【beef工具-01】神器beef的安装与简介
目录
- 1 beef概述
- 1 beef简介
- 1.2 beef的相关文件与启动
- 2 beef安装
- 3 beef的重要网址
- 4 简单测试
- 5 总结
- 参考文章
1 beef概述
1 beef简介
BeEF:Browser Exploitation Framework(BeEF) 是目前最强大的浏览器开源渗透测试框架。 它是一款专注于网络浏览器的渗透测试工具。通过XSS漏洞配合JS脚本和 Metasploit进行渗透; BeEF是基于Ruby语言编写的,并且支持图形化界面,操作简单 。
随着人们越来越担心针对客户端(包括移动客户端)的网络攻击,BeEF 允许专业的渗透测试人员通过使用客户端攻击向量来评估目标环境的实际安全状况。 与其他安全框架不同,BeEF 超越了加固的网络边界和客户端系统,并在一扇敞开的门的上下文中检查可利用性:Web 浏览器。 BeEF 将挂钩一个或多个 Web 浏览器,并将它们用作启动定向命令模块的滩头阵地,进一步攻击浏览器系统。
1.2 beef的相关文件与启动
beef是一个XSS神器,也是是XSS漏洞的利用平台,其相关文件与启动如下:
(1)工具目录 : /usr/share/beef-xss
(2)配置文件 : config.yaml
(3)启动beef 工具的方法
- beef-xss
- /usr/share/beef-xss/beef
注意启动时需要修改默认密码
2 beef安装
新版kali里面没有自带该软件,需要安装,安装前请确保kali虚拟机能正常上网。对于kali虚拟机连接真实网络,图形化的网络信息配置方法请查看《kali中间人攻击》中的3.1节相关内容;通过配置文件永久性的网络信息配置可参考《【Linux系统】第11节 Linux系统网络信息查看与配置(包括CentOS和Kali)》中的3.1节相关内容。
beEF安装的具体步骤如下:
(1)打开终端,并输入命令sudo -i
切换到管理员账户。
(2)输入安装命令apt-get install beef-xss
,安装过程如下,若碰到询问是否执行时,输入y。在接近结束时,提示有几个包没能安装。
(3)根据提示,使用命令apt-get update
(4)再次使用命令安装apt-get install beef-xss
,执行过程如下,成功安装.在安装过程中有弹出询问是否继续执行,选择是。
(5)启动beEF软件。使用beef-xss
启动beEF软件。第一次启动时会强制要求修改密码,此处修改为123456。
(6)当命令执行完毕后弹出此窗口,账户为beef,密码为我们刚刚修改的123456。
3 beef的重要网址
在启动beEF时,终端命令行中出现以下三个重要网址,功能介绍如下:
- Web界面管理控制台:http://127.0.0.1:3000/ui/panel。用于查看上钩的鱼儿以及对不同的目标进行管理操作
- shellcode探针:http://127.0.0.1:3000/hook.js,只要有人运行该文件,就会在管理控制台上线(上钩)。
- 测试网址:http://127.0.0.1:3000/demos/butcher/index.html,只要有人访问该网站,也会在管理控制台上线(上钩)。
注意,其他机器访问时则是将上述127.0.0.1换成kali系统的IP地址。
4 简单测试
(1)Kali系统,打开神器beef,当命令执行完毕后弹出此窗口,账户为beef,密码为我们刚刚修改的123456。
(2)win2008系统打开IE浏览器,访问http://172.16.1.10:3000/demos/butcher/index.html,测试能否上钩。注意,在测试前win2008与kali处于同一个局域网。
(3)回到Kali系统,在界面管理控制台可以看到已有一条鱼儿上钩。
(4)在Command窗口,存放着一些可以执行的命令,不同颜色命令表示靶机浏览器的反应程度:
- 绿色模块:表示模块适用当前用户,并且执行结果对用户不可见;
- 灰色模块:模块为在目标浏览器上测试过;
- 橙色模块:模块可用,但结果对用户可见;
- 红色模块:表示模块不适用当前用户,有些红色模块也可以执行,会有较大反应。
5 总结
掌握beEF的安装与启动方法;
了解beEF的功能与简单使用。
参考文章
[1]《beEF官网》
【beef工具-01】神器beef的安装与简介相关推荐
- 修改BeEF工具默认密码
修改BeEF工具默认密码 BeEF是一个浏览器攻击框架,默认已经安装在Kali Linux系统.其中,该工具的默认用户名和密码都为beef.大学霸IT达人在新版本中,无法使用默认密码登录该服务.其中, ...
- 【XSS漏洞-06】XSS漏洞利用案例(浏览器劫持、会话劫持、GetShell)—基于神器beEF
目录 1 案例简介 1.1 案例目的 1.2 案例环境 2 案例一:浏览器劫持 2.1 概述 2.2 案例步骤 3 案例二:会话劫持 3.1 概述 3.2 案例步骤 4 案例三:GetShell 4. ...
- Web安全 XSS漏洞的利用(Beef工具)(点击链接就被黑的技术.)
XSS漏洞的 概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的 ...
- 【XSS漏洞07】基于神器beEF的XSS漏洞利用实验(浏览器劫持、会话劫持、GetShell)
目录 1 实验简介 1.1 实验目的 1.2 实验环境 2 实验一:浏览器劫持 2.1 概述 2.2 实验步骤 3 实验二:会话劫持 3.1 概述 3.2 实验步骤 4 实验三:GetShell 4. ...
- 常见的自动化运维工具介绍及特点、安装ansible
常见的自动化运维工具介绍及特点.安装ansible 一.什么是自动化运维? 简单来说,自动化运维就是将日常重复性工作按照事先设定好的规则,在一定时间范围内自动化运行,而不需要人为参与. 将周期性.重复 ...
- 素材管理神器 Eagle 下载安装使用教程
素材管理神器 Eagle 下载安装使用教程 Eagle 可以轻松收集及整理设计项目的"案例.灵感.截图.图片.视频.音频.情绪板"等各种素材,激发更多创意灵感,让工作变得更有效率! ...
- jieba库 python2.7 安装_Python中文分词工具大合集:安装、使用和测试
这篇文章事实上整合了前面两篇文章的相关介绍,同时添加一些其他的Python中文分词相关资源,甚至非Python的中文分词工具,仅供参考. 首先介绍之前测试过的8款中文分词工具,这几款工具可以直接在AI ...
- 有哪些命令行工具堪称神器?
过去几年,在 GitHub 上见到过不少优质的项目,其中不乏特别实用,能大幅提升生产力的命令行工具. 今天在这里就简单整理下,跟大家分享几个比较实用的命令行工具吧. mas 一个 Mac 应用商店命令 ...
- VB讲课笔记01:VB6.0安装与启动
VB讲课笔记01:VB6.0安装与启动 一.安装VB6.0 VB6.0安装在Windows7.8.10上必须设置安装程序的兼容性. 1.设置安装程序的兼容性
- 免装版_一款好用的便签工具 桌面便签免安装版
点击上方蓝字关注我们 如您喜欢我们的公众号,不妨推荐给身边的朋友 资源介绍: 资源来源于网络,工作中我们很多时候都要建立便签/备忘录来梳理我们的工作,今天小编给大家安利一款好用的便签工具 - 桌面便签 ...
最新文章
- SDWebImage开源库阅读分析(全)
- 微课竞赛系统的设计与实现所需工作条件_工作室文化建设展示(3)
- SpringBoot拦截器与过滤器
- mysql扩展使用_mysql的扩展应用
- PlantUML in a nutshell(官方文档)
- c++矩阵运算库Eigen简介
- Java7和8在虚拟机上的差异:Perm Generation vs. Metaspace
- 基本DNS服务器的配置
- 【Mysql】存储emoji表情报错(Incorrect string value: ‘\xF0\x9F\x98\x82\xF0\x9F...‘)的解决方案
- Rocket-chip-Cache
- ELK-部署Logstash
- 洛谷 P3390 【模板】矩阵快速幂
- Lenovo k860i 移植Android 4.4 cm11进度记录【下篇--实时更新中】
- 3_22_doublewei1
- 数据分析-常用的数据分析框架-06
- PhpOffice——PHPWord导入导出水印模板替换
- 联想笔记本老是出现仅计算机,联想电脑开机只显示节能模式怎么办
- QT5.12+opencv4.0.1 Cielab空间 像素颜色信息
- Anaconda的下载和安装(保姆级别教程)
- 快速了解自动化测试工具Parasoft vs Fortify功能对比