XSS部分:利用Beef劫持被攻击者客户端浏览器

最新推荐文章于 2023-12-24 21:28:02 发布
最新推荐文章于 2023-12-24 21:28:02 发布
阅读量502 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m1287578441/article/details/111690773
版权

1.搭建GustBook网站
在这里插入图片描述
选择路径:
在这里插入图片描述
后面的权限直接给满就好。

2.用AWVS扫描目标网站,发现其漏洞
在这里插入图片描述
在这里插入图片描述
3.使用beef生成恶意代码
安装:apt-get install beef-xss
这是别人的图,借鉴一波
4.访问漏洞网站,将恶意代码写入其留言板
在这里插入图片描述
10.21.122.212是kali的地址

5.效果
之后,客户端访问这个服务器的留言板,客户端浏览器就会被劫持
在这里插入图片描述
然后,我们可以在Beef控制端查看目标主机,目标主机已经被劫持了。

在beef操控台给被劫持主机发消息
在这里插入图片描述
在这里插入图片描述
在beef控制被劫持主机浏览器跳转到目标网址
在这里插入图片描述
在这里插入图片描述
实验中的XSS攻击属于注入型XSS攻击。

披萨好吃
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
E017-渗透测试常用工具-使用Beef客户端浏览器进行劫持.pdf
12-02
E017-渗透测试常用工具-使用Beef客户端浏览器进行劫持
XSS攻击:利用Beef劫持攻击者客户端浏览器
zzzfff__的博客
11-13 1211
实验环境搭建角色言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建) 攻击者:Kali(使用beEF生成恶意代码,并通过言方式提交到言簿网站); 被攻击者:访问言簿网站,浏览器劫持
利用beef劫持客户端浏览器
qq_42853814的博客
01-28 334
Current Browser选择Commands,然后在Browser里面选择Redirect Browser,最后在右边的Redirect URL中输入网址,就可以控制目标浏览器跳转到指定网址了。1.搭建IIS服务器,配置存在XSS漏洞的言板网站,并利用AWVS(Acunetix Web Vulnerability Scanner 10.0)扫描出该网站存在XSS漏洞。4. 在本机访问这个服务器的言板,本机的浏览器就会被劫持,接着就可以利用beef控制浏览器跳转到指定网址。3. 客户端(本机)
利用窗口引用漏洞和XSS漏洞实现浏览器劫持
Simael的专栏
10-18 1247
转自:http://www.80vul.com/webzine_0x03/PSTZine_0x03_0x05.html 貌似是好久之前的文章了,今天读起来还是收获颇多啊 注:有很多code处都加了 否则会被博客给转译 一、前言     最近国内关于XSS漏洞的技术文档都比较少,所以决定写这篇文档,其中的很多细节和朋 友们都沟通讨论很久了,其中包括了我对浏览器同源策略和XSS的一些理解。XSS
利用Beef劫持客户端浏览器
weixin_45329009的博客
10-28 1259
利用Beef劫持客户端浏览器 一、环境: 1.Kali(使用beef生成恶意代码,IP:192.168.0.103) 2.一台web服务器(言板存在XSS跨站脚本漏洞,IP:192.168.0.104) 3. 客户端(用于访问web服务器,IP:192.168.0.101) 二、步骤: Kali使用beef生成恶意代码 将恶意代码写入192.168.0.104网站言板 只要客户端访问这个服务...
前端安全系列:如何防止XSS攻击?
01-27
在前端安全领域,XSS(Cross-site scripting)攻击是最常见且危险的一种,它允许攻击者在用户浏览器上执行恶意脚本。XSS攻击通常通过注入恶意代码到网页中,利用浏览器信任并执行来自服务器的任何HTML和JavaScript...
XSSBypass:XSS绕过技术
05-17
XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本,进而执行非授权的操作。当Web应用程序未能充分地验证和转义用户输入的数据时,XSS漏洞就可能发生。XSS绕过技术是...
xss防御之php利用httponly防xss攻击
10-26
主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下
vuejs-serverside-template-xss:混合了导致XSS漏洞的客户端模板和服务器端模板的Vue.js应用程序的演示
02-06
Vue.js服务器端模板XSS示例该存储库演示了同时使用服务器端渲染和Vue.js的Web应用程序如何能够容易受到XSS的攻击,即使它们采取了预防措施。 index.php是一个易受攻击PHP脚本。 fix-v-pre.php和fix-servervars-...
利用Beef劫持攻击者客户端浏览器。用DVWA+SQLmap+Mysql进行SQL注入实战。
最新发布
yellowO的博客
12-24 1927
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。系统环境:Kali Linux 2、Windows Server网络环境:交换网络结构实验工具: Beef;SqlMAP;DVWA实验环境搭建角色言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)
XSS————反射xss攻击劫持用户浏览器
weixin_43102772的博客
02-28 341
xss攻击劫持用户浏览器, 原理: 用户访问了黑客构建的xss攻击连接,跳转到了恶意的网址并加载了hook.js,从而通过hook.js劫持用户浏览器。 <script> window.onload=function(){ //是window.onload 不是windows.onload var link = document.getElementsByTagName("a")...
XX攻击——反射型 XSS 攻击劫持用户浏览器
Cwillchris的博客
06-29 291
我们先构建一个反射型的 XSS 攻击跳转到存在漏洞的页面。其实也可以在 DVWA 中直接进行攻击,但是我们处于演示目的构造了一个相对复杂的环境。window.onload = function() {var link=document.getElementsByTagName("a");for(j = 0; j < link.length; j++) {link[j].href="http://www.baidu.com";}}JavaScript 代码分析 window....
利用Beef进行XSS会话劫持
Deeeelete的博客
02-09 1451
1.登入靶机中的DVWA环境,安全等级调到最低,进入xss环境界面2.打开自带的beef软件第一次使用会提示你修改密码vim /etc/beef-xss/config.yaml打开修改,将密码修改成其他任意的内容就可以重新打开软件了。保存退出然后重新打开软件就可以正常进入了登录密码就是我们刚才修改的,输入然后登录3.回到终端,因为beef打开会默认开一个终端和一个浏览器界面,我们找到beff为我们...
BeEF-XSS攻击
彭淦淦的博客
05-11 985
6.1 问题 Kali虚拟机(192.168.111.132)搭建BeEF服务 宿主机(192.168.111.1)搭建正常网站 Win2008虚拟机(192.168.111.133)模拟用户被攻击 6.2 步骤 实现此案例需要按照如下步骤进行。 1)Kali虚拟机安装BeEF,依次运行命令apt-get update,apt-get install beef-xss,安装完成后启动beef-xss,用户名beef,自定义密码例如123456,如图-11和图-12所示 图-11 图-1
Kali安装beef-xssbeef-xss无法执行默认网络浏览器beef-xss忘记/修改用户名密码
weixin_49112478的博客
07-12 1078
下载完成后,开启:beef-xss (关闭命令用beef-xss-stop)遇到这种小问题,首先排查网络是否连通。如下图的本地服务是否开启,没启动的要启动。可以到设置-默认应用程序-互联网,将网络浏览器默认的改为火狐。修改后,需要重新启动beef-xss,或者重新启动kali。再次重新访问url,或重启beef-xss即可。用户名是beef,密码是之前自定义的密码。网络适配器是否配置,没配的要配置。然后安装beef-xss。查看用户名密码,可以用命令。修改用户名密码,用命令。
web安全渗透——4(XSS攻击+BeEF
weixin_44826485的博客
02-06 740
一、简介 介绍: XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。关于XSS有关危害,我这里中罗列一段列表,详细介绍不进行更多的赘述: 挂马 盗取用户Cookie。 DOS(拒绝服务)客户端浏览器。 钓鱼攻击,高级的钓鱼技巧。 删除目标文章、恶意篡改数据、嫁祸。 劫持用户Web行为,甚至进一步渗透内网。 爆发Web2.0蠕虫。 蠕虫式的DDoS攻击。 蠕虫式挂马攻击、刷广告、刷浏量、破坏网上数
【安全系列】beef-xss攻击示例
叁滴水 的博客
08-09 5002
beef-xss说明 BeEF是“浏览器开发框架”的缩写。它是一个专注于Web浏览器的渗透测试工具。 ​BeEF使专业的渗透测试人员可以使用客户端攻击向量来评估目标环境的实际安全状况。与其他安全框架不同,BeEF超越了硬化的网络边界和客户端系统,并在一个门户开放的环境中检查可利用性:Web浏览器BeEF将钩挂一个或多个Web浏览器,并将其用作启动定向命令模块的滩头堡,并从浏览器上下文中对系统进行进一步攻击。 1.安装beef-xss apt-get install beef-xss Setting
beef配合ettercap批量劫持内网的浏览器
weixin_30654583的博客
10-29 394
先更改首先先打开ettercap的DNS文件进行编辑,在kali linux2.0下的文件路径为/etc/ettercap/etter.dns 在对应的位置添加对应的 标识和IP地址 * 代表所有域名 后边就是你要欺骗为的IP地址,这里是当然是我自己的主机IP地址啦 然后记得保存。 然后vim /usr/share/beef-xss/config.yaml 将 me...
强化客户端防护:抵御XSS攻击与智能浏览器解决方案
客户端加固是网站安全的重要环节,特别是在面临XSS(跨站脚本攻击)、仿冒和网页木马等威胁时。这种技术旨在提升用户浏览器的安全性,通过安装像360安全浏览器、Chrome的安全插件以及卡卡上网安全插件等工具,增强...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值