利用Beef劫持客户端浏览器
环境:
1.Kali(使用beef生成恶意代码,IP:192.168.114.140)
2.一台web服务器(留言板存在XSS跨站脚本漏洞,IP:192.168.114.204)
3. 客户端(用于访问web服务器,IP:192.168.114.130)
步骤:
1. Kali使用beef生成恶意代码
2. 将恶意代码写入192.168.114.204网站留言板
3. 只要客户端访问这个服务器的留言板,客户端浏览器就会被劫持
目的:
控制目标主机的浏览器,通过目标主机浏览器获得该主机的详细信息,并进一步扫描内网,配合metasploit进行内网渗透
以下为具体操作:
一、搭建服务器
首先我在window server 2003上搭建IIS服务器,在站长之家找了一个存在XSS漏洞的留言板源码(我心依然留言板),发布到IIS服务器上。
用WVS扫了一下,确实存在XSS漏洞:
二、Kali中Beef的安装和使用: