应用普遍转移到B/S架构,浏览器成为统一客户端程序
通过注入JS脚本,利用浏览器攻击其他网站
ruby编写
攻击手段
利用网站XSS漏洞实现攻击
诱使客户端访问含有hook的伪造站点
结合中间人攻击注入hook脚本
常见用途
键盘记录器
网络扫描
浏览器信息收集
绑定shell
与metasploit集成
beef的使用
启动beef
在浏览器中输入上面的地址,进入beef登陆页面
这是beef的hook脚本地址
打开浏览器根据自己的ip输入上面的地址
开启beef的服务器端 ,默认用户名密码都是beef
在一个XSS存储漏洞的注入点,输入hook脚本如下
提交,在beef的服务器上就看到一个被hook的主机
浏览器,操作系统等详细信息
键盘记录器,鼠标点击
在被注入hook的页面输入信息时
beef上会收集到
模块