实验环境:kali2022
工具:beef-xss(没找到beef,可能其他版本的kali安装了)
BeeF是前欧美最流行的web框架攻击平台,Beef有很多好使的payload。
例如,通过XSS这个简单的漏洞,BeeF可以通过一段编制好的javascript控制目标主机的浏览器,通过浏览器拿到各种信息并且扫描内网信息,同时能够配合metasploit进一步渗透主机,强大的有些吓人。
beef也是属于c/s结构,具体看图
zombie(僵尸)即受害的浏览器。zombie是被hook(勾连)的,如果浏览器访问了有勾子的页面(植入了hook.js),就会被hook,勾连的浏览器会执行初始代码返回一些信息,接着zombie会每隔一段时间 (默认为1秒)就会向BeEF服务器发送一个请求,询问是否有新的代码需要执行。
BeEF服务器本质上就像一个Web应用,被分为前端UI 和后端。前端会轮询后端是否有新的数据需要更新,同时前端也可以向后端发送指示, BeEF持有者可以通过浏览器来登录BeEF 的后台管理UI。
安装配置
- 安装 beef:
apt-get install beef-xss
- 配置beef :
vi /usr/share/beef-xss/config.yaml