kali工具之Beef
简介
Browser Exploitation Framework(BeEF) BeEF是日前最强大的浏览器开源渗透测试框架,通过X55漏洞配合JS脚本和 Metasploit进行渗透; BeEF是基于Ruby语言编写的,并且支持图形化界面,操作简单
主要功能
信息收集:
1.网络发现
2.主机信息
3.Cookie获取
4.会话劫持
5.键盘记录
6.插件信息
持久化控制:
1.确认弹框
2.小窗口
3.中间人
社会工程:
1.点击劫持
2.弹窗告警
3.虚假页面
4.钓鱼页面
渗透攻击:
1.内网渗透
2.Metasploit
3.CSRF攻击
4.DDOS攻击
我这里用kali 启动Apache:service apache2 start
然后安装Beef工具
我用脚本安装
命令:
apt-get update
apt-get install beef-xss
apt-get install beef-xss
beef-xss
启动之后
Hook:
会弹出来beef的登录窗口
这边我们在看一下beef绑定的3000端口
发现绑定3000端口的IP是0.0.0.0
发现是0.0.0.0 监听3000端口
那么远程也是可以访问的
查看账号密码(也可进行更改)
找到配置文件(kali默认在/etc/beef-xss/config.yaml中);
BeEF-XSS主页面介绍
启动BeFF-XSS并登陆进去
方式一:在命令行中打beef-xss
方式二:
3启动后的界面
Hocked Browers:
online browers 在线浏览器 offline browers 离线浏览器
Detials:浏览器、插件版本信息,操作系统信息
Logs:浏览器动作:焦点变化,鼠标单击,信息输入
*commands:
绿色模块:表示模块适用当前用户,并且执行结果对用户不可见 红色模块:表示模块不适用当前用户,有些红色模块也可以执行 橙色模块:模块可用,但结果对用户可见 灰色模块:模块为在目标浏览器上测试过
payload
这里需要把图中红框中的payload复制粘贴到你的目标xss的位置,然后将其中的改成你这台kali的IP地址,最终payload为:
使用方法
这里我们使用DVWA做实验:
这时候再回到BeEF中查看,会发现online browers中多了点东西
打开"current Browsers" 下的"commands",就可以运行模块对目标系统进行入侵。
例子:选择"Brower"下面的"Hooked Domain"的create Alert Dialog(弹窗 ),点击右下角的"execute"运行
这样我们就能在DVWA上看到弹窗了。
也可以执行其他操作
kali工具之Beef相关推荐
- 渗透测试 ( 2 ) --- 渗透测试系统、靶机、GoogleHacking、kali工具
操作系统:https://zhuanlan.zhihu.com/p/162865015 1.基于 Windows.Linux.Android 的渗透测试系统 1.1 基于 Linux 的系统 Kali ...
- kali linux 支持什么编程语言_渗透过程中可能要用到的Kali工具小总结
渗透过程中可能要用到的Kali工具小总结 写在最前面 最近在搞渗透的时候,发现过程中有一些kali工具还是很适合使用的 所以写一个渗透过程中可能用到的kali渗透工具的小小总结 写的不对 多多包涵 各 ...
- Kali Linux 网络扫描秘籍 第八章 自动化 Kali 工具
第八章 自动化 Kali 工具 作者:Justin Hutchens 译者:飞龙 协议:CC BY-NC-SA 4.0 Kali Linux 渗透测试平台提供了大量高效的工具,来完成企业渗透测试中所需 ...
- Docker容器commit安装kali工具集
1.kali安装metasploit等工具 # apt-get install metasploit-framework openssh-server openssh-client postgresq ...
- kali: kali工具-Ettercap
kali工具-Ettercap ettercap工具: 用来进行arp欺骗,可以进行ARP poisoning(arp投毒),除此之外还可以其他功能: ettercap工具的arp投毒可以截取web服 ...
- ubuntu安装kali linux工具,Ubuntu安装Kali工具集:Katoolin
在真实渗透环境下往往需要一个稳定.安全.可随时操作的环境,家中的电脑不能一直开着,而且还有解决公网IP的问题,这时候我们往往需要一台vps,但是市面上的vps往往并不支持安装kali系统,只有某些较贵 ...
- Kali工具库之Nikto
工具简介 Nikto是一个开源的WEB扫描评估软件,可以对Web服务器进行多项安全测试,能在230多种服务器上扫描出 2600多种有潜在危险的文件.CGI及其他问题.Nikto可以扫描指定主机的WEB ...
- 全网最全的Kali工具大全
本文将kali中常用的工具进行了汇总.对每个工具的具体用途做了大概的描述.希望通过本文,能对初学kali的小伙伴有所帮助.当然里面部分工具可能随着系统版本的提高而移除,但我们仍可安装.总结不全之处还望 ...
- kali工具中文手册_Kali Linux 2019.4发布了!解决Kali Linux 2019.4中文乱码问题
2019年11月26日,kali Linux官网发布了Kali Linux 2019.4发行版,此版本做了很大的改动,界面焕然一新. 2019.4涉及到的一些新更新内容包括: 新的默认桌面环境Xfce ...
- kali工具熟悉——情报分析
情报分析 涉及到的工具有maltego.spiderfoot.spiderfoot-cli.theharvester. 从一些地方收集有用的信息,比如网站的一些信息. 情报收集作用 这里的信息收集是网 ...
最新文章
- 台式您想使用系统还原计算机吗,联想台式机一键恢复,小编教你怎么使用联想电脑一键恢复...
- 如何使用jQuery获取焦点元素?
- DL之ShuffleNet:ShuffleNet算法的简介(论文介绍)、架构详解、案例应用等配图集合之详细攻略
- fsb,fev文件格式转换,提取与打包
- linux apache 2.2下载,Linux下的Apache 2.2.* SSL证书安装
- kafka解决了什么问题?
- 每天一道LeetCode-----判断两个二叉树是否相同
- python 实数如何取整_从面试官角度提问:15道硬核Python面试题,论面霸是如何炼成的...
- 信息学奥赛一本通(1176:谁考了第k名)——qsort 函数
- 万能转换器boost::lexical_cast
- 小程序 报request:fail invalid url 不校验合法域名已勾选
- linux dma大块内存,宋宝华:Linux内核的连续内存分配器(CMA)——避免预留大块内存...
- TI DSP 5502定时器使用
- 电机分类-电机在高空作业平台中的应用
- java修饰词严格程度_Java修饰词的总结
- C语言的结构体前置声明,?C语言的不完整类型和前置声明
- windows.edb文件
- DynamicViT
- 免费网站seo诊断:从哪些维度进行诊断呢?
- 使用Unity开发RPG游戏完整指南
热门文章
- Kafka提交offset机制
- 华夏出入口车牌识别摄像机
- springboot整合thumbnailator实现图片处理
- 下拉列表—DropDownMenu的使用解析
- 软件测试周刊(第50期):归结起来,焦虑的原因就两条:想同时做很多事情,又想立即看到效果。
- 命名空间“Microsoft”中不存在类型或命名空间名“AspNet”(是否缺少程序集引用?)
- python中科院_中科院闹乌龙,Python“换皮”成木兰
- 网络词汇泛滥:神马都是浮云?
- SIGBUS:BUS_ADRERR for stack access violation in memcpy
- CSS动态绑定背景图片