beef,全稱the browser exploitation framework,是一款針對瀏覽器的滲透測試工具。 用ruby語言開發的,kali中預設安裝的乙個模組,用於實現對xss漏洞的攻擊和利用。
beef主要是往網頁中插入一段名為hook.js的js指令碼**,如果瀏覽器訪問了有hook.js(鉤子)的頁面,就會被hook(勾住),勾連的瀏覽器會執行初始**返回一些資訊,接著目標主機會每隔一段時間(預設為1秒)就會向beef伺服器傳送乙個請求,詢問是否有新的**需要執行。beef伺服器本質上就像乙個web應用,被分為前端和後端。前端會輪詢後端是否有新的資料需要更新,同時前端也可以向後端傳送指示, beef持有者可以通過瀏覽器來登入 beef 的後端,來控制前端(使用者的瀏覽器)。beef一般和xss漏洞結合使用。
官網:框架:wiki:
啟動以後
登入名和密碼預設都是:beef
單擊開啟乙個主機
details是瀏覽器資訊詳情
logs能記錄你在瀏覽器上的操作,點選,輸入操作都能記錄
commands是你能對該瀏覽器進行哪些操作
我們點選command,這裡有一些我們可以使用的功能分類,一共有12個大的功能
在每個模組之前,您將看到具有不同顏色的子彈。
在內部,beef會檢測您掛接的瀏覽器並知道每個瀏覽器上正在使用哪些模組:
注意,紅綠燈系統指示命令模組是否在殭屍瀏覽器和殭屍瀏覽器使用的底層作業系統上工作;
但是,該模組可能有其他要求,例如存在第三方瀏覽器外掛程式(如flash),可能需要在特權區域內執行,例如
chrome://,或者可能需要存在第三方庫,如
預設情況下js注入附帶快取投毒功能,將檢視快取所有的頁面至2023年,但可以通過清除所有快取及瀏覽資料來清除快取投毒的影響。js快取投毒說白了就是受害者的瀏覽器快取了乙個被我們篡改的js指令碼,如果快取沒有被清除,每次這個受害者訪問網頁的時候都會載入我們的js指令碼。js快取投毒說白了就是受害者的瀏覽器快取了乙個被我們篡改的js指令碼,如果快取沒有被清除,每次這個受害者訪問網頁的時候都會載入我們的js指令碼。
Python Scrapy框架使用筆記
1.scrapy engine 引擎負責控制資料流在系統中所有元件中流動,並在相應動作發生時觸發事件。詳細內容檢視下面的資料流 data flow 部分。此元件相當於爬蟲的 大腦 是整個爬蟲的排程中心。2.排程器 scheduler 排程器從引擎接受request並將他們入隊,以便之後引擎請求他們時...
Scrapy框架 使用筆記
本文記錄scrapy基本使用方法,不涉及框架底層原理說明。建立專案 scrapy startproject 進入專案 cd 建立爬蟲 scrapy genspider 爬蟲名 com 爬取域 生成檔案 scrapy crawl o json 生成某種型別的檔案 執行爬蟲 scrapy crawl 列...
ThinkPHP框架使用筆記
think version 5.0.13 sql訪問日誌,預設在debug模式下才會列印出來。測試發現 瀏覽器訪問 資料庫除錯模式 debug為false日誌不會列印sql日誌,為true會列印日誌 命令列訪問 資料庫除錯模式debug對列印sql日誌沒有影響都會列印出來。可以設定全域性debug模...