kali漏洞利用之BeeF

对XSS漏洞往往需要一个强大的框架支持，如网络上的XSS平台，在KALI下，Beef是一款丝毫不逊于XSS平台的工具。Beef是浏览器攻击框架的简称，是一款专注于浏览器的渗透测试工具。

打开beef

beef-xss

默认用户名和密码分别为beef/beef

假设被测试主机由于XSS漏洞请求到下面这个页面

这时候可以看到，online browsers就多了一项127.0.0.1

在currentbrowser中可以看到许多信息

Proxy功能

选中目标主机，点右键，在菜单中选中use as Proxy，然后再Rider选项卡中的Forge Request编辑并发送想要发送的内容

send之后，在history中查看

等执行完毕会显示包的细节，借助于此，可以让目标访问特定的页面，如果特定页面有漏洞，就会中招

这就是依赖目标做一个代理，然后请求一个特定页面的过程

然后就是beef和metasploit的结合，该如何配置让beef加载metasploit模块呢？

首先我们进入目录

编辑config.yaml文件

然后进入这个目录，再修改一个.yaml文件

其中的两个ip地址都要改为本机ip

然后再更改一个路径，即可保存退出

这时候打开一个msfconsole，输入以下命令

load msgrpc ServerHost=222.28.136.223 Pass=abc123

成功之后

执行./beef -x命令

好了以后重启服务

重新登陆beef，可以看到metasploit下面多了很多可以使用的模块