BeEF-XSS介绍指南

admin 2025年1月21日19:40:56评论7 views字数 1413阅读4分42秒阅读模式

声明

所提供的工具资料仅供学习之用。这些资料旨在帮助用户增进知识、提升技能,并促进个人成长与学习。用户在使用这些资料时,应严格遵守相关法律法规,不得将其用于任何非法、欺诈、侵权或其他不当用途。本人和团队不对用户因使用这些资料而产生的任何后果负责,包括但不限于因操作不当、误解资料内容或违反法律法规而导致的损失或损害。用户应自行承担使用这些资料的风险,并在使用前进行充分的了解和评估。

介绍

BeEF-XSS旨在帮助安全研究人员和渗透测试人员评估Web应用程序和浏览器的安全性。其核心用途在于利用跨站脚本(XSS)漏洞,通过注入恶意的JavaScript代码,实现对用户浏览器的无声接管。它提供了一个直观的界面,允许测试人员监控和控制受害者的浏览器行为,收集敏感信息,执行社会工程学攻击,甚至进一步渗透内网。BeEF-XSS的强大之处在于其模块化的设计,使得攻击载荷可以灵活定制,以适应不同的测试场景和目标环境。

安装方式

更新本地的软件包列表

apt-get update

安装BeEF-XSS

apt-get install beef-xss

运行BeEF

beef-xss

默认用户beef/需设置密码

BeEF-XSS介绍指南

在启动是会生产可利用的链接,将连接写入存在XSS漏洞的地方

访问BeEF页面

http://127.0.0.1:3000/ui/panel
BeEF-XSS介绍指南

利用方式

反射型的利用

目标网站写入xss

BeEF-XSS介绍指南

把新的链接复制下来

BeEF-XSS介绍指南

靶机打开新的连接

BeEF-XSS介绍指南

在 kali 里访问Beef

BeEF-XSS介绍指南

存储型的利用

目标网站写入xss

BeEF-XSS介绍指南
BeEF-XSS介绍指南

用靶机去访问目标网站

BeEF-XSS介绍指南

在 kali 里访问Beef

BeEF-XSS介绍指南

Beef的功能模块

命令颜色

绿色
对目标主机生效并且不可见(不会被发现)
橙色
对目标主机生效但可能可见(可能被发现)
灰色
对目标主机来未必生效
红色
对目标主机不生效

核心模块

Browser: 这一模块专注于浏览器相关的信息收集与攻击手段。其子选项卡“Hooked Domain”专注于捕获HTTP请求中的关键属性值,如cookies、表单数据等,并能执行简易的浏览器操作,例如修改href链接、触发警告弹窗以及重定向浏览页面。值得注意的是,该选项卡下的部分功能模块会根据目标受害者的浏览器类型进行智能显示,主要涵盖浏览器通用操控及其他基础信息检测。

Chrome ExtensionsDebug****: 针对谷歌浏览器扩展插件的操作与利用。

Debug: 调试功能。

Exploits: 利用已知的公开漏洞进行攻击测试。

HostIPEC****: 针对目标主机进行信息探测,包括但不限于浏览器类型、系统详情、IP地址以及已安装软件列表等。

IPEC: 主要用于建立与控制受害者浏览器的通信链路,实现更深层次的交互操作。

Metasploit Integration: Beef能够与Metasploit平台协同工作,一旦识别到潜在受害者,即可通过信息收集流程判定是否存在可利用漏洞,为后续Metasploit的攻击测试提供便利。

Misc: 包含各类杂项功能,满足多样化需求。

Network: 执行网络扫描任务,揭示网络环境中的潜在设备与服务。

Persistence: 设计用于维持对受害者访问的持续控制,确保攻击效果的持久性。

Phonegap: 针对移动设备进行测试,探索其在安全方面的表现。

Social Engineering: 实施社会工程学攻击。

示例

获取Cookie

BeEF-XSS介绍指南

URL重定向

BeEF-XSS介绍指南
BeEF-XSS介绍指南

红队全栈教学

可在公众号回复“红队”获取群链接

原文始发于微信公众号(泷羽Sec-Ceo):BeEF-XSS介绍指南

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月21日19:40:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   BeEF-XSS介绍指南http://cn-sec.com/archives/3657084.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息