XSS之Beef简单使用
💡
原文中文,约2500字,阅读约需6分钟。
📝
内容提要
BeEF(浏览器利用框架)是一款开源工具,专注于浏览器渗透测试。它通过劫持用户浏览器实现远程控制和信息窃取,工作流程包括植入恶意脚本、双向通信和模块化攻击。用户可通过Web界面发送指令执行多种攻击。安装可通过Docker或Kali进行,需注意安全设置和兼容性。
🎯
关键要点
- BeEF(浏览器利用框架)是一款开源工具,专注于浏览器渗透测试。
- 通过劫持用户浏览器实现远程控制、信息窃取和内网渗透。
- 工作流程包括植入恶意脚本、双向通信和模块化攻击。
- 用户可通过Web界面发送指令执行多种攻击。
- 安装可通过Docker或Kali进行,需注意安全设置和兼容性。
- Hook.js脚本植入存在XSS漏洞的网页,受害者访问后自动加载。
- 被控浏览器每秒轮询BeEF服务器,检查待执行指令。
- 控制端通过Web界面发送指令,如窃取Cookie、键盘记录等。
- BeEF系统架构包括前端Web管理界面、后端Ruby服务和数据库。
- Ubuntu和Kali的安装步骤相似,需配置代理以适应内网环境。
- 模块颜色指示功能状态,绿色模块安全,橙色模块高风险,灰色模块需手动验证,红色模块不可用。
- 实际渗透中需结合目标环境灵活选择模块颜色策略。
- BeEF的玩法包括获取Cookie、创建对话框、重定向浏览器等。
- 渗透测试需遵循法律法规,作者不对使用信息导致的后果负责。
➡️
