BeEF-XSS简介
BeEF-XSS是一款非常强大的web框架攻击平台,集成了许多payload,可以实现许多功能!
启动BeFF-XSS
BeEF-XSS管理登录页面
用户名默认为beef,密码在首次启动beef-xss时需要手动设置。(启动beef-xss会自动打开浏览器)
BeEF-XSS主页面介绍
Hocked Browers
- online browers 在线浏览器
- offline browers 离线浏览器
Detials
- 浏览器、插件版本信息,操作系统信息
Logs
- 浏览器动作:焦点变化,鼠标单击,信息输入
commands
- 绿色模块:表示模块适用当前用户,并且执行结果对用户不可见
- 红色模块:表示模块不适用当前用户,有些红色模块也可以执行
- 橙色模块:模块可用,但结果对用户可见
- 灰色模块:模块为在目标浏览器上测试过
实例演示
流程需求
- Kali虚拟机 192.168.3.12
- linux虚拟机 192.168.3.7
- windows 7 虚拟机 192.168.3.13
1.使用kali 打开linux虚拟机的网站(http://www.192.168.3.7/dvwa),登录成功后,把"DVWA security"等级改成"low",然后打开"XSS stored",把我们的脚本代码存储起来。这样就形成了一个存储型XSS,当受害者(windows 7)浏览该页面时,就被劫持了。
2.使用 windows 7 访问目标网站(将DVWA等级改成"low")。这样在不知不觉中被劫持了。
3.在Kali打开beef管理页面(http://127.0.0.1:3000/ui/panel),就可以看到目标系统的基本信息。
4.打开"current Browsers" 下的"commands",就可以运行模块对目标系统进行入侵。
5.例子:选择"Brower"下面的"Hooked Domain"的create Alert Dialog(弹窗 ),点击右下角的"execute"运行。
6.这样我们就能在windows 7上看到弹窗了。
到此就完成了BeEF-XSS的介绍,如果想了解更多的Kali工具,请关注我!