WEB端Android控制台搭建及总结

项目简介：

L3MON是一个基于web端的远程安卓管理套件，可以通过web端管理以下资料访问：

• 手机短信（可从云端收发短信）
• 通话记录、通话时长
• 手机系统的文件
• 手机安装的程序
• GPS定位
• 浏览器页面访问记录

视频示例（搬运）

项目搭建

• 程序下载：程序包

• 环境准备(windows,如果你是使用linux，请参见百度对应系统的环境安装)

  • node环境：程序下载
  • java环境（必须1.8）：程序下载

• 开始安装

  • npm install pm2 -g <- 安装node保护程序

  • cd 路径/L3MON <- 进入程序包

  • npm install <- 安装依赖

  • pm2 start index.js <-- 启动脚本

  • pm2 startup <- 在启动时运行 L3MON

• 配置程序

  • pm2 stop index

  • maindb.json在文本编辑器中打开

  • 设置账号密码

  在admin项下：
  - 设置`username`为纯文本
  - 设置`password`为 小写32位 MD5 哈希
  （找一个md5加密站，填写实际密码，转换32位MD5小写字符串填写）
  

  • pm2 start all <-启动程序
  • 在您的浏览器中导航到http://<SERVER IP>:22533

使用截图（实操）

设备管理

短信管理

文件管理

安卓端截图

• 安装报毒（建议使用VMOS手机虚拟机启用）

• 注意授权（权限全开）

• 后台权限使用情况（程序不出现桌面，默认隐藏自启动）

总结

本项目因为危害较大，已被各大手机厂商标记。故而安装需要输入手机密码方才能强制安装。同时，我们也可以通过其后台权限调用情况，大致获知目前大多安卓程序的严重信息违规问题。譬如许多程序都向您要求了太多非必要的手机权限，这极有可能造成您的信息被随意使用。

后续如果要对本程序进行处理的话，可以考虑加壳绕过杀软及手机厂商的标记，以达到成功上线的目的。但，也因为目前手机内较为严格的自启动管理服务，该项目的实际攻击意义不大。用以权限使用示例教学倒是一个不错的示例！

• 个人搭建的控制台：传送门
• 安卓木马程序：下载 （普通下载后其实没啥事，只要不授予权限就好！）
• 项目源地址：传送门