BEEF的使用(简单版)

最新推荐文章于 2024-04-26 15:25:52 发布
最新推荐文章于 2024-04-26 15:25:52 发布
阅读量2.4k 收藏 8
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzlx123/article/details/103632268
版权

BeEF

BEEF (The Browser Exploitation Framework):一款浏览器攻击框架,用Ruby语言开发的,Kali中默认安装的一个模块,用于实现对XSS漏洞的攻击和利用。

BeEF主要是往网页中插入一段名为hook.js的JS脚本代码,如果浏览器访问了有hook.js(钩子)的页面,就会被hook(勾住),勾连的浏览器会执行初始代码返回一些信息,接着目标主机会每隔一段时间(默认为1秒)就会向BeEF服务器发送一个请求,询问是否有新的代码需要执行。BeEF服务器本质上就像一个Web应用,被分为前端和后端。前端会轮询后端是否有新的数据需要更新,同时前端也可以向后端发送指示, BeEF持有者可以通过浏览器来登录 BeEF 的后端,来控制前端(用户的浏览器)。BeEF一般和XSS漏洞结合使用。

BEEF的使用

在使用之前我们需要对其配置文件进行修改,进入 /usr/share/beef-xss/config.yaml 配置文件,将ip修改成我们kali的ip地址。后续我们进行其他实验也是需要修改这个配置文件。
在这里插入图片描述
打开beef方式:
直接点击桌面上的图标,过5秒左右,然后它自动会打开命令行和浏览器beef的登录框
任意目录,直接输入命令:beef-xss 打开 ,过5秒左右,然后它自动会打开命令行和浏览器beef的登录框
进入/usr/share/beef-xss/,输入命令:./beef-xss 打开 ,然后手动打开浏览器链接

利用beef来钓鱼

我们先将我们的网站做成百度的样子(跟着步骤来就好了)

进入/usr/share/beef-xss/ 目录下,执行命令:./beef 启动 beef ,记录API Token值
在这里插入图片描述
然后新打开一个命令框,执行以下命令

curl -H "Content-Type: application/json; charset=UTF-8" -d '{"url":"https://www.baidu.com/","mount":"/"}' -X POST http://192.168.99.131:3000/api/seng/clone_page?token=我们图中自己的token值

在这里插入图片描述
我们克隆的网站在目录:/usr/share/beef-xss/extensions/social_engineering/web_cloner/cloned_pages 下
在这里插入图片描述

利用物理机或者其他同网段的终端访问 [http://192.168.99.131:3000](http://192.168.99.131:3000) 可以看到主页和百度一模一样

在这里插入图片描述然后返回beef的网页,我们可以看到这台机器已经被我们控制了
我的物理机是192.168.99.130,所以这里显示受控机是此地址
在这里插入图片描述比如当我通过百度访问其他网站时,我么就可以拿到cookie
在这里插入图片描述当然这只是试验,如果说在真实的内网渗透中要用过这种方法,换需要对目标进行DNS欺骗。
在进行DNS欺骗之前我们需要将端口改为80,配合bettercap进行欺骗。
这样一来目标终端如果访问了真的百度地址也会自动连接到我们这里,cookie照拿不误。

L-socks
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Web安全 XSS漏洞的利用(Beef工具)(点击链接就被黑的技术.)
网络安全领域___专研者.
03-18 4034
XSS漏洞的 概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
beef简单使用
weixin_44940180的博客
07-23 3489
beef Beef主要是往网页中插入一段名为hook.jsJS脚本代码,如果浏览器访问了有hook.js(钩子)的页面,就会被hook(勾住),勾连的浏览器会执行初始代码返回一些信息,接着目标主机会每隔一段时间(默认为1秒)就会向BeEF服务器发送一个请求,询问是否有新的代码需要执行 Beef服务器本质上就像一个Web应用,被分为前端和后端。前端会轮询后端是否有新的数据需要更新,同时前端也可以向后端发送指示, BeEF持有者可以通过浏览器来登录 BeEF 的后端,来控制前端(用户的浏览器) Beef一般和
Beefxss使用教程图文教程(超详细)_怎么把beef改成公网ip(1)
最新发布
2401_84252743的博客
04-26 417
beef-XSS界面有很多栏,重点是 Commands 栏的功能指令,其他的基本用不到,不用太留意。Online Browsers:在线浏览器,工具定时发送链接请求,链接成功就会显示在这里。Offline Browsers:离线浏览器Getting Started:入门指南,官方的一些文档Logs:日志,记录工具做过哪些操作Zombies:僵尸,记录可以利用的目标站点Current Browser:上线的浏览器,只有在目标在线的时候才会显示出来。
【渗透测试工具beef】XSS渗透测试工具beef如何安装使用
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
04-25 7263
目录 beef介绍 beef工作原理简介 kali下使用beef beef配置IP地址及默认密码 使用beef攻击流程 启动beef 通过web端访问 1、输入config.xml中配置的用户名和密码,登录beef管理台 2、在网站中植入hook.js代码 3、客户端192.168.107.110,访问这个页面,就会被beef勾住,浏览器的大量信息就被beef获取到了 4、获取浏览器cookie 5、网页重定向,目标浏览器跳转到你指定的网页 6、登录弹窗,获取用户名和密码 .
xss漏洞---beef应用
weixin_50887021的博客
06-26 110
xss漏洞实验环境实验步骤get cookieredirect browser(iframe) 实验环境 beef、Windows10、kali 实验步骤 get cookie 将cookie的值添加到一个浏览器的页面 然后将一个登进去的页面的链接复制过来 发现直接登进去了 不需要账号和密码 redirect browser(iframe) new title ----名字 new favicon-----角标 https://dss0.bdstatic.com/-0U0bnSm1A5BphGln
Kali中Beef使用教程
weixin_43287317的博客
04-02 5248
Kali中Beef使用教程
利用 BeEF 执行 XSS 攻击的总结
weixin_71139244的博客
05-27 1040
跨站脚本攻击,简称XSS,是一种网站应用程序的安全漏洞攻击,属于代码注入的一种;与其他攻击相比,XSS攻击所带来的危害更大。跨站脚本攻击XSS,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
raylib-beef:用于Beef编程语言的raylib绑定
05-06
雷利比牛肉raylib-beef是Raylib 3.1 dev的Beef包装器库,这是一个简单易用的库。 结合Beef编程语言的优势,制作游戏绝对令人满足! 注意力! 这种绑定仍在开发中。 可能会发生错误。 二进制文件已从存储库中删除。 ...
key_beef.zip_28335读取io_DSP GPIO BEEF_DSP28335 IO_DSP28335蜂鸣器_按键
09-14
标题中的“key_beef.zip_28335读取io_DSP GPIO BEEF_DSP28335 IO_DSP28335蜂鸣器_按键”表明了这个压缩包内容是关于使用TI公司的TMS320F28335 DSP(数字信号处理器)进行I/O操作,特别是GPIO(通用输入/输出)功能,...
Beef Boss Fortnite Wallpapers New Tab-crx插件
03-12
使用方法:-单击“添加到Chrome”按钮安装此Beef Boss扩展,它将自动添加。 等待几秒钟,然后加载,最好的跟随! -在左上角,“齿轮”。 这将加载设置面板,您可以在其中使用切换按钮来打开或关闭功能。 此外,您...
ariyana:Ariyana是用Orthodox C ++和Beef编写的ECS进行中游戏引擎,专注于跨平台和多人游戏
02-04
简单的编码样式和API 实体组件系统 跨平台不仅代码,而且纹理和着色器也将在构建阶段转换为目标平台。 异步文件I / O 纹理转换和加载。 支持。 通过网络支持 保护客户端和服务器 自动序列化和反序列化实体及其...
牛肉编程语言-C/C++开发
05-26
Beef编程语言Beef是一种面向性能的开源编译语言,已与其IDE环境紧密结合。 语法和许多语义是最直接从C#派生的,而Beef编程语言Beef是一种开放源代码的面向性能的编译语言,已与其IDE环境紧密结合。 语法和许多语义是最直接从C#派生的,同时试图保留C的裸机显式性和缺乏运行时意外的理想,并具有一些“现代”的美感,其灵感源于Rust,Swift和Go等语言。 有关更多详细信息,请参见语言指南。 牛肉的主要设计目标是提供流畅感和愉悦感
brainfuck-cool-helloworld-:我是无聊的
04-10
它的设计目的是作为对当时流行的语言进行讽刺,同时也是一种挑战,因为其语法极其简单但极其难读难写。 2. **基本语法**:Brainfuck只有8个命令字符,分别是 `< > + - . , [ ]`。它们分别代表指针移动、值增减、...
beef-xss详细教程(一文带你学会beef) | Kali下安装beef | beef-xss反射型,储存型利用 | beef实现Cookie会话劫持 | 键盘监听 | 浏览器弹窗,重定向等
Martin-share的博客
02-12 1万+
beef-xss详细教程(一文带你学会beef) | Kali下安装beef | beef-xss反射型,储存型利用 | beef实现Cookie会话劫持 | 键盘监听 | 浏览器弹窗,重定向等
浏览器利用框架BeEF测试
★慕名斋★
11-07 2490
0×00 前言 http://www.vuln.cn/6966 BeEF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。 目前对其测试的文章不是很多,所以希望通过本次测试给大家带来全新的认识。 0×01 简介 工具主页:http://beefproject.com
BEEF基础使用
课嗨教育的专栏
09-07 265
BeEF,全称 The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。目前对其测试的文章不是很多,所以希望通过本次测试给大家带来全新的认识。
Beefxss使用教程图文教程(超详细)
热门推荐
wangyuxiang946的博客
02-16 1万+
Beef-XSS是一款功能强大的「XSS漏洞利用工具」,kali自带,基于Ruby语言开发。
BeEf:利用跨站脚本漏洞进行钓鱼
qq_42773814的博客
01-19 2403
BeEf 简介 BeEf 是目前最为流行的 Web 框架攻击平台,专注于利用浏览器漏洞,它的全称是 The Browser Exploitation Framework 。 BeEf 提供一个 Web 界面来进行操作,只要访问了嵌入 hook.js 的页面,抑或执行了 hook.js 文件的浏览器,就会不断地以 GET 的方式将其自身的相关信息传到 BeEf 的服务端。 最新的kali系统已经不会默认安装 BeEf ,需要我们自行安装。 apt install beef-xss 安装完成后,直接
Kali之Beef利用Xss进行钓鱼
My灬Futrue的博客
07-07 1743
1、操作准备 攻击机:Kali(ip地址:192.168.1.107) 受害者:Windows7 x64(ip地址:192.168.1.163) 2、配置Beef 进入beef的配置文件里 root@kali:~# vim /etc/beef-xss/config.yaml 在这里可以看到beef的默认用户名和密码,也可以进行修改,我这里对默认的密码进行了修改 注:(默认beef用户名和密码位User:beef,Password:beef) 3、启动Beef root@kali:~# beef-xss
实现Apriori 算法案例
05-03
Apriori 算法是一种常用的关联规则挖掘算法,可以用于发现数据集中项之间的关系。下面是一个简单的实现 Apriori 算法的 Python 代码示例: ```python def load_data(): """加载数据集""" data = [['bread', 'milk', 'vegetable', 'fruit', 'eggs'], ['noodle', 'beef', 'vegetable', 'fruit', 'eggs'], ['bread', 'noodle', 'beef', 'vegetable'], ['bread', 'milk', 'beef', 'vegetable', 'eggs'], ['milk', 'noodle', 'beef', 'vegetable', 'fruit', 'eggs']] return data def create_C1(data): """创建所有候选项集的集合""" C1 = set() for transaction in data: for item in transaction: C1.add(frozenset([item])) return C1 def generate_Fk(Ck, data, min_support): """根据候选项集生成频繁项集""" support_count = {} for transaction in data: for item in Ck: if item.issubset(transaction): support_count[item] = support_count.get(item, 0) + 1 n = len(data) Fk = set() support_data = {} for item, count in support_count.items(): support = count / n if support >= min_support: Fk.add(item) support_data[item] = support return Fk, support_data def generate_Ck(Fk, k): """根据频繁项集生成候选项集""" Ck = set() for item1 in Fk: for item2 in Fk: if len(item1.union(item2)) == k: Ck.add(item1.union(item2)) return Ck def apriori(data, min_support): """Apriori 算法""" C1 = create_C1(data) F1, support_data = generate_Fk(C1, data, min_support) F = [F1] k = 2 while len(F[k-2]) > 0: Ck = generate_Ck(F[k-2], k) Fk, support_k = generate_Fk(Ck, data, min_support) support_data.update(support_k) F.append(Fk) k += 1 return F, support_data if __name__ == '__main__': data = load_data() F, support_data = apriori(data, 0.5) print("频繁项集:", F) print("支持度:", support_data) ``` 在这个示例中,我们使用了一个包含 5 个交易的简单数据集。首先,我们创建了所有候选项集的集合,然后根据候选项集生成频繁项集。接着,我们根据频繁项集生成候选项集,并再次生成频繁项集。这个过程一直进行到没有新的频繁项集产生为止。最后,我们输出了所有的频繁项集和支持度。 这是一个简单的 Apriori 算法实现示例,实际应用中可能需要对算法进行优化,例如使用 FP-Growth 算法等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值