BeEF-XSS简介

BeEF-XSS是一款非常强大的web框架攻击平台，集成了许多payload，可以实现许多功能！

启动BeFF-XSS

关于kali没有安装beef可以参考下图：

 

BeEF-XSS管理登录页面

用户名默认为beef，密码在首次启动beef-xss时需要手动设置。（启动beef-xss会自动打开浏览器）

BeEF-XSS主页面介绍

Hocked Browers

• online browers 在线浏览器
• offline browers  离线浏览器

Detials

• 浏览器、插件版本信息，操作系统信息

Logs

• 浏览器动作：焦点变化，鼠标单击，信息输入

commands

• 绿色模块：表示模块适用当前用户，并且执行结果对用户不可见
• 红色模块：表示模块不适用当前用户，有些红色模块也可以执行
• 橙色模块：模块可用，但结果对用户可见
• 灰色模块：模块为在目标浏览器上测试过

实例演示

流程需求

• Kali虚拟机               192.168.3.12
• linux虚拟机             192.168.3.7
• windows 7 虚拟机  192.168.3.13

1.使用kali 打开linux虚拟机的网站(http://www.192.168.3.7/dvwa),登录成功后，把"DVWA security"等级改成"low",然后打开"XSS stored",把我们的脚本代码存储起来。这样就形成了一个存储型XSS，当受害者(windows 7)浏览该页面时，就被劫持了。

关于没有DVWA请参考文章DVWA 简介及安装

2.使用 windows 7 访问目标网站(将DVWA等级改成"low")。这样在不知不觉中被劫持了。

3.在Kali打开beef管理页面(http://127.0.0.1:3000/ui/panel),就可以看到目标系统的基本信息。

4.打开"current Browsers" 下的"commands",就可以运行模块对目标系统进行入侵。

5.例子：选择"Brower"下面的"Hooked Domain"的create Alert Dialog（弹窗 ），点击右下角的"execute"运行。

6.这样我们就能在windows 7上看到弹窗了。

到此就完成了BeEF-XSS的介绍，如果想了解更多的Kali工具，请关注星落！

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。本文链接：https://blog.csdn.net/smli_ng/article/details/106067842