o no, escribe:
adb devices

Entonces, puedes ver que esa lista muestra que hay 1 dispositivo conectado.

Conexión de Santoku a Genymotion
Conexión de Santoku a Genymotion

Y aquí también puedes ejecutar shell para ingresar en el móvil Android escribiendo:

adb shell

Así que aquí se completa la creación de un laboratorio de pruebas de penetración para la aplicación de Android. Estén atentos ahora a los próximos artículos sobre penetration testing y hacking en aplicaciones de Android.

6. Tutorial: Lab Pentesting con VirtualBox, Santoku y GenyMotion

https://youtu.be/klBTJiDgHAI

También te interesará saber como Hackear cualquier teléfono Android con DroidJack

My Cart Close (×)

Tu carrito está vacío
Ver tienda