当前位置:WooYun(白帽子技术社区) >> 移动终端安全 >> Android监听端口应用定位

Android监听端口应用定位

瘦蛟舞 (科普是一种公益行为) | 2015-05-15 17:26

通过 netstat 发现设备正在监听1946/1222两个端口

shell@hammerhead:/ $ netstat |grep -i listen
   tcp       0      0 0.0.0.0:1946           0.0.0.0:*              LISTEN
   tcp       0      0 0.0.0.0:1222           0.0.0.0:*              LISTEN
  tcp6       0      0 :::8192                :::*                   LISTEN
  tcp6       0      0 :::7777                :::*                   LISTEN
  tcp6       0      0 :::14087               :::*                   LISTEN
  tcp6       0      0 :::14088               :::*                   LISTEN
  tcp6       0      0 :::14089               :::*                   LISTEN
  tcp6       0      0 :::14092               :::*                   LISTEN
  tcp6       0      0 :::6259                :::*                   LISTEN

通过/proc/net/tcp可以找到这两个端口对应的应用 uid 为10094(即u0_a94)
0.0.0.0:1946 对应 00000000:079A(16进制)

shell@hammerhead:/ $ cat /proc/net/tcp
    sl  local_address rem_address   st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode                                                    
     0: 00000000:079A 00000000:0000 0A 00000000:00000000 00:00000000 00000000 10094        0 28470 1 00000000 100 0 0 10 -1                            
     1: 00000000:04C6 00000000:0000 0A 00000000:00000000 00:00000000 00000000 10094        0 28463 1 00000000 100 0 0 10 -1                            
     2: 7F01A8C0:BF15 69176CCA:14A7 01 00000000:00000000 00:00000000 00000000 10106        0 26727 1 00000000 22 4 25 10 -1
  
通过 ps 确定应用为 pplive
  
shell@hammerhead:/ $ ps|grep u0_a94                                          
  u0_a94    4526  238   887672 42060 ffffffff 00000000 S com.pplive.androidphone
  u0_a94    4706  238   900924 46028 ffffffff 00000000 S com.pplive.androidphone:remote

如果 root 了,可以更简单,@小荷才露尖尖角

root@hammerhead:/ # busybox netstat -tunlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:1946            0.0.0.0:*               LISTEN      4706/com.pplive.and
tcp        0      0 0.0.0.0:1222            0.0.0.0:*               LISTEN      4706/com.pplive.and
tcp        0      0 :::8192                 :::*                    LISTEN      3617/com.ss.android
tcp        0      0 :::14087                :::*                    LISTEN      2485/com.tencent.an
tcp        0      0 :::14088                :::*                    LISTEN      2485/com.tencent.an
tcp        0      0 :::14089                :::*                    LISTEN      2485/com.tencent.an
tcp        0      0 :::14092                :::*                    LISTEN      2485/com.tencent.an
tcp        0      0 :::6259                 :::*                    LISTEN      3983/com.baidu.brow
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           4706/com.pplive.and
udp        0      0 0.0.0.0:11918           0.0.0.0:*                           4706/com.pplive.and
udp        0      0 0.0.0.0:6878            0.0.0.0:*                           4706/com.pplive.and

分享到:
17 个回复
  1. 1#
    回复此人 感谢
    whirlwind (别打开http://198.15.216.171/) | 2015-05-15 17:28

    你一定是root了。。

  2. 2#
    回复此人 感谢
    瘦蛟舞 (科普是一种公益行为) | 2015-05-15 17:29

    @whirlwind $ #......

  3. 3#
    回复此人 感谢
    D&G | 2015-05-15 17:32

    记得linux可以直接显示pid的,手机上好像不支持?

  4. 4#
    回复此人 感谢
    梧桐雨 (‮ofni.uygnotuw‮) | 2015-05-15 17:33

    师傅领主就是任性,想怎么加就怎么加

  5. 5#
    回复此人 感谢
    瘦蛟舞 (科普是一种公益行为) | 2015-05-15 17:44

    @梧桐雨 你来分享好东西,我也加..哈哈..别藏着..

  6. 6#
    回复此人 感谢
    瘦蛟舞 (科普是一种公益行为) | 2015-05-15 17:45

    @D&G android 精简了.

  7. 7#
    回复此人 感谢
    冷静 (黑客大黑客超级黑客黑客王,这就是我的梦想。。。。。) | 2015-05-15 17:46

    我说怎么楼主怎么每次的帖子都有雷呢

  8. 8#
    回复此人 感谢
    瘦蛟舞 (科普是一种公益行为) | 2015-05-15 17:50

    @冷静 我默默刷了这么久,就是为了这可以给自己打雷.哈哈哈

  9. 9#
    回复此人 感谢
    冷静 (黑客大黑客超级黑客黑客王,这就是我的梦想。。。。。) | 2015-05-15 17:59

    @瘦蛟舞 看了你的打雷帖子都挺好的~

  10. 10#
    回复此人 感谢
    Gnest (ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎ฏ๎) | 2015-05-15 18:09

    @冷静 大表哥,来个Android抓包的

  11. 11#
    回复此人 感谢
    小荷才露尖尖角 (from doc to code) | 2015-05-15 18:12

    有一个更简单的方法,使用busybox的netstat -anp

  12. 12#
    回复此人 感谢
    瘦蛟舞 (科普是一种公益行为) | 2015-05-15 18:18

    @whirlwind @小荷才露尖尖角 是哒...这个才得 root..

  13. 13#
    回复此人 感谢
    瘦蛟舞 (科普是一种公益行为) | 2015-05-15 18:21

    @whirlwind @小荷才露尖尖角 额...貌似不对..不要在意这些细节,哈哈

  14. 14#
    回复此人 感谢
    瘦蛟舞 (科普是一种公益行为) | 2015-05-15 18:27

    @杀戮 code 自动换行好蛋疼.

  15. 15#
    回复此人 感谢
    杀戮 (有事请 at 大号园长) | 2015-05-15 18:28

    @瘦蛟舞 未来会改进的  相信我们

  16. 16#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2015-05-15 18:34

    linux下也是这样吧

  17. 17#
    回复此人 感谢
    Nicky (安卓安全中文站 www.droidsec.cn) | 2015-05-15 20:02

    @瘦蛟舞 adb shell top不是可以么

  18. 18#
    回复此人 感谢
    n0say (趁著年經把能幹的壞事全幹了) | 2015-06-25 13:09

    知道端口找pid/应用,linux有losf,android没有?

添加新回复

登录 后才能参与评论.

WooYun(白帽子技术社区)

网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地

登录

其它内容


Copyright © 2010 www.wooyun.org All Rights Reserved. 吉ICP备12001400号-1