目录

1、攻击手段

2、常见用途

2、参数说明

2.1 演示页面

2.2 Details

2.3 Logs

2.4  commands

总结:

1、攻击手段

  • 利用网站 xss 漏洞实现攻击
  • 诱使客户端访问含有 hook 的伪造站点
  • 结合中间人攻击注入 hook 脚本

2、常见用途

  • 键盘记录器
  • 网络扫描
  • 浏览器信息收集·绑定 shell
  • 与 metasploit 集成

2、参数说明

2.1 演示页面

http ://< P _ BeEF _ Server >:3000/demos/ basic . html

 

1、在kali 启动beef -xss

 

2、连接肉鸡,example字段

刷新beef 会发现出现靶机IP的信息(标红的是一些关键信息)

 

3、获取目标的cookie

4、链接跳转 Redirect Browser

 5、输入框事件记录

6、获取当前用户键盘值

 7、利用之前发现的漏洞

里面的功能很强大,可以当枪使用,后续漏洞复现的时候也会用到。

2.2 Details

浏览器、插件版本信息;操作系统信息。

2.3 Logs

浏览器动作:焦点变化、鼠标点击、信息输入

2.4  commands

  • 绿色模块:表示模块适合目标浏览器,并且执行结果被客户端不可见
  • 红色模块:表示模块不适用于当前用户,有些红色模块也可正常执行
  • 橙色模块:模块可用,但结果对用户可见( CAM 弹窗申请权限等)
  • 灰色模块:模块未在目标浏览器上测试过

总结:

beef是一个XSS平台,有非常多的功能
Exploit 模块用的最多,但初学者用Browser就足够了

Beef-XSS平台基本使用 https://www.bilibili.com/video/av92711691/

beef利用xss漏洞实现攻击相关推荐

  1. XSS漏洞自动化攻击工具XSSer

    XSS漏洞自动化攻击工具XSSer XSS是Web应用常见的漏洞.利用该漏洞,安全人员在网站注入恶意脚本,控制用户浏览器,并发起其他渗透操作.XSSer是Kali Linux提供的一款自动化XSS攻击 ...

  2. 【网络安全】如何使用ppmap检测和利用XSS漏洞

    关于ppmap ppmap是一款基于Go开发的漏洞扫描器/漏洞利用工具,该工具能够通过在全局上下文中检查特定变量来扫描.检测和利用XSS漏洞.该工具目前只能利用已知Gadget(可能支持部分自定义开发 ...

  3. 怎样利用XSS漏洞在其它网站注入链接?

    怎样利用XSS漏洞在其它网站注入链接? 什么是XSS攻击 怎样利用XSS漏洞在别人网站注入链接 XSS攻击注入的链接有效果吗? 对搜索结果的潜在影响有多大? 作弊和黑帽SEO 黑帽SEO是相对于白帽而 ...

  4. python dos攻击_利用SMB漏洞DoS攻击任何Windows系统

    原标题:利用SMB漏洞DoS攻击任何Windows系统 近日微软报出SMB V1存在漏洞,安全研究员并将此漏洞称作 " SMBLoris ",解释其能够发动拒绝服务(Dos)攻击, ...

  5. html %3c 不给转义,八个无法利用XSS漏洞的场景

    ☝☝ 相信有很多的小盆友们曾经发现过一些疑似存在XSS漏洞的站点,但又无法完全证明这个漏洞是可以被利用的.此时的你可能处于怀疑状态,也有可能你已经验证到一半了,严重怀疑其有精神病(XSS漏洞)的情况. ...

  6. Metasploit(一) 利用 MS17-010 漏洞进行攻击

    借助 metasploit 利用 MS17-010 漏洞进行攻击 Metasploit 简介 (简称:MSF) 经常被利用的端口 MS17-010利用流程 1. 存活判断 2. 端口扫描 3. 服务识 ...

  7. 利用XSS漏洞实现键盘记录器

    利用XSS漏洞实现键盘记录器 本实验以反射性的XSS漏洞为例 实验环境:dvwa靶机(ip:192.168.135.140) kali linux(ip:192.168.135.138) 1.首先开启 ...

  8. php %3c0x1a%3e是什么_利用ThinkPHP漏洞扫描攻击

    利用ThinkPHP漏洞扫描攻击 115.238.244.112   119.3.90.139    94.191.10.105 POST /index.php/?s=captcha HTTP/1.1 ...

  9. 利用xss漏洞结合xss平台实现社工钓鱼

    本文主要介绍如何结合 xss平台 利用xss漏洞 然后,伪造一个钓鱼登陆页,然后,实现钓鱼,获取 用户和密码,之后传到我们的公网服务器中 首先我们需要一个存在xss漏洞的网站,不管是反射或存储,只要它 ...

最新文章

  1. Go 语言编程 — 内存分配
  2. atlas mysql 读写分离_MySQL读写分离工具Atlas
  3. 修改Navicat数据库自动备份目录
  4. C# 与C++的数据转换
  5. 在虚拟机下安装Linux
  6. 日本的危机感:想战胜中美,要举全国之力培养AI人才
  7. 2020-2-6 蓝桥杯阶段模拟总结
  8. c语言编译器uwp版,哔哩哔哩UWP最新版下载 - 哔哩哔哩UWP版免费版(32位64位win10)安装下载v1.3.10.0 - QT软件园...
  9. 比较简单的win7升级win10的方法
  10. 孙过庭草书:《景福殿赋》(图像古昔,以当箴规),韵味十足!
  11. uniapp选择图片压缩并上传
  12. session的钝化和session的活化(序列化和反序列化)
  13. android studio代码格式化设置,Android studio kotlin代码格式化操作
  14. 生物识别设备有问题_有您数据的生物识别
  15. 原来Python自带了数据库,用起来真方便
  16. xhr请求status是failed的解决办法
  17. 吃:第二次去吃香草香草
  18. 微软开源人工智能工具和深度学习框架
  19. Git-Gitlab中如何删除项目
  20. ue5 lyra探索分析2 持续更新中

热门文章

  1. 源代码加密软件类型分析
  2. python获取指定IP国家代码信息
  3. Android x86 开机默认高分
  4. 微前端之实践环境变量设置、快照沙箱隔离、代理沙箱隔离、css 样式隔离、父子应用间通信和子应用间通信
  5. 微软流媒体服务器补丁,微软新补丁软件再出故障 这次与流媒体有关
  6. 微信小程序(微信应用号)开发ide安装解决方法
  7. 远程桌面无法复制粘贴解决办法
  8. vue中使用ECharts实现中国地图配置详解(配官方配置地址)
  9. 从零开始搭建uni-app框架的小程序开发环境
  10. 如何利用Matlab对Comtrade99格式的故障录波文件进行数据读取