BeEF 内网钓鱼获取主机信息

BeEF是目前欧美最流行的web框架攻击平台，它的全称是 the Browser exploitation framework project.最近两年国外各种黑客的会议都有它的介绍，很多pentester对这个工具都有很高的赞美。通过XSS这个简单的漏洞，BeEF可以通过一段编制好的javascript控制目标主机的浏览器，通过浏览器拿到各种信息并且扫描内网信息，同时能够配合metasploit进一步渗透。

1.首先打开Kali安装BeEF。已安装的进行更新

BeEF 内网钓鱼获取主机信息 黑帽艺术 第1张

2.启动BeEF 使用命令 cd /usr/share 进入Beef当前目录 ls查看所有应用

BeEF 内网钓鱼获取主机信息 黑帽艺术 第2张

3.引用beef-xss这个模块  使用命令 cd beef-xss 切换到这个目录 使用命令./beef

开启这个应用

BeEF 内网钓鱼获取主机信息 黑帽艺术 第3张

4.此时可以看到 beef给了两个URL 我们这时候使用 UI URL 在浏览器上输入进入这个Beef后台

BeEF 内网钓鱼获取主机信息 黑帽艺术 第4张

5.Beef 后台用户名密码 均为 beef 然后我们登录进去

BeEF 内网钓鱼获取主机信息 黑帽艺术 第5张

6.这个时候我们已经准备完毕  接下来就需要构造链接让被攻击者点击进来

http://10.96.15.25:3000/demos/butcher/index.html 可以把链接嵌入到网页里

各种方式 使用户点击

BeEF 内网钓鱼获取主机信息 黑帽艺术 第6张

7.点击进来是这个画面 然后转到我们的Kali下 就可以看到受害者信息

BeEF 内网钓鱼获取主机信息 黑帽艺术 第7张

8.这时候就已经完成了一次内网钓鱼获取主机信息