【web渗透】XSS 利用工具Kali Linux BEEF

最新推荐文章于 2024-12-18 10:40:16 发布
转载 最新推荐文章于 2024-12-18 10:40:16 发布 · 3.6k 阅读 · 9
文章标签:

#xxs #beef #攻击

博客介绍了BEEF进行XSS攻击的大概思路,先启动beef xss,用awvs扫描目标端找XSS注入点,注入beef的hook.js,等待用户触发。之后可在beef平台观察浏览器上线情况、查看cookie信息并控制浏览器,拿到cookie还能用程序模拟登陆系统。

BEEF进行xss攻击大概思路

  1. 接启动beef xss
  2. awvs 扫描目标端,找到xxs注入点。
  3. 注入beef 的hook.js.
  4. 等待用户触发注入的js
  5. 去beef平台观察浏览器上线请看,还能查看一些cookie信息,对浏览器进行控制。
    如果拿到cookie就很危险了,我这里可以用程序模拟登陆,Http头信息携带拿到的cookie,进可以进入系统了。

下面给出一个转载的操作截图

在这里插入图片描述
直接启动beef xss
在这里插入图片描述
账号和密码都是beef
在这里插入图片描述
xxs注入这段代码
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
再看下xss平台发现了目标的信息(只有脚本被执行触发,才有信息)
在这里插入图片描述

漏洞扫描(kali beef-xss、DNSlog、CSRF、SSRF)
m0_61506558的博客
08-04 2013
并且其中的内容会被服务器端执行,插入的代码可能导致任意文件读取、系统命令执行、内网端口 探测、攻击内网网站等危害。,'.yourid.ceye.io/jinyiuxin'))),1,0) 黑体处拼接SQL语句。gopher协议:是一种信息查找系统,只支持文本,不支持图像,已被HTTP替代。第三方网站利用攻击网站生效的cookie,直接对服务器接口发起请求。抓取正常通信请求的数据包,再请求一次。.........
渗透测试工具:跨站脚本漏洞检测---Xsser
gao646467783的博客
01-27 4321
文章目录简介:用法:(一)、Options:(二)、特别的用法:(三)、选择目标:(四)、 现测HTTP/HTTPS的连接类型:(五)、 配置请求:(六)、 系统验校器:(七)、 选择攻击向量(s):(八)、选择Bypasser(s):(九)、 特殊的技巧:(十)、 Select Final injection(s):(十一)、 Special Final injection(s):(十二)、 混杂模式:(十三)、 Reporting:(十四)、Miscellaneous: 简介: 跨站脚本者是一个自动框架
Beef-xss安装及使用
qq_40624810的博客
12-10 8301
一、背景 BeEF是The Browser Exploitation Framework的缩写。它是一种专注于Web浏览器的渗透测试工具。 随着对包括移动客户端在内的客户网络攻击的担忧日益增加,BeEF允许专业渗透测试人员使用客户端攻击媒介来评估目标环境的实际安全状况。与其他安全框架不同,BeEF超越了强化的网络边界和客户端系统,并在一个开放的环境中检查可利用性:Web浏览器。BeEF将挂钩一个或多个Web浏览器,并将它们用作启动定向命令模块以及从浏览器上下文中对系统进一步攻击的滩头阵地。 BeEF
简单模拟XSS攻击.zip
07-05
前端提供一个简单的用户注册表单页面,后端使用node.js搭建,并运用express搭建简单的web应用,通过body-parser解析用户post上来的信息,模拟简单的xss攻击
Kali下安装与使用BeEF:反射型与存储型XSS攻击、Cookie会话劫持、键盘监听及浏览器操控技巧
xt350488的博客
07-27 1340
更常见的称呼是BeEF(The Browser Exploitation Framework),是一个开源的浏览器漏洞利用框架。它由Michał Zalewski于2006年创建,旨在帮助渗透测试人员评估Web浏览器的安全性,发现并利用其中的漏洞。
精选资源
Web渗透测试:使用Kali Linux (Joseph Muniz Aamir Lakhani).pdf
09-07
此外,《Web渗透测试:使用Kali Linux》一书还涵盖了身份认证攻击Web攻击以及中间件攻击的多种技巧和工具。这些攻击手段包括但不限于点击劫持、跨站脚本攻击XSS)、SQL注入以及拒绝服务攻击(DoS)。作者提供了...
xss利用kali神器beef
热门推荐
jiangliuzheng的专栏
07-14 3万+
1、beef基本配置 BeEFKali下默认安装,直接找到对应图标启动即可,但是默认设置未同Metasploit关联,无法使用msf模块,因此需要作如下配置连接msf 1、修改config.yaml 编辑 /usr/share/beef-xss/config.yaml metasploit: enable: false改为true 编辑 /usr/
Kali安装beef-xss
qq_58000413的博客
08-10 2642
不更新可能会出现下面的情况:metasploit-framework : 依赖: ruby (< 1:2.8) 但是 1:3.0+1kali1 正要被安装。#把192.168.199.129替换成本机IP。
Kali beef-xss实现Xss详细教程。
sunwanfulove的博客
09-28 4032
Kali beef-xss实现Xss详细教程。
kali安装beef-xss(笔者的踩坑之旅)
m0_52403371的博客
04-03 4006
kali安装beef-xss(笔者的踩坑之旅)
beef获取目标主机用户名和密码.docx
03-29
运用beef获取目标主机用户名和密码 利用beef获得目标主机shell beef是一个用于合法研究和测试目的的专业浏览器漏洞利用框架
kali xss漏洞扫描工具使用教程
weixin_49071539的博客
11-19 3251
xss漏洞扫描教程 git clone https://github.com/hahwul/XSpear.git cd XSpear/ ls gem sudo gem install XSpear-1.4.1.gem (往后版本可能会更新,根据文件夹里的版本进行下载) XSpear -u “http://test.php.vulnweb.com/listproducts.php?cat=123” -v 1 注:https://bit.ly/35NOnDS 这是一个极易受攻击的安卓实验室!!! ...
网络安全:Kali Linux 进行SQL注入与XSS漏洞利用
cronaldo91的博客
03-27 2623
(3) 查看Kali Linux (2022.4)系统IP地址。(2)查看Kali Linux (2022.4)系统版本。(5)Kali主机 ping Windows主机。(14)Windows主机弹出登录界面。(7)获取当前数据库指定的表的字段名。(4)Windows 查看IP地址。(6)获取当前数据库中所有表的名称。(8)获取指定库指定表指定字段的值。(1) LAMP(LNMP)平台。执行 (选择Execute)(15)beef获取账号及密码。(5)启动beef-xss。(9)beef获取目标主机。
使用Beef劫持客户端浏览器并进一步使用Beef+msf拿客户端shell
MickeyMouse1928的博客
04-08 2万+
利用Beef劫持客户端浏览器   环境: 1.Kali(使用beef生成恶意代码,IP:192.168.114.140) 2.一台web服务器(留言板存在XSS跨站脚本漏洞,IP:192.168.114.204) 3. 客户端(用于访问web服务器,IP:192.168.114.130) 步骤: 1. Kali使用beef生成恶意代码 2. 将恶意代码写入192.168.114.2
XSS漏洞-06】XSS漏洞利用案例(浏览器劫持、会话劫持、GetShell)—基于神器beEF
m0_64378913的博客
06-02 5068
(1)了解beEF工具的使用; (2)加深理解XSS漏洞的利用和危害; (3)掌握浏览器劫持的攻击方法; (4)掌握会话劫持的攻击方法; (5)掌握通过XSS漏洞GetShell的方法。
XSS漏洞】通过XSS实现网页挂马
Monsterlz123的博客
06-07 9126
XSS漏洞】通过XSS实现网页挂马 Hello,各位小伙伴们大家好~ 端午假期第一天,大家玩嗨了嘛? 小编是玩嗨了,毕竟已经拖更五天了… 好啦,直接进入正题吧,前面也写了两期XSS相关的内容,今天就来点高大上的(并不是!),我们来通过XSS实现网页挂马吧~ 一、准备工作 实验拓扑: 实验分为两部分: 1、通过Kali linux利用MS14_064漏洞,制作一个木马服务器。存在该漏洞的...
【2024版】最新推荐好用的XSS漏洞扫描利用工具_xss扫描工具
最新发布
hackeroink的博客
12-18 1593
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
xss跨站攻击详讲 | 如何利用xss拿下一个站?
向阳-Y.的博客
11-13 1万+
1.初识xxs跨站漏洞: xss能干什么? 利用xss获取对方后台地址、cookie信息,得到cookie和后台地址后,能通过相关工具(比如postman)进行后台登录: 其他补充: cookie :一般用于小中型网站,一般存储在自己电脑上,存活时间较长 session:采用会话模式,一般用于大型网站,一存储在服务器上,存活时间较短 2.xss的类型 2.1反射型 当在网页插入下列xss代码后,会立即回馈到屏幕,但这条xss代码并不会一直存储到该网站上 <script>alert(1)&
Kali Linux-网络安全之-XSS 跨站脚本攻击原理及 DVWA 靶机的搭建
Button12138的博客
12-09 1886
我们输入的信息被存放在name。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值