BeEF是目前欧美最流行的web框架攻击平台,它的全称是 the Browser exploitation framework project.最近两年国外各种黑客的会议都有它的介绍,很多pentester对这个工具都有很高的赞美。通过XSS这个简单的漏洞,BeEF可以通过一段编制好的javascript控制目标主机的浏览器,通过浏览器拿到各种信息并且扫描内网信息,同时能够配合metasploit进一步渗透。
1.首先打开Kali安装BeEF。已安装的进行更新
2.启动BeEF 使用命令 cd /usr/share 进入Beef当前目录 ls查看所有应用
3.引用beef-xss这个模块使用命令 cd beef-xss 切换到这个目录使用命令./beef
开启这个应用
4.此时可以看到 beef给了两个URL 我们这时候使用 UI URL 在浏览器上输入进入这个Beef后台
5.Beef 后台用户名密码 均为 beef 然后我们登录进去
6.这个时候我们已经准备完毕 接下来就需要构造链接让被攻击者点击进来
http://10.96.15.25:3000/demos/butcher/index.html可以把链接嵌入到网页里
各种方式 使用户点击
7.点击进来是这个画面 然后转到我们的Kali下 就可以看到受害者信息
8.这时候就已经完成了一次内网钓鱼获取主机信息
领取专属 10元无门槛券
私享最新 技术干货