使用Beef劫持客户端浏览器并进一步使用Beef+msf拿客户端shell

最新推荐文章于 2024-05-09 16:26:31 发布
最新推荐文章于 2024-05-09 16:26:31 发布
阅读量2.4w 收藏 52
点赞数 9
分类专栏: 内网渗透 文章标签: beef metasploit msf 内网渗透 XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MickeyMouse1928/article/details/69668410
版权

利用Beef劫持客户端浏览器

 

环境:

1.Kali(使用beef生成恶意代码,IP:192.168.114.140)

2.一台web服务器(留言板存在XSS跨站脚本漏洞,IP:192.168.114.204)

3. 客户端(用于访问web服务器,IP:192.168.114.130)

步骤:

1. Kali使用beef生成恶意代码

2. 将恶意代码写入192.168.114.204网站留言板

3. 只要客户端访问这个服务器的留言板,客户端浏览器就会被劫持

目的:

控制目标主机的浏览器,通过目标主机浏览器获得该主机的详细信息,并进一步扫描内网,配合metasploit进行内网渗透

以下为具体操作:

一、搭建服务器

首先我在window server 2003上搭建IIS服务器,在站长之家找了一个存在XSS漏洞的留言板源码(我心依然留言板),发布到IIS服务器上。


用WVS扫了一下,确实存在XSS漏洞:


二、Kali中Beef的安装和使用:

最低0.47元/天 解锁文章
MickeyMouse1928
关注
  • 9
    点赞
  • 52
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BeEF使用
谢公子的博客
09-17 1万+
目录 BeEFBeEF-XSS使用 获取用户Cookie 网页重定向 社工弹窗 钓鱼网站(结合DNS欺骗) BeEF BEEF (The Browser Exploitation Framework):一款浏览器攻击框架,用Ruby语言开发的,Kali中默认安装的一个模块,用于实现对XSS漏洞的攻击和利用。 BeEF主要是往网页中插入一段名为hook.js的JS脚本代...
docker-beef:BeEF浏览器开发框架)构建的 Dockerfile
06-20
码头牛肉BeEF 的 Dockerfile(浏览器开发框架) 拉取存储库docker pull malwarelu/beef 启动 BeEF docker docker run malwarelu/beef 正在运行的容器上的 TCP/3000 上可用的服务
BeEF+ngrok实现内网穿透效果的主机控制
大方子
04-27 1278
NGROK:https://bin.equinox.io BeEF:https://github.com/sdfzy/BeeF-Over-Wan 1.先去下载linux 版本的ngrok 2.zip压缩包放到/usr/local/bin目录下解压并配置 token 3.切换到/root/.ngrok2目录配置ngrok.yml文件 把BeEF需要监听的内容写入ngro...
BeEF+msf对用户浏览器的攻击测试
liveJQ
02-08 2425
什么是BeEFBeEF是The Browser Exploitation Framework的缩写,用Ruby语言开发的,Kali中默认安装的一个模块,用于实现对XSS漏洞的攻击和利用。它是一种专注于Web浏览器渗透测试工具。 随着对包括移动客户端在内的客户网络攻击的担忧日益增加,BeEF允许专业渗透测试人员使用客户端攻击媒介来评估目标环境的实际安全状况。与其他安全框架不同,BeEF超越了强...
网络安全最全Beefxss使用教程图文教程(超详细)_怎么把beef改成公网ip(3),2024春招面试
最新发布
2401_84302816的博客
05-09 673
beef-XSS界面有很多栏,重点是 Commands 栏的功能指令,其他的基本用不到,不用太留意。Online Browsers:在线浏览器,工具定时发送链接请求,链接成功就会显示在这里。Offline Browsers:离线浏览器Getting Started:入门指南,官方的一些文档Logs:日志,记录工具做过哪些操作Zombies:僵尸,记录可以利用的目标站点Current Browser:上线的浏览器,只有在目标在线的时候才会显示出来。
E017-渗透测试常用工具-使用Beef客户端浏览器进行劫持.pdf
12-02
E017-渗透测试常用工具-使用Beef客户端浏览器进行劫持
beef + msf 实现内网渗透
weixin_30416497的博客
04-10 567
内网渗透方面,最为大众所知道的就是xp系统的ms08067漏洞,通过这个漏洞可以对未打上补丁的xp系统实现getshell, 但是经过笔者发现,这种漏洞攻击在被攻击机开上windows防火墙的时候是没用的(连ping都会被拒绝),但是arp+dns欺骗仍然是可行的 那么问题来了,我们如何通过内网欺骗来getshell? 在被攻击机开启防火墙的时候,可以看到使用ms08067漏洞未...
XSS漏洞及其工具Beef使用
ytdd66的博客
03-22 1295
XSS(Cross Site Scripting,跨站脚本漏洞)漏洞,又叫 CSS 漏洞,是最常见的 Web 应用程序漏洞。其主要原理是当动态页面中插入的内容含有特殊字符(如
利用BeEF执行XSS攻击
m0_70185580的博客
05-31 499
XSS攻击(Cross-Site Scripting)是指攻击者在网页中注入恶意脚本代码,使受害者在浏览器中运行该脚本,从而达到攻击目的。BeEF是一种利用浏览器漏洞的攻击工具,可以在浏览器端运行恶意脚本。当攻击成功后,可以在BeEF的控制面板中查看受害者的浏览器信息,并控制其浏览器。这段代码会将BeEF的hook.js文件注入到目标网站中,并启动BeEF的hook服务。接下来,需要获取要攻击的网站的URL。当受害者在浏览器中打开包含恶意脚本的页面时,BeEF就会启动并开始执行攻击。
kali-beef攻击浏览器-运维安全详细笔记总结
06-30
kali-beef攻击浏览器-运维安全详细笔记总结
squid3-beEF:概念证明 - 使用 squid url 重写功能“劫持”代理流量并将 BeEF 负载注入其中
06-23
概念证明 - 使用 url 重写功能“劫持”代理流量并将负载注入其中。 要求 PHP 5.3 阿帕奇 mod_php 安装 将 rewrite.php 和 payload.js 复制到 apache 文档根目录 使用以下命令使 rewrite.php 可执行chmod +x /...
beef获取目标主机用户名和密码.docx
03-29
运用beef获取目标主机用户名和密码 利用beef获得目标主机shell beef是一个用于合法研究和测试目的的专业浏览器漏洞利用框架
BeefAuto:无需配置路由器即可自动化 Beef 以通过广域网使用
07-24
python脚本自动化牛肉并通过使用ngrok打开端口将其配置为使用overwan 截图 安装 [ 卡利 ] git 克隆 cd BeefAuto 须藤 pip3 install -r requirements.txt 须藤 bash install.sh 须藤 python3 main.py 经过以下...
工具的使用 _ BeEF使用1
08-03
工具的使用 _ BeEF使用1
Metasploit+beef攻击实验
10-12
BeEF,全称The Browser Exploitation Framework,是一款针对浏览器渗透测试工具。
BeEF结合存储型XSS的利用
Zlirving_的博客
06-02 858
XSS就不过多介绍或阐述了 实验原理 BeEF是一种专注于Web浏览器渗透测试工具。 BeEF允许专业渗透测试人员使用客户端攻击媒介来评估目标环境的实际安全状况。BeEF超越了强化的网络边界和客户端系统,并在一个敞开的大门环境中检查可利用性:Web浏览器BeEF将挂钩一个或多个Web浏览器,并将它们用作启动定向命令模块以及从浏览器上下文中对系统进一步攻击。   实验场景 这里的攻击网络一般是指攻击内网。想象一下这样的场景:当一个公司内部网络的浏览器BeEF勾住了,那么可不可以使用它来攻击这
工具----7、浏览器攻击框架--(BeEF
七天
01-19 2302
BeEF浏览器开发框架的缩写。它是一款专注于网络浏览器渗透测试工具。 随着人们越来越担心针对客户端(包括移动客户端)的网络攻击,BeEF 允许专业的渗透测试人员通过使用客户端攻击向量来评估目标环境的实际安全状况。与其他安全框架不同,BeEF 超越了加固的网络边界和客户端系统,并在一扇敞开的门的上下文中检查可利用性:Web 浏览器BeEF 将挂钩一个或多个 Web 浏览器,并将它们用作启动定向命令模块的滩头阵地,并从浏览器上下文中进一步攻击系统。 BeEf官网地址请点击 Kali下安装BeEF流程如下
利用beef劫持客户端浏览器
qq_42853814的博客
01-28 331
Current Browser选择Commands,然后在Browser里面选择Redirect Browser,最后在右边的Redirect URL中输入网址,就可以控制目标浏览器跳转到指定网址了。1.搭建IIS服务器,配置存在XSS漏洞的留言板网站,并利用AWVS(Acunetix Web Vulnerability Scanner 10.0)扫描出该网站存在XSS漏洞。4. 在本机访问这个服务器的留言板,本机的浏览器就会被劫持,接着就可以利用beef控制浏览器跳转到指定网址。3. 客户端(本机)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值