使用beef劫持用户浏览器

最新推荐文章于 2024-03-22 16:59:00 发布
最新推荐文章于 2024-03-22 16:59:00 发布
阅读量384 收藏
点赞数
分类专栏: 网络安全全栈课程
本文链接:https://blog.csdn.net/weixin_59679023/article/details/125530166
版权
本文详细介绍了如何使用BeEF(Browser Exploitation Framework)框架劫持和控制用户浏览器。通过设置hook.js钩子文件,将受害者浏览器变为zombie,并通过BeEF服务器管理这些浏览器。文章中演示了从启动BeEF、设置密码,到构造XSS攻击,再到利用BeEF模块获取Cookie和弹出窗口的一系列操作。
摘要由CSDN通过智能技术生成

BeEF( The Browser Exploitation Framework) 是由 Wade Alcorn(瓦德·奥尔康) 在 2006 年开始创建的,至今还在维护。是由 ruby 语言开发的专门针对浏览器攻击的框架。

执行的过程,就像这种恶意弹窗:

zombie(僵尸)即受害的浏览器。zombie 是被 hook(勾连)的,如果浏览器访问了有勾子(由 js 编写)的页面,就会被 hook,勾连的浏览器会执行初始代码返回一些信息,接着 zombie 会每隔一段 时间(默认为 1 秒)就会向 BeEF 服务器发送一个请求,询问是否有新的代码需要执行。BeEF 服务器本 质上就像一个 Web 应用,被分为前端 UI, 和后端。前端会轮询后端是否有新的数据需要更新,同时前端也可以向后端发送指示, BeEF 持有者可以通过浏览器来登录 BeEF 的后台管理 UI。

点击应用程序启动 beef ,没有的话在终端输入beef-xss安装

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Cwillchris
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
使用Beef劫持客户端浏览器并进一步使用Beef+msf拿客户端shell
MickeyMouse1928的博客
04-08 2万+
利用Beef劫持客户端浏览器   环境: 1.Kali(使用beef生成恶意代码,IP:192.168.114.140) 2.一台web服务器(留言板存在XSS跨站脚本漏洞,IP:192.168.114.204) 3. 客户端(用于访问web服务器,IP:192.168.114.130) 步骤: 1. Kali使用beef生成恶意代码 2. 将恶意代码写入192.168.114.2
E017-渗透测试常用工具-使用Beef对客户端浏览器进行劫持.pdf
12-02
E017-渗透测试常用工具-使用Beef对客户端浏览器进行劫持
利用beef劫持客户端浏览器
qq_42853814的博客
01-28 336
Current Browser选择Commands,然后在Browser里面选择Redirect Browser,最后在右边的Redirect URL中输入网址,就可以控制目标浏览器跳转到指定网址了。1.搭建IIS服务器,配置存在XSS漏洞的留言板网站,并利用AWVS(Acunetix Web Vulnerability Scanner 10.0)扫描出该网站存在XSS漏洞。4. 在本机访问这个服务器的留言板,本机的浏览器就会被劫持,接着就可以利用beef控制浏览器跳转到指定网址。3. 客户端(本机)
利用Beef劫持客户端浏览器
weixin_45329009的博客
10-28 1264
利用Beef劫持客户端浏览器 一、环境: 1.Kali(使用beef生成恶意代码,IP:192.168.0.103) 2.一台web服务器(留言板存在XSS跨站脚本漏洞,IP:192.168.0.104) 3. 客户端(用于访问web服务器,IP:192.168.0.101) 二、步骤: Kali使用beef生成恶意代码 将恶意代码写入192.168.0.104网站留言板 只要客户端访问这个服务...
利用Beef进行XSS会话劫持
Deeeelete的博客
02-09 1452
1.登入靶机中的DVWA环境,安全等级调到最低,进入xss环境界面2.打开自带的beef软件第一次使用会提示你修改密码vim /etc/beef-xss/config.yaml打开修改,将密码修改成其他任意的内容就可以重新打开软件了。保存退出然后重新打开软件就可以正常进入了登录密码就是我们刚才修改的,输入然后登录3.回到终端,因为beef打开会默认开一个终端和一个浏览器界面,我们找到beff为我们...
kali-beef攻击浏览器-运维安全详细笔记总结
06-30
kali-beef攻击浏览器-运维安全详细笔记总结
docker-beef:BeEF浏览器开发框架)构建的 Dockerfile
06-20
码头牛肉BeEF 的 Dockerfile(浏览器开发框架) 拉取存储库docker pull malwarelu/beef 启动 BeEF docker docker run malwarelu/beef 正在运行的容器上的 TCP/3000 上可用的服务
工具的使用 _ BeEF使用1
08-03
工具的使用 _ BeEF使用1
kunai:通过用户浏览器窃取和信息收集
06-07
此外,您可能会尝试使用 bee 或 metasploit 对用户浏览器进行攻击。 为了获取尽可能多的信息,脚本会检测何时启用 javascript 以获取有关访问者的更多详细信息。 例如,您可以将此脚本包含在 iframe 中,或执行...
利用Beef劫持被攻击者客户端浏览器。用DVWA+SQLmap+Mysql进行SQL注入实战。
yellowO的博客
12-24 1939
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。系统环境:Kali Linux 2、Windows Server网络环境:交换网络结构实验工具: Beef;SqlMAP;DVWA实验环境搭建。角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)
利用beef盗取浏览器cookie,并实现页面跳转
鲨鱼辣椒的博客
05-19 1889
实验环境 KALI kali中需要安装beef工具 DVWA靶场 客户端 我是在本地搭的靶场,然后开两台虚拟机,一台kali当作攻击者,一台任何系统的主机 搭建靶场 首先搭建靶场,开启phpstudy让让别人可以访问就可以了(我这边的靶场是安装好的,如果没有安装的话可以先去下载) 下载安装步骤:先去phpstady官网下载一个最新版的phpstudy(这个最新版的不用配置环境直接安装就能用特别方便),然后找到DWVS的数据包下载下来(如果找不到的话我可以发给你),放到phpstudy的ww
XSS部分:利用Beef劫持被攻击者客户端浏览器
m1287578441的博客
12-25 506
1.搭建GustBook网站 选择路径: 后面的权限直接给满就好。 2.用AWVS扫描目标网站,发现其漏洞 3.使用beef生成恶意代码 安装:apt-get install beef-xss 4.访问漏洞网站,将恶意代码写入其留言板 10.21.122.212是kali的地址 5.效果 之后,客户端访问这个服务器的留言板,客户端浏览器就会被劫持 然后,我们可以在Beef控制端查看目标主机,目标主机已经被劫持了。 在beef操控台给被劫持主机发消息 在beef控制被劫持主机浏览器跳转到目标
beef自动化攻击(5)
从来不在调
03-06 1089
环境metaspoit+beef.利用autorun自动7化攻击 时间就是胜利,在勾住浏览器那短短时间内,如何完成一次高质量攻击呢? 利用BEEF REST API和浏览器交互速度将会大大增强。 首先写一个自动脚本,检查是否有挂钩,然后自动利用模块攻击。 beef injection framework自带的 autorun就可以完成这个任务。首先适当编辑autorun.rb脚本 编辑如(下
beef-xss钓鱼
Williamanddog的博客
01-27 634
BeEF(Browser Exploitation Framework)是一款非常强大的Web框架攻击平台,集成了许多 payload,可以通过XSS漏洞配合JavaScript脚本和Metasploit进行渗透。如果你的kali中没有beef的话,执行sudo apt install beef-xss进行安装。_ip:3000/clone_pikachu ,可以看到beef中有机器上线,在页面中进行登录。找到配置文件/usr/share/beef-xss/config.yaml。回到前台查看是否一致。
BEEF使用(简单版)
zzlx123的博客
12-20 2475
BeEF BEEF (The Browser Exploitation Framework):一款浏览器攻击框架,用Ruby语言开发的,Kali中默认安装的一个模块,用于实现对XSS漏洞的攻击和利用。 BeEF主要是往网页中插入一段名为hook.js的JS脚本代码,如果浏览器访问了有hook.js(钩子)的页面,就会被hook(勾住),勾连的浏览器会执行初始代码返回一些信息,接着目标主机会每隔一段...
The Browser Exploitation Framework (BeEF) – Part 1
kezhen的专栏
07-07 1426
转自:http://resources.infosecinstitute.com/beef-part-1/ 1. Introduction We can categorize the BeEF social engineering framework as shown in the picture below: We can read more about t
XSS漏洞及其工具Beef使用
最新发布
ytdd66的博客
03-22 1348
XSS(Cross Site Scripting,跨站脚本漏洞)漏洞,又叫 CSS 漏洞,是最常见的 Web 应用程序漏洞。其主要原理是当动态页面中插入的内容含有特殊字符(如
kali之beef使用
热门推荐
whoim_i的博客
11-03 2万+
目录一、beef介绍二、kali下使用beef配置beef实际操作 一、beef介绍 BeeF是前欧美最流行的web框架攻击平台,kali 集成Beef,而且Beef有很多好使的payload。例如,通过XSS这个简单的漏洞,BeeF可以通过一段编制好的javascript控制目标主机的浏览器,通过浏览器拿到各种信息并且扫描内网信息,同时能够配合metasploit进一步渗透主机,强大的有些吓人。...
浏览器利用框架BeEF测试
★慕名斋★
11-07 2506
0×00 前言 http://www.vuln.cn/6966 BeEF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。 目前对其测试的文章不是很多,所以希望通过本次测试给大家带来全新的认识。 0×01 简介 工具主页:http://beefproject.com
Kali Linux下利用Beef攻击浏览器实战详解
理解并掌握如何使用BEEF可以帮助我们更好地了解浏览器安全风险,提高网络防御能力,同时也能为运维人员提供宝贵的测试手段,确保网络环境的安全性。在实际应用中,安全专家和网络安全团队应不断学习和研究新的攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cwillchris

你的鼓励将让我产出更多优质干货

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值