利用Beef劫持客户端浏览器
环境:
1.Kali(使用beef生成恶意代码,IP:192.168.114.140)
2.一台web服务器(留言板存在XSS跨站脚本漏洞,IP:192.168.114.204)
3. 客户端(用于访问web服务器,IP:192.168.114.130)
步骤:
1. Kali使用beef生成恶意代码
2. 将恶意代码写入192.168.114.204网站留言板
3. 只要客户端访问这个服务器的留言板,客户端浏览器就会被劫持
目的:
控制目标主机的浏览器,通过目标主机浏览器获得该主机的详细信息,并进一步扫描内网,配合metasploit进行内网渗透
以下为具体操作:
一、搭建服务器
首先我在window server 2003上搭建IIS服务器,在站长之家找了一个存在XSS漏洞的留言板源码(我心依然留言板),发布到IIS服务器上。
用WVS扫了一下,确实存在XSS漏洞:
二、Kali中Beef的安装和使用:

本文详述了如何利用Beef劫持客户端浏览器,并结合Metasploit(msf)在XP+IE6环境下获取shell。通过在存在XSS漏洞的留言板挂马,引导目标访问,实现浏览器控制。接着,利用msf的ms10_002漏洞,尝试获取客户端系统的shell。同时,文章还提到了漏洞发布网站和外网应用Beef的思路。
最低0.47元/天 解锁文章
1万+

被折叠的 条评论
为什么被折叠?



