설치방법 - 칼리리눅스에서 apt-get update && apt-get upgrade를 해준 뒤
apt-get install beef-xss 명령어로 다운로드 받아줍니다.
사용 방법은 cd /usr/share/beef-xss 명령어로 이동 후 ./beef 명령어로 실행합니다.
처음 실행하면 default username과 password로 로그인하지 말라고 실행이 안되는데
config.yaml 파일 [영어로 경로와 설명이 나옵니다.] 을 vim이나 leafpad 등으로 여신 뒤
beef beef 로 된 유저네임과 패스워드를 원하는대로 바꿔주시면 됩니다.
그 후 metasploit과의 연동을 해주면 좋은데 config.yaml 파일에서 metasploit enable 부분을 true로 변경,
beef-xss 폴더안의 extensions/metasploit에 있는 config.yaml를 열어서
host를 공격자 아이피로, callback_host를 공격자 아이피로, 맨밑 custom path 부분에
os: 'custom', path: '/usr/share/metasploit-framework' 를 추가해서 저장해줍니다.
그후 service postgresql start를 해주고 msfconsole 명령어로 msf콘솔을 열어서
load msgrpc ServerHost='공격자 아이피' Pass=비번
명령어를 쳐주면 완료입니다.
사용법 : ./beef를 통해 실행하면 두가지 링크가 나오는데 하나는
hook.js로 끝나는 링크 - 이것은 공격용 피싱사이트에 삽입할 xss 스크립트 구문에 넣을 js링크입니다.
다른 하나 - 공격자의 컨트롤용 gui 링크로써 들어가서 유저네임과 패스워드를 입력하고 들어가면 리스닝이 됩니다.
[사용 영상 및 추가적인 설명]
브라우저 링크에 방문한 것으로 좀비pc로 만드는법 [beEf-XSS]
설치방법 - 칼리리눅스에서 apt-get update && apt-get upgrade를 해준 뒤 apt-get install beef-x...
blog.naver.com
'3. 웹 애플리케이션 취약점 진단' 카테고리의 다른 글
| 계정을 해킹할때 사용하는 Man in the Middle 사용하기[mitmf] (0) | 2023.12.27 |
|---|---|
| DNS 스푸핑을 활용한 피싱사이트 제작 (0) | 2023.12.27 |
| jexboss 취약점 분석 도구와 apache struts2, 디페이스 공격(웹페이지 변경) (0) | 2023.12.27 |
| 취약점 분석도구 nessus 사용법 (0) | 2023.12.27 |
| 무차별 대입 공격에 사용될 사전 파일을 merge 해주는 도구 [dymerge] (0) | 2023.12.26 |