Beef介绍与安装使用

时间：2020-07-27 09:56:04 阅读：250 评论：0 收藏：0 [点我收藏+]

作为一名云计算售前，在面对各类客户提问的时候，不得不面对的一个问题就是安全问题，即使技术再发展，也无法确保100%安全，因此安全是永不过时的一个话题。
在《互联网企业安全高级指南》中为我们提供了一个全方位的互联网安全防御理论与实战，里面提到一个很有意思的话题，即很多做安全架构的乙方，其实只是在纸上谈兵，因为他们连如何gongji的方法都不清楚，又如何去防呢？
所以本篇文档将站在gongji者的角度，看看Beef是如何拿下用户。

免责申明：文章中的工具等仅供个人测试研究，不得用于商业或非法用途，否则后果自负，文章出现的截图只做样例演示，请勿非法使用。

概念篇：
概念部分网上有很多，这里就不详细展开说明了，不过这里贴一下关于BeEF的相关文档
https://github.com/beefproject/beef/wiki
大家感兴趣的可以看看
BeEF是利用xss漏洞进行gongji，XSS原来是叫跨站脚本CSS（cross site script），但是为了避免和样式css混淆，因此叫XSS，XSS是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的gongji方式。
XSS是指恶意gongji者利用网站对用户提交的数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌套到web页面中，从而盗取用户资料。

准备篇
环境准备分为gongji者，网站提供者，以及受害者，我这里主要是用虚拟机来模拟。
gongji者：kail linux
网站提供者：OWASP_Broken_Web_Apps_VM_1.2(靶机)
下载地址：https://sourceforge.net/projects/owaspbwa/files/
大家可以直接去官网下载，这个主要提供的是一些常规网站，而这些网站则是提供了一些漏洞，我们可以对这些漏洞进行gongji。
受害者：win7，这个都可以，只要能访问owasp即可

有的kail linux没有装BeEF，需要我们手动安装。
使用apt-get install beef-xss -y 即可
如果不行，则配置一下源
cd /etc/apt，然后编辑sources.list文件，加入这些内容后，类似yum源，
apt-get update更新后，然后再安装即可。

deb http://http.kali.org/kali kali-rolling main non-free contrib
deb-src http://http.kali.org/kali kali-rolling main non-free contrib

#阿里云
deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib
deb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib

#中科大
deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib

#清华
deb http://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free
deb-src http://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free

#浙大
deb http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free

至此我们的环境准备差不多结束了。

gongji篇
1）启动靶机OWASP_Broken_Web_Apps_VM_1.2
先启动靶机，访问一下试试，http://xxx.xxx.xxx即可
登陆默认密码admin,admin
进去之后可以看到有很多网站，我们选择这个进去
技术图片