、网络安全领域优质创作者

Beefxss一、首次使用二、修改账号密码三、自带练习页面四、简单使用五、工具界面介绍六、功能演示1、网页重定向2、社工弹窗3、功能颜色标识七、工具原理Beef-XSS是一款功能强大的

「XSS漏洞利用工具」kali自带基于Ruby语言开发。

一、首次使用

在kali中搜索

提示如果弹出的Web界面提示链接失败可以关掉终端命令行重新打开一次beef

换成kali虚拟机的IP也可以在物理机上访问Web界面http://127.0.0.1:3000/ui/panel

二、修改账号密码

/usr/share/beef-xss/config.yaml

查看这是Beff-xx的「配置文件」用来保存版本、密码等配置信息。

修改密码可以直接修改文件中passwd这个字段重启beef-xx服务后生效。

1、编辑配置文件修改passwd字段

/usr/share/beef-xss/config.yaml

2、重启beef-xss服务

http://127.0.0.1:3000/demos/basic.htmlhttp://127.0.0.1:3000/demos/butcher/index.html

四、简单使用

Beef-xss的打开界面中给我们提供了一个范例我们在目标网页「提交」这行JS代码就可以使用工具了。

我们拿第一个练习页面来举例提交代码

srchttp://192.168.31.101:3000/hook.js/script。

把练习页面关掉这个IP就会从在线浏览器中消失进入「离线浏览器」。

这就意味着提交了XSS的网页只有打开时才可以被利用关掉就不可利用。

五、工具界面介绍

Browsers在线浏览器工具定时发送链接请求链接成功就会显示在这里。

Offline

Browsers离线浏览器Getting

Started入门指南官方的一些文档Logs日志记录工具做过哪些操作Zombies僵尸记录可以利用的目标站点Current

Browser上线的浏览器只有在目标在线的时候才会显示出来。

Details细节展示目标的IP、版本等信息Logs日志记录目标浏览器做过哪些操作Commands指令工具的核心不同的指令对应不同的操作

Module

栏提供了很多功能这里拿两个常用的功能给大家演示一下功能应该如何使用。

http://127.0.0.1:3000/demos/basic.html

1、网页重定向

Theft右侧链接的IP改成部署Beef-xss的主机IP点击Execute。

目标“登录”后登录信息就会提交到工具中点击对应的记录就坑查看提交的信息。

Dialog

「绿色」可以运行且用户不会感觉出异常「橙色」可以运行但用户可能感到异常弹窗等「灰色」未验证不确定是否可以使用「红色」不可用

七、工具原理

我们提交payload的时候其实就是把这个「Hook脚本」挂到了网页上。

挂上去以后beef-XSS就可以通过「Hook脚本」和网页进行交互。

我们提交的payload实际上就是在页面插入了一行js代码代码的内容是一个链接指向了beef-XSS的hook.js文件

这个是工具内置的脚本代码等我们熟悉了以后也可以自己写一个这样的脚本代码。