BeEF( The Browser Exploitation Framework) 是由Wade Alcorn 在2006年开始创建的,至今还在维护。是由ruby语言开发的专门针对浏览器攻击的框架。这个框架也属于cs的结构
实验环境:
- PHPstudy
- 火狐浏览器、IE
- DVWA靶场
- kali
安装:
新版kali里面没有需要安装,命令如下:
apt-get install beef-xss
使用:
安装完之后输入beef-xss打开即可,中途会提示输入密码,别忘了设置
然后就会跳转到浏览器的登录页面,默认用户beef,密码是你设置的
然后回来把注入标签复制一下拿到有漏洞的网站上
我这里用的DVWA低级别,存储性注入,打开F12把留言框中的限制改成500,注入标签中的IP改为kali的IP,此时要保证两台机子能ping通,然后点Sign Guestbook执行
回到kali,出现了被攻击的机子,这时你就可以用Commands模块的功能为所欲为了。
比如这个可以查看对方摄像头,绿色的代表能用,黄色代表需要交互会出现弹窗,红色是不能用
