#16 BeEF-XSS w Kali Linux | narzędzie do cross site scripting
Вставка
- Опубліковано 7 лют 2025
- GRATISY I KOMENDY: haker.edu.pl/2...
Facebook: / hakeredupl
CZYTAJ DALEJ...
Nasze serwisy społecznościowe:
Twitter: / hakeredupl
Google+: plus.google.co...
Pinterest: / hakeredupl
Opis filmu:
Czas na omówienie sobie narzędzia BeEF. Jest to akronim od The Browser Exploitation Framework bo tak brzmi pełna nazwa tego programu. Służy on do ataków XSS. Dzięki niemu wykonanie cross-site scripting staje się dziecinnie proste. Bez problemu haker lub audytor bezpieczeństwa, może pobrać dużą ilość informacji o przeglądarce zainfekowanej osoby wraz z ciasteczkami sesyjnymi.
Oczywiście na tym nie koniec. Możesz dodatkowo między innymi z pomocą beef-xss:
-atakować pluginy takie jak Flash, Java, PDF użytkownika,
-wyświetlać fałszywe okno konta Facebook/Google Gmail (pretty thieft/phishing),
-podmieniać wartość HEFT linków,
-wykonać detekcje pluginów przeglądarki www,
-wywoływać fałszywe alerty (popup wiadomości),
-uploadować pliki,
-przekierowywać internautę w inne miejsca,
-podmieniać elementy HTML strony internetowej,
-tworzyć zaawansowane ataki socjotechniczne (phishing),
-inne metody ataku.
Ogrom tej aplikacji zmusił mnie do ograniczenia się jedynie do pobieżnego pokazania po prostu Tobie jej.
W filmie wykorzystałem system Windows 7, Kali Linux i Slax Linux w wirtualnej maszynie progamu VirtualBox.
Narzędzie BeEF tworzy specjalny serwer nasłuchujący HTTP na porcie 3000. Wystarczy że zamieścisz specjalny skrypt hook.js (JavaScript) na podatnej stronie z stored xss, aby rozpocząć audyt użytkowników strony.
Przedstawilbys w jaki sposob mozna przekierowac porty aby BeEF dzialal z poza lan?
To byc pomysl na film: przetestuj Firefoxa z zestawem add-ons, aby zobaczyc ile da sie wydobyc wtedy dzieki tym narzedziom w Kali.
Zestaw addons:
1. uBlock Origin (z wybranymi wszystkimi filtrami)
2. HTTPS Everywhere
3. Cookie AutoDelete
4. Privacy Badger
5. CSS Exfil
6. Privacy Oriented Origin Policy (POOP)
7. Canvas Blocker opcjonalnie
8. User Agent Switcher
Piękne, jakby wyciągnięte żywcem z gry Hacknet :D
Stary masz suba :D
Ale ten Beef jest aktywny tak długo jak ofiara ma otwartą przeglądarkę??
Ok sumnie ale jak dopaliłem beef to nie ma tyle tylko dwa katalogi i nie sa dostepne
Wszystkie te bajery sa prawda JESLI uzytkownik dziala na browserze bez zadnych privacy add-ons, ktore blokuja tego typu ataki. Dodatkowo jesli ktos nie dziala w private browsing oraz nie ma dodatku,jak Cookie AutoDelete, to moze miec rzeczywiscie przerypane.
Jakiś tip, jak zostać w największym stopniu anonimowym używając tego frameworka?
+Patryk Agafraz W jaki sposob mozna anonimowo polaczyc sie z serwerem ftp?
Dlaczego panel logowania BeEF nie pojawia sie ? Jest tylko logo ;p
+Patryk Agafraz Probowalem juz chyba wszystkiego i nadal nic.Chyba po prostu pomine tą lekcje :/
Pobiore BlackArch :D
Będzie wszystko pykało? jak w twoim przypadku trzeba wpisać tylko "Name" np: Patryk ,u mnie jest jeszcze "E-Mail"np: Jankowalski123@pl.pl ?? // a i na stronie nie muszę mieć konta wchodzę jako taki gość więc zdaje mi się że ułatwia to sprawę ? :P
Przeraża mnie łatwość wykonywania ataków.
No i teraz rozjaśniłeś mi sytuację, wcześniej myślałem, że trzeba mieć jakieś niewyobrażalne umiejętności.
***** Mam to na uwadze.
Cześć Wam