应该要改成192.168.110.1
文章插图
0x34 实际环境攻击的想法这次是虚拟机网络模拟攻击,如果在实际情况下
根据参考文档A
需要一台能访问(有独立ip)的主机
服务器装好beef后,要修改后台管理页面的URL和用户名密码,因为你能登陆管理页面,别人也能登陆
还要修改host为主机的独立ip,port自设要大于1024
Public和public_port不用设置
以下来自文档A
### 指定某个网段,只有在这个网段的浏览器才能被hookpermitted_hooking_subnet: "0.0.0.0/0"### 指定某个网段,只有在这个网段的浏览器才能访问管理UIpermitted_ui_subnet: "0.0.0.0/0"### 上面这两项都是可以被绕过的,只要使用X-Forwarded-For首部绕过,一般不需要设置### 设置beef服务器的主机,如果有自己的域名,那么可以设置自己的域名, 没有就使用默认host: "0.0.0.0"### 设置beef服务器监听的端口,可以自己定一个,比如8080, 记得端口号需要大于1024port: "3000"### 受害浏览器轮询beef主机的时间,默认为1秒,可以设置为更低 。xhr_poll_timeout: 1000#public: "" # public hostname/IP address#public_port: "" # experimental### 这是让BeEF运行在一个反向代理或者NAT环境下才需要设置的 。### 管理页面的URI,默认是/ui, 建议修改,这样就不会让别人找到你的管理页面web_ui_basepath: "/ui"### hook_file 的名称,建议修改,可以修改为jquery.js之类的来提升隐蔽性hook_file: "/hook.js"### 管理页面登录的用户名和密码,这个一定要改,两个都改是最好的credentials:user: "beef"passwd: "beef"
【跨站脚本攻击xss利用-beef攻击-演示】
推荐阅读
- 从黑客攻击聊聊事件响应与事件管理
- 17 个实用 shell 脚本,建议收藏
- 单线程和多线程 如何编写Python漏洞验证脚本
- 真香啊!5个方便好用的Python自动化脚本
- 服务器被攻击 CPU使用率居高不下问题排查记录
- HTTP Host 头攻击,是什么鬼?
- 技巧大集合,熬夜总结53个Python使用技巧和攻击方法
- 用分布式Ddos攻击原理教你如何让你的同行倒闭
- oracle 和 mysql 自动按照日期备份数据库脚本
- 一文详解Liquibase如何自动化数据库脚本部署