#导入MD文档图片#学习Beef之XSS恶搞

#导入MD文档图片#学习Beef之XSS恶搞

Beef-XSS

--韩子墨

BeEF，全称The Browser Exploitation Framework，是一款针对浏览器的渗透测试工具。

本次实验KALI IP地址：172.16.1.4

韩同事机器 IP为：172.16.1.6

由于本人用的是kali早期版本，默认自带beef，就不在此演示安装过程了

/etc/beef-xss/config.yaml   #此为beef的配置文件

如果是第一次接触这款工具的小伙伴可能不知道beef的账号密码，他在配置文件的这里，不喜欢默认密码的小伙伴可以进行修改。（修改完记得重启服务~）

#systemctl restart beef-xss.service

修改完成密码并且重启服务后，启动beef，可以看到回显，这个工具运行在3000端口

运行完成后，他会弹出一个页面，是用来进行beef的登录认证的，用户名和密码也就是我们刚才在配置文件中修改的用户名和密码

登录成功后，我们发现页面好像也没啥好看的

唯一值得注意的是log页面（手残档输错密码都给我记录了，还得是你）

回到启动命令这块，翻译完后发现，这个工具是利用本地的hook.js这个脚本来进行反弹

连钓鱼网址都给我想好了，得用这个套路一下同事，我们把脚本放到新建的baidu.com页面，等同事一打开网页则立即执行。

#需要注意的是kali需要开启apache2服务，来提供网站服务。

启动命令：systemctl start apache2

启动网站后编辑/var/src="开头的文件夹多出了隔壁韩同事机器的IP地址

（隔壁韩同事的机器已经被拿下）

我们这边弹个窗吓唬一下同事

同事视角:

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。