Beef的使用
在我的记忆之中之前是有些过关于beef这款工具的使用的文章的,然而最近整理博客,一看,发现怎么没有了,可能是我忘了吧,或者可能也可能是在梦里写了。。。今天来写一下吧
一、Beef简介
Browser Exploitation Framework (BeEF)
BeEF 是目前最强大的浏览器开源渗透测试框架,通过xss漏洞配合JS脚本和Metasploit进行渗透,
BeEF 是基于Ruby语言编写的,并且支持图形化操作,操作简单。
beef官方网站:http://beefproject.com/
工程框架:
在这里插入图片描述zombie(僵尸)即受害的浏览器。zombie是被hook(勾连)的,如果浏览器访问了有勾子(由js编 写)的页面,就会被hook,勾连的浏览器会执行初始代码返回一些信息,接着zombie会每隔一段时间 (默认为1秒)就会向BeEF服务器发送一个请求,询问是否有新的代码需要执行。BeEF服务器本质上就 像一个Web应用,被分为前端UI,和后端。前端会轮询后端是否有新的数据需要更新,同时前端也可以向后端发送指示, BeEF持有者可以通过浏览器来登录BeEF 的后台管理UI。
二、beef的下载安装
kali自带beef
如果没有的话通过以下方式进行下载安装
apt-get update
apt-get install beef-xss
安装完之后开始 beef
cd /usr/share/beef-xss/ # 切换到beef所在目录
./beef # 启动 beef
启动 beef 出现
[!] ERROR: Don’t use default username and password!
|_ Change the beef.credentials.passwd in /etc/beef-xss/config.yaml
然后根据提示去修改配置。
vim /etc/beef-xss/config.yaml
可以进行更改账号密码
修改完之后,Beef安装即为成功
接下来启动beef
在命令行输入命令:beef-xss
即可启动beef,自动弹出beef浏览器窗口,输入账号密码即可进入
三、Beef配置
kali下的BeeF配置文件在 /usr/share/beef-xss/config.yaml,其它的配置文件也在这个目录的子目录下,往后在使用某些功能时,需要修改对应的配置文件。自主安装的BeeF配置文件会在BeeF的主目录 下config.yaml,建议修改几个地方:
permitted_hooking_subnet: “0.0.0.0/0” #指定某个网段,只有在这个网段的浏览器才