目录

1、攻击手段

2、常见用途

2、参数说明

2.1 演示页面

2.2 Details 

2.3 Logs 

2.4  commands 

总结：

---

1、攻击手段

• 利用网站 xss 漏洞实现攻击
• 诱使客户端访问含有 hook 的伪造站点
• 结合中间人攻击注入 hook 脚本

2、常见用途

• 键盘记录器
• 网络扫描
• 浏览器信息收集·绑定 shell 
• 与 metasploit 集成

2、参数说明

2.1 演示页面

http ://< P _ BeEF _ Server >:3000/demos/ basic . html 

 

1、在kali 启动beef -xss

 

2、连接肉鸡，example字段

          刷新beef 会发现出现靶机IP的信息（标红的是一些关键信息）

 

3、获取目标的cookie

 

4、链接跳转 Redirect Browser

 5、输入框事件记录

 

6、获取当前用户键盘值

 7、利用之前发现的漏洞

 

里面的功能很强大，可以当枪使用，后续漏洞复现的时候也会用到。

2.2 Details 

浏览器、插件版本信息；操作系统信息。

2.3 Logs 

浏览器动作：焦点变化、鼠标点击、信息输入

2.4  commands 

• 绿色模块：表示模块适合目标浏览器，并且执行结果被客户端不可见
• 红色模块：表示模块不适用于当前用户，有些红色模块也可正常执行
• 橙色模块：模块可用，但结果对用户可见（ CAM 弹窗申请权限等）
• 灰色模块：模块未在目标浏览器上测试过

总结：

beef是一个XSS平台，有非常多的功能
Exploit 模块用的最多，但初学者用Browser就足够了

Beef-XSS平台基本使用 https://www.bilibili.com/video/av92711691/