Kali [BeEF-XSS]XSS利用工具
BeEF-XSS的使用
BEEF (The Browser Exploitation Framework):一款浏览器攻击框架,用Ruby语言开发的,Kali中默认安装的一个模块,用于实现对XSS漏洞的攻击和利用。
安装
linux安装
apt-get update
apt-get install beef-xss
启动Apache并打开beef
service apache2 start
beef-xss #打开
打开beef需要设置密码,默认密码和用户名都为beef
第二个框是示例payload
第二次打开,模拟非安装直接使用。
使用
浏览器访问http://127.0.0.1:3000/ui/panel 打开界面
输入设置好的密码和默认用户名登录。
上面的是在线机器
下面的是下线机器
工具实战
环境:
Kali(192.168.41.138)搭建Beef
宿主机Win7(192.168.41.129)搭建网站
Win10(192.168.41.1)模拟用户被攻击
实战:
我们在kali上访问win7搭建好的存在xss漏洞的网站,这里使用的是pikachu靶场,
在留言板内输入payload等待被害者上钩。
然后使用win10访问pikachu靶场
打开kali,观察beef,我们发现,被害主机上钩。
功能介绍
我们点击当前在线的主机,然后右边会有选择框,我们点击Current Browser,然后下面就有一些功能项:Details,Logs,Commands,Proxy、XssRays、Network、WebRTC
Details是浏览器信息详情
Logs能记录你在浏览器上的操作,点击,输入操作都能记录
Commands是你能对该浏览器进行哪些操作
我们点击Command,这里有一些我们可以使用的功能分类,一共有12个大的功能,括号里面的是每个功能分类里面的个数。
我们随便点开—个看看,发现有四种颜色的功能绿色的代表该功能有效,并且执行不会被用户所发现
橙色的代表该功能有效,但是执行会被用户所发现
白色的代表该功能不确定是否有效
红色的代表该功能无效
获取用户cookie
点击browser–>Hooked Domain -->Get Cookie 然后点击Execute
获取成功
网页重定向
我们点击Browser—>Hooked Domain —>Redirect Browser,然后点击右下角的Execute,然后用户的浏览器的该页面就会跳转到百度的页面了。
社工弹窗
我们点击Social Engiineering——>Pretty Theft,然后右上角选择弹窗的类型,右下角点击Execute
然后浏览器那边就会弹出框,如果你在框内输入了用户名和密码并点击log in。
beef这边就会记录。
相关文章:https://www.freebuf.com/sectool/178512.html
Kali [BeEF-XSS]XSS利用工具相关推荐
- 怎样利用超图客户端打点_渗透测试——XSS利用工具BeEF攻击演示
跨站脚本漏洞(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私.钓鱼欺骗.窃取密码.传播恶意代码等攻击.XSS攻击使用到的技术主要为HTML和Javasc ...
- xss漏洞利用方式总结
目录 搭建XSS平台 窃取cookie 抓取屏幕截图 重定向 植入广告 恶意链接 获取键盘记录 网页钓鱼 网页挂马 搭建XSS平台 首先,我们需要一个XSS平台,自己搭建一个还是使用在线的都可以,本人 ...
- XSSFORK:新一代XSS自动扫描测试工具(精)
什么是XSS漏洞呢 ? XSS(Cross-site scripting)译为跨站脚本攻击,在日常的web渗透测试当中,是最常见的攻击方法之一,并占有很高的地位.它是通过对网页注入可执行代码且成功地被 ...
- xss挖掘思路分享_视频分享:XSS的利用与挖掘
点击上方"公众号" 可以订阅哦! Hello,各位小伙伴大家好. 这里是一名白帽的成长史~ 公众号成立至今也一年了,在此感谢各位的支持~ 今天是第一次给大家视频分享,还请多多包涵~ ...
- XSS漏洞扫描工具:BruteXSS
下载Brute,一个xss漏洞扫描工具:https://codeload.github.com/shawarkhanethicalhacker/BruteXSS/legacy.zip/master 我 ...
- 7. Vulnerability exploitation tools (漏洞利用工具 11个)
Metasploit于2004年发布时,将风暴带入了安全世界.它是开发,测试和使用漏洞利用代码的高级开源平台. 可以将有效载荷,编码器,无操作生成器和漏洞利用的可扩展模型集成在一起,使得Metaspl ...
- ASP.net 资源请求漏洞利用工具PadBuster
ASP.net 资源请求漏洞利用工具PadBuster 在ASP.net 网站中,为了便于部署网站项目,开发者往往会将资源(图片.Javascript文件)嵌入到dll文件中.而网页中,会使用WebR ...
- WebDAV服务漏洞利用工具DAVTest
WebDAV服务漏洞利用工具DAVTest WebDAV是基于Web服务的扩展服务.它允许用户像操作本地文件一样,操作服务器上的文件.借助该功能,用户很方便的在网络上存储自己的文件.为了方便用户使用, ...
- php伪协议xss,XSS漏洞学习
XSS漏洞的原理 XSS漏洞是发生在目标网站中目标用户的浏览层面上,当用户浏览器渲染整个HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就会发生. XSS漏洞的危害 获取用户或者管理员的 ...
- 开源Webshell利用工具——Altman
开源Webshell利用工具--Altman keepwn @ 工具 2014-06-04 共 6114 人围观,发现 43 个不明物体收藏该文 Altman,the webshell tool,自己 ...
最新文章
- ruby 新建对象_Ruby面向对象编程的简介
- pop弹框 点击弹出外任意区域消失
- retinaface onnx
- C#编写最小化时隐藏为任务栏图标的Window appllication
- NS安装问题收集(3)
- careercup-链表 2.1
- Python Demo 03 星期输出
- java广度优先爬虫示例,【爬虫】广度优先遍历抓取数据概述
- ZZULIOJ 1075: 聚餐人数统计
- Android多媒体之视频播放器高级开发
- Redis之 介绍和安装
- 360路由器v2刷第三方固件_路由器不拆闪存,编程器刷机技巧,恢复出厂固件办法...
- 关于dell电脑没有声音
- matlab如何将二进制文件写入txt文档中
- IDEA快捷键大全(超详细!)
- 初探强化学习(7)基于模型的强化学习的应用综述
- UVA815 洪水! Flooded!
- win2003封闭端口_Win 2003下添加LPT端口有妙招
- 用python画漂亮的生日蛋糕_一步一步最简单的最漂亮的画蛋糕
- measure_solder_paster_dff.hdev测量BGA封装焊锡膏深度的 相关例程学习