0x01 解锁Bootloader

谷歌的手机解锁以及root很简单，按照以下步骤即可

1. 使用数据线连接电脑，开启开发者模式的情况下直接使用命令adb reboot bootloader即可进入fastboot模式
2. 在fastboot模式下，使用命令fastboot oem unlock或fastboot flashing unlock即可完成解锁

0x02 刷入第三方recovery

在网站https://twrp.me/Devices/选择合适的twrp镜像，例如nexus 5的twrp下载地址为https://dl.twrp.me/hammerhead，下载完成后继续在fastboot模式下，使用命令fastboot flash recovery twrp-3.7.0_9-0-hammerhead.img即可刷入

0x03 刷入底包

根据kali官网显示，nexus 5可基于Nougat（Android 7）和Marshmallow（Android 6）刷入NetHunter，因此我选择了LineageOS 14.1（基于Android 7.1.2）作为底包刷入，下载地址

1. 重启手机进入recovery模式（可连接电脑后打开USB调试，使用命令adb reboot recovery进入）

2. 进入recovery模式后，在电脑端将刷机包push到手机adb push lineage-14.1-20220412-UNOFFICIAL-hammerhead.zip /sdcard

   

3. 打开手机进入TWRP，双清后选择INSTALL（安装），并选中刷机包即可自动开始刷入底包

4. 等待刷机完成即可进入系统

0x04 刷入magisk

同刷入底包步骤相同，Magisk下载地址

1. 重启手机进入recovery模式（可连接电脑后打开USB调试，使用命令adb reboot recovery进入）

2. 进入recovery模式后，在电脑端将刷机包push到手机adb push Magisk-v14.2.zip /sdcard

   

3. 打开手机进入TWRP，双清后选择INSTALL（安装），并选中Magisk即可自动开始刷入

4. 等待刷包完成进入系统，即获得手机root权限，应用列表中多了一个Magisk Manager应用

0x05 刷入nethunter

同刷入底包步骤相同，

1. 重启手机进入recovery模式（可连接电脑后打开USB调试，使用命令adb reboot recovery进入）

2. 进入recovery模式后，在电脑端将刷机包push到手机adb push nethunter-2022.4-hammerhead-nougat-kalifs-full.zip /sdcard/（要注意版本是nougat还是marshmallow）

   

3. 打开手机进入TWRP，双清后选择INSTALL（安装），并选中NetHunter即可自动开始刷入，过程中会提示需要25分钟完成刷入

4. 等待刷入完成进入系统即可体验NetHunter系统

0x06 系统成品图

NetHunter应用界面，左侧选项卡为kali的各项功能

NetHunter应用，Kali Chroot Manager中启动kali服务

通过KeX连接kali的VNC桌面

0x06 后续

刷完NetHunter系统后发现应用列表中多出来4个应用，分别是F-Droid、NetHunter、NetHunter KeX、NetHunter终端，其功能如下：

• F-Droid：NetHunter应用商店，可在其中下载一些安卓下的专用工具
• NetHunter：主要服务，在其中设置Kali Chroot后才能启动整个kali系统
• NetHunter KeX：VNC连接工具，需要在NetHunter的KeX Manager中先开启VNC服务
• NetHunter终端：终端服务，可选择连接到kali（需要先开启kali服务）或者安卓shell

NetHunter的坑：

• kali的Chroot在Nexus 5中保存位置为/data/local/nhsystem/kali-armhf，而Kali Chroot Manager中默认位置为/data/local/nhsystem/kali-arm64，此处需要手动修改一下即可启动KALI CHROOT
• 由于系统架构为armv7l，工具需要安装32位的arm程序，默认安装openjdk-11，无法使用burp，手动安装oracle java 8后可以正常使用burp，但想要使用冰蝎等工具可能会有问题