We detected you are likely not from a Russian-speaking region. Would you like to switch to the international version of the site?

  Назад к списку статей
Termux

Termux и кибербезопасность: построение мобильной pentest‑платформы с Metasploit

27 янв 2026 в 01:01 Усачёв Денис Евгеньевич

Termux – это мощный терминальный эмулятор для Android, позволяющий запускать полноценную Linux‑среду прямо на смартфоне. Благодаря поддержке пакетного менеджера pkg и возможности установки Python, Ruby, Nmap и других инструментов, Termux становится идеальной базой для мобильных pentest‑платформ. В этой статье мы построим рабочее окружение с Metasploit Framework, рассмотрим базовые и продвинутые сценарии использования, а также обсудим вопросы безопасности.

Подготовка окружения

Перед установкой Metasploit необходимо выполнить несколько подготовительных шагов.

pkg update && pkg upgrade -y

Установим базовые утилиты и настроим доступ к файловой системе устройства.

pkg install -y git wget curl proot-distro

Разрешим Termux доступ к общему хранилищу, чтобы сохранять результаты сканирований и эксплойтов.

termux-setup-storage

После выполнения команды появится запрос на разрешение доступа – согласитесь, иначе Metasploit не сможет сохранять файлы.

Установка Python и Ruby

Metasploit написан на Ruby, поэтому нам понадобится Ruby‑интерпретатор, а также Python для вспомогательных скриптов.

pkg install -y python ruby clang make openssl-dev libffi-dev libcrypt-dev

Убедитесь, что версии установлены корректно:

python3 --version
ruby --version

Установка Metasploit Framework

Самый простой способ – воспользоваться официальным скриптом установки от Rapid7, адаптированным под Termux.

wget https://raw.githubusercontent.com/Hax4us/Metasploit_termux/master/metasploit.sh -O metasploit.sh
chmod +x metasploit.sh
./metasploit.sh

Скрипт автоматически загрузит исходники, установит зависимости и соберёт фреймворк. Процесс может занять от 10 до 30 минут в зависимости от модели телефона.

После завершения установки проверьте запуск:

msfconsole

Если консоль открылась без ошибок – установка прошла успешно.

Базовая настройка Metasploit

Для удобства работы создадим каталог для хранения баз данных и логов.

mkdir -p $HOME/.msf4/logs

Настроим файл ~/.msf4/config (если его нет, создаём):

cat > $HOME/.msf4/config <<'EOF'
[database]
# SQLite база (по умолчанию) хранится в ~/.msf4/msf.db
# Для мобильных целей лучше использовать SQLite, т.к. PostgreSQL требует отдельного сервера.
EOF

Запуск с сохранением сессий:

msfconsole -r $HOME/.msf4/autoload.rc

Файл autoload.rc может содержать часто используемые команды, например:

cat > $HOME/.msf4/autoload.rc <<'EOF'
loadpath $HOME/.msf4/modules
setg VERBOSE true
EOF

Первый сканирование с Nmap

Для сбора информации о цели удобно использовать Nmap, который также доступен в Termux.

pkg install -y nmap

Сканируем локальную сеть (пример):

nmap -sS -Pn -p- 192.168.1.0/24 -oX $HOME/.msf4/logs/nmap_scan.xml

Импортируем результаты в Metasploit:

db_import $HOME/.msf4/logs/nmap_scan.xml

После импорта можно увидеть найденные хосты и сервисы командой hosts и services внутри msfconsole.

Запуск эксплойта из Metasploit

Допустим, у нас найден уязвимый сервис Apache Tomcat на порту 8080. Выбираем соответствующий модуль:

use exploit/multi/http/tomcat_mgr_upload

Указываем параметры цели:

set RHOSTS 192.168.1.45
set RPORT 8080
set TARGETURI /manager/html
set USERNAME admin
set PASSWORD admin

Запускаем эксплойт:

run

Если эксплойт успешен – получаем сессию Meterpreter, которую можно управлять прямо со смартфона.

Дополнительные инструменты в Termux

Metasploit – лишь часть набора. Для полноценного pentest‑платформы стоит установить:

  • sqlmap – автоматизированный SQL‑инъекционный сканер.
  • nikto – сканер уязвимостей веб‑серверов.
  • hydra – брутфорс аутентификации.
  • masscan – быстрый сканер портов.

Установка примера:

pkg install -y sqlmap nikto hydra masscan

Все инструменты работают в том же терминальном окне, а результаты можно сохранять в $HOME/.msf4/logs для последующего анализа.

Оптимизация производительности

Для ускорения работы Metasploit в Termux рекомендуется:

  • Отключить анимацию терминала: termux-reload-settings после изменения ~/.termux/termux.properties.
  • Установить libandroid-support (если доступно) для более быстрой работы Ruby.
  • Использовать proot-distro и установить легковесный дистрибутив (например, Alpine) – это снижает нагрузку на процессор и память.

Безопасность и этика

Запуск атакующих инструментов с мобильного устройства повышает риск случайного раскрытия ваших действий. Рекомендуем:

  • Всегда использовать VPN или TOR‑туннель (например, termux-chroot + tor) для сокрытия IP‑адреса.
  • Хранить приватные ключи и креденшалы в зашифрованных файлах (gpg или openssl enc).
  • Регулярно обновлять пакеты: pkg upgrade -y.
  • Не выполнять тесты без согласия владельца системы – нарушение закона.

Заключение

Termux предоставил нам полностью функциональную мобильную pentest‑платформу, в которой Metasploit работает бок о бок с Nmap, sqlmap и другими инструментами. Такая конфигурация позволяет проводить предварительный аудит целей прямо с кармана, а также быстро реагировать на новые уязвимости в полевых условиях.

Если вы хотите вывести свою кибербезопасность на новый уровень, команда RybinskLab готова помочь: от разработки кастомных модулей Metasploit до проведения комплексных аудитов мобильных и IoT‑устройств. Свяжитесь с нами для получения профессионального сопровождения и обучения.

* Текст статьи подготовлен и структурирован с использованием технологий искусственного интеллекта. Проверен экспертом RybinskLab.

Поделиться знанием:

Нужна профессиональная помощь?

Меня зовут Усачёв Денис Евгеньевич. Я оказываю IT-услуги в Рыбинске и Ярославской области: настройка серверов, безопасность, автоматизация бизнеса.

Связаться со мной
Поддержать проект